LINUX.ORG.RU
ФорумTalks

О сложности паролей в современном мире.

 , ,


0

3

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета. Не потому что я склеротик, а потому что эти уроды выдумали себе такие правила, что придумать ничего хоть отдаленно внятного невозможно в принципе.

И я подумал. А какой вообще смысл в «сложных паролях»? Кроме того очевидного что сложный пароль приходится писать на бумажке, увеличивая тем самым шанс что его упрут? Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором? Ни разу! Пароли всю жизнь воровали через вирусы, дырки в безопасности, и фишинг. Воровали сразу и целиком, и всем было абсолютно насрать сколько там заглавных букв и спецсимволов.

Если бы я делал собственный сервис с авторизацией, я бы ввел ровно два ограничения: 1) запрет словарных слов и 2) символы идущие подряд на клавиатуре должны составлять менее половины длины пароля. Все! Никого не должно нахер волновать сколько у меня там цифр и спецсимволов.

★★★★★

Я слышал, что ломали перебором. По сути, сейчас мода на длинные пароли, но без строгих ограничений. Например, «Мамасшиламнештаныизберезовойкоры»

tiinn ★★★ ()
Последнее исправление: tiinn (всего исправлений: 1)

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором? Ни разу!

Лол. Сотни тысяч и миллионы акков регулярно уплывают в чужие руки благодаря брутфорсам паролей по словарю.

Deleted ()

Если бы я делал собственный сервис с авторизацией, я бы сделал авторизацию по одноразовому паролю через e-mail, sms. Известен случай, когда уже спец-службы перехватывают sms с кодом для телеграмма, например, но это отдельная история.

Ввод пароля с клавиатуры — моветон в 21 веке. Ссылка с ключом доступа должна приходить тебе через децентрализованные third-party сервисы, которые крутятся на твоём же локалхосте. Так подебим!

Spoofing ★★★★★ ()

Как ни странно, но брут своё дело знает туго. Так что если символов на одно слово (цифры, только буквы), жрёт, подлец.

vombat ()

Ты, конечно, прав. Но все эти решения принимаются людьми, занимающимися безопасностью. Поэтому, все эти протесты - плач Ярославны. Если бы ты занимался безопасностью, то сделал бы ровно так, как оно сделано сейчас. Потому что там работают не так, как ты думаешь.

lenin386 ★★★ ()

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором

дохера и больше. Из последних примеров - угон сорримаком древних лоровских аккаунтов.

Inshallah ()

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета.

Войди через госуслуги. Там всего-то нужно подтвердить на почте свою личность с паспортом. И пароль госуслуги позволяют менять без геморроидальных шишек.

imul ★★★★★ ()

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором

да, сотни раз. вот только перебирают не пароли. перебирают аккаунты. из миллионов хомячков втентакле как минимум пара десятков тысяч точно имеет пароль qwerty

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 2)

Пароли всю жизнь воровали через вирусы, дырки в безопасности, и фишинг.

Соримак вона походу перебором тырит.

Ygor ★★★★★ ()

Нормальный путь - это когда ты сидишь за любым компом и получаешь доступ к своему контенту через авторизацию по биологическому признаку, типа ДНК или карты синапсов в голове, причем постоянно и незаметно для тебя. Сканер в клавишах, например. Остальное костыли.

abraziv_whiskey ★★★★★ ()
Ответ на: комментарий от abraziv_whiskey

Да тут ридонди чип под кожу вызывает у людей болезненные фантазии о тотальном геноциде, а ты про ДНК. Впрочем забрать ДНК у тебя куда проще, чем ты думаешь.

imul ★★★★★ ()
Ответ на: комментарий от imul

Интересно, Столман не опасается сдавать анализ крови? А то клонируют в подвалах SCO.

abraziv_whiskey ★★★★★ ()

дебилы, идиоты, уроды

Там справа есть кнопочка для входа через госуслуги. Работала исправно с бородатых времён.
На госуслугах пароль можно любой, но желательно включить в настройках «усиленную авторизацию» по смс-коду.

shahid ★★★★★ ()
Ответ на: комментарий от abraziv_whiskey

Нормальный путь - это когда ты сидишь за любым компом и получаешь доступ к своему контенту через авторизацию по биологическому признаку, типа ДНК или карты синапсов в голове

Сколько раз вам говорить, что ничего нормального в этих методах авторизации нет. Достаточно один раз скомпрометировать свои биоданные - и можно оправляться перевыпускать конечности. Скомпрометированный пароль можно поменять, cкомпрометированную кредитку перевыпустить. Даже паспорт перевыпустить можно. А ДНК кто тебе перевыпустит.

lenin386 ★★★ ()
Последнее исправление: lenin386 (всего исправлений: 1)

У меня ломали даже пароль от «pwgen -c -s -y» больше 20-ти символов. Про пароли уровня ctkmlt914htq вообще молчу.

saahriktu ★★★★★ ()

Куда проще установить простые ограничения на пароли, чем выдумывать прогон по словарю (который желательно ещё и обновлять иногда), вычислять «идущие подряд» символы и т.п. А вот заставлять пихать в пароль спецсимволы — это уже клиника. Лично я просто использую всегда уникальные пароли от 30 символов.

Sadler ★★★ ()

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором?

Проблему перебора паролей решили еще в давние времена, введя задержку после неудачного ввода. Человеку незаметно, а программе замедление в тысячи раз, что делает любой перебор при интерактивном вводе бессмысленным. Если это не так, то проектировали дебилы.

oblfan ()
Ответ на: комментарий от saahriktu

У меня ломали даже пароль от «pwgen -c -s -y» больше 20-ти символов.

Лол, каким образом? Такой перебор займёт десятки лет, если это не словарное слово.

IPR ★★★★★ ()
Ответ на: комментарий от IPR

Скорее всего путём утечки. Пароль от pwgen'а больше 20-ти символов ломали в одной из соцсетей, а пароль уровня ctkmlt914htq ломали на mail.ru.

saahriktu ★★★★★ ()
Ответ на: комментарий от saahriktu

Скорее всего путём утечки.

Ну о чем и речь. Что пароль у тебя может быть хоть в два килобайта, это никого не волнует, его упрут ровно так же как и «qwezxc123»

morse ★★★★★ ()
Ответ на: комментарий от Spoofing

перехватывают sms

Недавно была история — умные люди сделали «квази страну» в рамках смс-роутинга. И смс с подтвеждениями покупок потекли в эту «страну». И не надо быть спецслжбой.

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 1)
Ответ на: комментарий от Inshallah

угон сорримаком древних лоровских аккаунтов.

А где подробности драмы? Видел, greenday забанили по этому поводу. Кого-то ещё?

greenman ★★★★★ ()

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета.

Нет. Ты просто лох, потому что не пользуешься менеджерами паролей или хотя бы сральной бумажкой для их записи, если ты параноик. Иными словами, ты строишь какую-то теорию на своей глупости. Результат и истинность подобных суждений вполне очевидна.

Sociopsih ★☆ ()
Ответ на: комментарий от Sociopsih

Результат и истинность подобных суждений вполне очевидна.

О, мастер логики ITT! Расскажи, как связано то, что не записываю свои пароли с тем, что в современном мире длина и сложность пароля никак не связаны с защищенностью аккаунта?

morse ★★★★★ ()
Ответ на: комментарий от saahriktu

Ну и толку? Я использую в подавляющем большинстве сервисов пароли овер 20b, но ни один не угоняли. Просто не пользуйся говном.

IPR ★★★★★ ()

когда хотят сложный пароль, берёшь имя кота и делаешь

$ echo -n мурзик | md5sum
df441a77657c2d3b81e7d88e6b9a03ea  -

$ echo -n мурзик | base64
0LzRg9GA0LfQuNC6

забыть нельзя, сломать довольно тяжело. Ну или в radix50 сконвертировать, чтоб вообще никто не догадался.

sergej ★★★★★ ()
Ответ на: комментарий от morse

Очень пгосто, дгужок, погугли про радужные таблицы и современные возможности GPU по перебору. Уже не пароли надо ставить, а ключи.

Sociopsih ★☆ ()
Ответ на: комментарий от sergej

Типа

perl -MEncode -MEncode::RAD50 -e 'print encode("RAD50","Мурзик");'

sergej ★★★★★ ()
Ответ на: комментарий от Sociopsih

ОК, радужный ты наш. Мой пароль от лора в длину 8 символов, и состоит из строчных латинских букв.

Давай, вперед, покажи нам всю силу своего GPU.

morse ★★★★★ ()

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета.

проблема не в налоговой, а в ненадёжном хранилище паролей у вас.

Все! Никого не должно нахер волновать сколько у меня там цифр и спецсимволов.

А вот это согласен, не должно волновать ни колличество, ни качество, ни длинна, если вам озвучивают максимальную длинну пароля, разрешённые спецсимволы, например * можно, а %, говорит о том, что разработчики хранят пароли открытым текстом (например сбербанк так и хранит), и едиственный способ не быть хакнутым это уникальный пароль к каждому сервису.

ksim ()
Ответ на: комментарий от Sociopsih

Очень пгосто, дгужок, погугли про радужные таблицы и современные возможности GPU по перебору.

кто-то использует хеши без соли в 21 веке?

ksim ()

И я подумал. А какой вообще смысл в «сложных паролях»? Кроме того очевидного что сложный пароль приходится писать на бумажке, увеличивая тем самым шанс что его упрут?

Менеджеры паролей спасут отца русской криптографии.

templarrr ★★★★★ ()
Ответ на: комментарий от Sociopsih

А вдруг? Ситуации и кодеры на сервисах разные бывают.

такие спецы не парятся и хранят в открытом виде, тут защита возможна только одна: каждому сервису свой уникальный пароль. практически все хеш функции во всех вменяемых библиотеках или обязательно требуют соль или ругаются матом в логах/при компиляции.

ksim ()
Последнее исправление: ksim (всего исправлений: 2)
Ответ на: комментарий от Deleted

Своими глазами видел базы подобранных паролей. Среди них не было _ни_одного_ сложного.

templarrr ★★★★★ ()

Блин, да у меня аккаунты в вк и скайпе ломали по паре раз с интервалом в месяц. С тех пор как поставил длинные пароли угоны прекратились.

в современном мире длина и сложность пароля никак не связаны с защищенностью аккаунта

Защищенность аккаунта связана не только с длиной и сложностью пароля, но это не значит, что связи с длиной и сложностью пароля нет вообще.

templarrr ★★★★★ ()

В 2017 году нужно помнить только мастер-пароли. От базы твоего менеджера паролей и пару часто используемых.

x3al ★★★★★ ()

придумать ничего хоть отдаленно внятного невозможно в принципе

Генерируй по алгоритму.

bodqhrohro_promo ()
Ответ на: комментарий от x3al

2k17
надеяться на менеджер паролей

Мамка не учила все яйца в одной корзине не хранить?

bodqhrohro_promo ()
Ответ на: комментарий от bodqhrohro_promo

Какой одной? Бэкап базы — в четырёх местах, сам менеджер — не в облаке, а на локалхосте, что с ним будет?

x3al ★★★★★ ()
Ответ на: комментарий от x3al

локалхосте, что с ним будет?

Тебе привести список форс-мажоров?

greenman ★★★★★ ()
Ответ на: комментарий от tiinn

Мамасшиламнештаныизберезовойкоры

сразу вспоминается «Сороктысячобезьянвжопувставилибанан»

Kompilainenn ★★★★★ ()

Для того, чтобы тебе пришлось запоминать всего один мастер-пароль придумали менеджер паролей. Не стоит благодарностей.

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.