LINUX.ORG.RU
ФорумTalks

О сложности паролей в современном мире.

 ,


0

3

Сейчас мне придется тащиться в налоговую, потому что я не могу вспомнить свой пароль от личного кабинета. Не потому что я склеротик, а потому что эти уроды выдумали себе такие правила, что придумать ничего хоть отдаленно внятного невозможно в принципе.

И я подумал. А какой вообще смысл в «сложных паролях»? Кроме того очевидного что сложный пароль приходится писать на бумажке, увеличивая тем самым шанс что его упрут? Хоть кто-нибудь хоть где-нибудь хоть раз слышал чтобы пароли ломали перебором? Ни разу! Пароли всю жизнь воровали через вирусы, дырки в безопасности, и фишинг. Воровали сразу и целиком, и всем было абсолютно насрать сколько там заглавных букв и спецсимволов.

Если бы я делал собственный сервис с авторизацией, я бы ввел ровно два ограничения: 1) запрет словарных слов и 2) символы идущие подряд на клавиатуре должны составлять менее половины длины пароля. Все! Никого не должно нахер волновать сколько у меня там цифр и спецсимволов.

★★★★★

1 2
Ответ на: комментарий от abraziv_whiskey

Чтобы снять твои отпечатки пальцев достаточно изучить любой предмет, который ты касался голыми руками. Чтобы узнать твою ДНК достаточно найти твой волос или твою слюну (она останется, например, на окурке сигареты или стаканчике в кафе). С радужкой чуть сложнее, но тоже вопрос решаем - было бы желание. Данные способы идентификации более-менее нормально работают, когда сам процесс идентификации контролируем (например, человек, который пытается засунуть в сканер муляж пальца на проходной какого-нибудь учреждения, вызовет подозрения у окружающих). Но в случае авторизации на удалённых ресурсах необходимо предполагать, что клиентское оборудование может быть полностью подконтрольно злоумышленнику.

При этом биометрию нельзя изменить. Один раз данные утекли - и всё. Пароль хотя бы можно поменять.

Таким образом:

1) Хранить пароль в секрете гораздо проще, чем ходить в перчатках (чтобы не оставлять отпечатки пальцев), непрозрачных очках (чтобы нельзя было просканировать радужку) и уничтожать все потенциальные следы ДНК. При этом, кстати, от вирусов всё равно придётся защищаться - а что если зловред как-нибудь сдампит данные со сканера биометрии?

2) В случае если компрометация таки случилась, пароль легко поменять.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от abraziv_whiskey

Поведение человека во многом определяется не только характером, но и воспитанием, а также совершенно случайными событиями, которые могут повлиять на восприятие, хотя сами не зафиксироваться. Так что создать 100% копию человека по одному только ДНК невозможно. Получится совершенно другой человек. Разве что, быть может, некоторые черты характера будут похожие, да внешность.

KivApple ★★★★★
()
Ответ на: комментарий от oblfan

Прокси-серверы и ботнеты позволяют обойти это ограничение.

KivApple ★★★★★
()
Ответ на: комментарий от greenman

Можно также копию базы паролей сохранить в облаке. Всё равно ведь сам файл защищён паролем. Или даже в нескольких облаках. Вероятность того, что превратятся в тыкву сразу и 2-3 облачных хранилища, и локалхост, и все бекапы ничтожно мала. А если такое и случится, то скорее всего пользователю уже не до паролей будет, банки тушёнки и патроны паролей не требуют.

В варианте же «юзер потерял память и забыл мастер-пароль», он бы забыл и все пароли, если бы помнил их наизусть, так что пофиг.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)

Были б люди добрые, никакие пароли не нужны были б.

record ★★★★★
()
Последнее исправление: record (всего исправлений: 1)

Пароли не нужны, только пин на телефон. Все равно везде требуют номер мобильного.
// интересно сколько продержится лорчик

wxw ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Talks