О сложности паролей в современном мире.

0

3

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета. Не потому что я склеротик, а потому что эти уроды выдумали себе такие правила, что придумать ничего хоть отдаленно внятного невозможно в принципе.

И я подумал. А какой вообще смысл в «сложных паролях»? Кроме того очевидного что сложный пароль приходится писать на бумажке, увеличивая тем самым шанс что его упрут? Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором? Ни разу! Пароли всю жизнь воровали через вирусы, дырки в безопасности, и фишинг. Воровали сразу и целиком, и всем было абсолютно насрать сколько там заглавных букв и спецсимволов.

Если бы я делал собственный сервис с авторизацией, я бы ввел ровно два ограничения: 1) запрет словарных слов и 2) символы идущие подряд на клавиатуре должны составлять менее половины длины пароля. Все! Никого не должно нахер волновать сколько у меня там цифр и спецсимволов.

Ссылка

←	У Мегафона по всей России упала сеть

Вышла ReactOS 0.4.5

→

← 1 2 →

Я слышал, что ломали перебором. По сути, сейчас мода на длинные пароли, но без строгих ограничений. Например, «Мамасшиламнештаныизберезовойкоры»

tiinn ★★★★★
(19.05.17 14:03:46 MSK)
Последнее исправление: tiinn 19.05.17 14:04:32 MSK (всего исправлений: 1)

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором? Ни разу!

Лол. Сотни тысяч и миллионы акков регулярно уплывают в чужие руки благодаря брутфорсам паролей по словарю.

Deleted
(19.05.17 14:05:00 MSK)

Если бы я делал собственный сервис с авторизацией, я бы сделал авторизацию по одноразовому паролю через e-mail, sms. Известен случай, когда уже спец-службы перехватывают sms с кодом для телеграмма, например, но это отдельная история.

Ввод пароля с клавиатуры — моветон в 21 веке. Ссылка с ключом доступа должна приходить тебе через децентрализованные third-party сервисы, которые крутятся на твоём же локалхосте. Так подебим!

~~Spoofing~~ ★★★★★
(19.05.17 14:05:01 MSK)

Как ни странно, но брут своё дело знает туго. Так что если символов на одно слово (цифры, только буквы), жрёт, подлец.

~~vombat~~
(19.05.17 14:15:04 MSK)

Ссылка

Ты, конечно, прав. Но все эти решения принимаются людьми, занимающимися безопасностью. Поэтому, все эти протесты - плач Ярославны. Если бы ты занимался безопасностью, то сделал бы ровно так, как оно сделано сейчас. Потому что там работают не так, как ты думаешь.

lenin386 ★★★★
(19.05.17 14:16:10 MSK)

Ссылка

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором

дохера и больше. Из последних примеров - угон сорримаком древних лоровских аккаунтов.

~~Inshallah~~
(19.05.17 14:16:20 MSK)

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета.

Войди через госуслуги. Там всего-то нужно подтвердить на почте свою личность с паспортом. И пароль госуслуги позволяют менять без геморроидальных шишек.

imul ★★★★★
(19.05.17 14:23:46 MSK)

Ссылка

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором

да, сотни раз. вот только перебирают не пароли. перебирают аккаунты. из миллионов хомячков втентакле как минимум пара десятков тысяч точно имеет пароль qwerty

upcFrost ★★★★★
(19.05.17 14:25:33 MSK)
Последнее исправление: upcFrost 19.05.17 14:25:44 MSK (всего исправлений: 2)

Ссылка

Пароли всю жизнь воровали через вирусы, дырки в безопасности, и фишинг.

Соримак вона походу перебором тырит.

Ygor ★★★★★
(19.05.17 14:26:03 MSK)

Ссылка

Ответ на: комментарий от Inshallah 19.05.17 14:16:20 MSK

а как он их подбирает, где-то база утекла?

registrant ★★★★★
(19.05.17 14:26:53 MSK)

Ответ на: комментарий от registrant 19.05.17 14:26:53 MSK

Из древних тредов берёт, наверное.

~~Inshallah~~
(19.05.17 14:28:35 MSK)

Ссылка

Нормальный путь - это когда ты сидишь за любым компом и получаешь доступ к своему контенту через авторизацию по биологическому признаку, типа ДНК или карты синапсов в голове, причем постоянно и незаметно для тебя. Сканер в клавишах, например. Остальное костыли.

abraziv_whiskey ★★★★★
(19.05.17 14:44:16 MSK)

Ответ на: комментарий от abraziv_whiskey 19.05.17 14:44:16 MSK

Да тут ридонди чип под кожу вызывает у людей болезненные фантазии о тотальном геноциде, а ты про ДНК. Впрочем забрать ДНК у тебя куда проще, чем ты думаешь.

imul ★★★★★
(19.05.17 14:48:42 MSK)

Ответ на: комментарий от imul 19.05.17 14:48:42 MSK

Интересно, Столман не опасается сдавать анализ крови? А то клонируют в подвалах SCO.

abraziv_whiskey ★★★★★
(19.05.17 14:51:27 MSK)

дебилы, идиоты, уроды

Там справа есть кнопочка для входа через госуслуги. Работала исправно с бородатых времён.
На госуслугах пароль можно любой, но желательно включить в настройках «усиленную авторизацию» по смс-коду.

shahid ★★★★★
(19.05.17 15:10:10 MSK)

Ссылка

Ответ на: комментарий от abraziv_whiskey 19.05.17 14:44:16 MSK

Нормальный путь - это когда ты сидишь за любым компом и получаешь доступ к своему контенту через авторизацию по биологическому признаку, типа ДНК или карты синапсов в голове

Сколько раз вам говорить, что ничего нормального в этих методах авторизации нет. Достаточно один раз скомпрометировать свои биоданные - и можно оправляться перевыпускать конечности. Скомпрометированный пароль можно поменять, cкомпрометированную кредитку перевыпустить. Даже паспорт перевыпустить можно. А ДНК кто тебе перевыпустит.

lenin386 ★★★★
(19.05.17 15:26:24 MSK)
Последнее исправление: lenin386 19.05.17 15:29:25 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от abraziv_whiskey 19.05.17 14:51:27 MSK

http://i.zlowiki.ru/170519_d79cc3c9.png

Deleted
(19.05.17 15:27:02 MSK)

Ссылка

У меня ломали даже пароль от «pwgen -c -s -y» больше 20-ти символов. Про пароли уровня ctkmlt914htq вообще молчу.

saahriktu ★★★★★
(19.05.17 16:05:20 MSK)

Куда проще установить простые ограничения на пароли, чем выдумывать прогон по словарю (который желательно ещё и обновлять иногда), вычислять «идущие подряд» символы и т.п. А вот заставлять пихать в пароль спецсимволы — это уже клиника. Лично я просто использую всегда уникальные пароли от 30 символов.

Sadler ★★★
(19.05.17 16:20:59 MSK)

Ссылка

Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором?

Проблему перебора паролей решили еще в давние времена, введя задержку после неудачного ввода. Человеку незаметно, а программе замедление в тысячи раз, что делает любой перебор при интерактивном вводе бессмысленным. Если это не так, то проектировали дебилы.

oblfan
(19.05.17 16:41:24 MSK)

Ответ на: комментарий от saahriktu 19.05.17 16:05:20 MSK

У меня ломали даже пароль от «pwgen -c -s -y» больше 20-ти символов.

Лол, каким образом? Такой перебор займёт десятки лет, если это не словарное слово.

IPR ★★★★★
(19.05.17 17:42:23 MSK)

Ответ на: комментарий от IPR 19.05.17 17:42:23 MSK

Скорее всего путём утечки. Пароль от pwgen'а больше 20-ти символов ломали в одной из соцсетей, а пароль уровня ctkmlt914htq ломали на mail.ru.

saahriktu ★★★★★
(19.05.17 18:05:21 MSK)

Ответ на: комментарий от saahriktu 19.05.17 18:05:21 MSK

Скорее всего путём утечки.

Ну о чем и речь. Что пароль у тебя может быть хоть в два килобайта, это никого не волнует, его упрут ровно так же как и «qwezxc123»

morse ★★★★★
(19.05.17 18:09:42 MSK) автор топика

Ссылка

Ответ на: комментарий от Spoofing 19.05.17 14:05:01 MSK

перехватывают sms

Недавно была история — умные люди сделали «квази страну» в рамках смс-роутинга. И смс с подтвеждениями покупок потекли в эту «страну». И не надо быть спецслжбой.

greenman ★★★★★
(19.05.17 18:25:29 MSK)
Последнее исправление: greenman 19.05.17 18:34:50 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Inshallah 19.05.17 14:16:20 MSK

угон сорримаком древних лоровских аккаунтов.

А где подробности драмы? Видел, greenday забанили по этому поводу. Кого-то ещё?

greenman ★★★★★
(19.05.17 18:28:50 MSK)

Ссылка

KeePassX

anonymous00 ★★
(19.05.17 18:29:40 MSK)

Ссылка

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета.

Нет. Ты просто лох, потому что не пользуешься менеджерами паролей или хотя бы сральной бумажкой для их записи, если ты параноик. Иными словами, ты строишь какую-то теорию на своей глупости. Результат и истинность подобных суждений вполне очевидна.

~~Sociopsih~~ ★☆
(19.05.17 19:00:15 MSK)

Ответ на: комментарий от Sociopsih 19.05.17 19:00:15 MSK

Результат и истинность подобных суждений вполне очевидна.

О, мастер логики ITT! Расскажи, как связано то, что не записываю свои пароли с тем, что в современном мире длина и сложность пароля никак не связаны с защищенностью аккаунта?

morse ★★★★★
(19.05.17 19:05:59 MSK) автор топика

Ответ на: комментарий от saahriktu 19.05.17 18:05:21 MSK

Ну и толку? Я использую в подавляющем большинстве сервисов пароли овер 20b, но ни один не угоняли. Просто не пользуйся говном.

IPR ★★★★★
(19.05.17 19:08:10 MSK)

Ссылка

когда хотят сложный пароль, берёшь имя кота и делаешь

$ echo -n мурзик | md5sum
df441a77657c2d3b81e7d88e6b9a03ea  -

$ echo -n мурзик | base64
0LzRg9GA0LfQuNC6

забыть нельзя, сломать довольно тяжело. Ну или в radix50 сконвертировать, чтоб вообще никто не догадался.

sergej ★★★★★
(19.05.17 19:09:55 MSK)

Ответ на: комментарий от morse 19.05.17 19:05:59 MSK

Очень пгосто, дгужок, погугли про радужные таблицы и современные возможности GPU по перебору. Уже не пароли надо ставить, а ключи.

~~Sociopsih~~ ★☆
(19.05.17 19:11:27 MSK)

Ответ на: комментарий от sergej 19.05.17 19:09:55 MSK

Типа

perl -MEncode -MEncode::RAD50 -e 'print encode("RAD50","Мурзик");'

sergej ★★★★★
(19.05.17 19:12:05 MSK)

Ссылка

Ответ на: комментарий от Sociopsih 19.05.17 19:11:27 MSK

ОК, радужный ты наш. Мой пароль от лора в длину 8 символов, и состоит из строчных латинских букв.

Давай, вперед, покажи нам всю силу своего GPU.

morse ★★★★★
(19.05.17 19:24:33 MSK) автор топика

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета.

проблема не в налоговой, а в ненадёжном хранилище паролей у вас.

Все! Никого не должно нахер волновать сколько у меня там цифр и спецсимволов.

А вот это согласен, не должно волновать ни колличество, ни качество, ни длинна, если вам озвучивают максимальную длинну пароля, разрешённые спецсимволы, например * можно, а %, говорит о том, что разработчики хранят пароли открытым текстом (например сбербанк так и хранит), и едиственный способ не быть хакнутым это уникальный пароль к каждому сервису.

ksim ★
(19.05.17 19:32:17 MSK)

Ссылка

Ответ на: комментарий от Sociopsih 19.05.17 19:11:27 MSK

Очень пгосто, дгужок, погугли про радужные таблицы и современные возможности GPU по перебору.

кто-то использует хеши без соли в 21 веке?

ksim ★
(19.05.17 19:34:14 MSK)

Ответ на: комментарий от ksim 19.05.17 19:34:14 MSK

А вдруг? Ситуации и кодеры на сервисах разные бывают.

~~Sociopsih~~ ★☆
(19.05.17 19:36:16 MSK)

Ответ на: комментарий от morse 19.05.17 19:24:33 MSK

Не для твоего хэша роза моего ГПУ цвела. )

~~Sociopsih~~ ★☆
(19.05.17 19:37:03 MSK)

Ссылка

И я подумал. А какой вообще смысл в «сложных паролях»? Кроме того очевидного что сложный пароль приходится писать на бумажке, увеличивая тем самым шанс что его упрут?

Менеджеры паролей спасут отца русской криптографии.

templarrr ★★★★★
(19.05.17 19:37:49 MSK)

Ссылка

Ответ на: комментарий от Sociopsih 19.05.17 19:36:16 MSK

А вдруг? Ситуации и кодеры на сервисах разные бывают.

такие спецы не парятся и хранят в открытом виде, тут защита возможна только одна: каждому сервису свой уникальный пароль. практически все хеш функции во всех вменяемых библиотеках или обязательно требуют соль или ругаются матом в логах/при компиляции.

ksim ★
(19.05.17 19:38:23 MSK)
Последнее исправление: ksim 19.05.17 19:40:12 MSK (всего исправлений: 2)