Про пароли

0

1

Главная мысль с сылки http://www.technologyreview.com/printer_friendly_article.aspx?id=25826

The new scheme from Microsoft Research does away with complexity requirements entirely while protecting against both dictionary attacks and statistical guessing. The service simply counts how many times any user on the service chooses a given password. When more than a small number of users pick a password, the password is banned and no one else is allowed to choose it. The scheme can only be used by organizations with millions of users--websites like Microsoft's Hotmail, for instance.

Ссылка

←	[галерея][apple] Женщины на скриншотах. WHY?!

Основы Linux от основателя Gentoo

→

Че-то типа «выбранный вами пароль уже использует стотыщ человек»?

~~power~~ ★
(22.07.10 15:59:51 MSD)

Ох уж этот ваш произвдитель мягких игрушек.

Вот так-то один знакомый пожаловался, что сложно запоминать сложные пароли. Пришлось написать такую приблуду (и пароли хрен подберешь и запомнить несложно):

http://password.nanohertz.net

~~Stahl~~ ★★☆
(22.07.10 16:02:33 MSD)

Ответ на: комментарий от power 22.07.10 15:59:51 MSD

>Че-то типа «выбранный вами пароль уже использует стотыщ человек»?

«выбранный вами пароль уже использует 41 человек, добавить их в друзья?»

legolegs ★★★★★
(22.07.10 16:02:52 MSD)

Ссылка

То есть, меняем пароль на «Крамник» и, если нам не разрешили, брутим юзеров с интересом «Шахматы» — вероятно, у некоторых из них пароль такой. Гениально.

lodin ★★★★
(22.07.10 16:24:34 MSD)

Ответ на: комментарий от Stahl 22.07.10 16:02:33 MSD

OhiDut2

Ох, идут-то!

А вообще надо мысленно такие (man pwgen?) пароли проговаривать мысленно с чувством, как будто это имена отрицательных персонажей в героической фэнтези. Из выдачи выбираем самого отрицательного — и вуаля.

lodin ★★★★
(22.07.10 16:34:01 MSD)

Ссылка

Ответ на: комментарий от Stahl 22.07.10 16:02:33 MSD

Dez8Efap

Действительно легко запомнить. Хотя, знаешь, гораздо проще запоминать пароли как-то вот так: (B)olivia(F)oxtrot21(E)ight. Ну, надеюсь, основная мысль ясна.

Lighting ★★★★★
(22.07.10 16:34:09 MSD)

Ссылка

Ответ на: комментарий от lodin 22.07.10 16:24:34 MSD

а вот интересно, эти все пароли они FBI сливают, или только хэши сверяют? а то даже если пароль хрен выговоришь - то они ведь где-то ведут реестр паролей. и не важно, если и без логинов.

zsa
(22.07.10 16:37:13 MSD)

Ответ на: комментарий от Stahl 22.07.10 16:02:33 MSD

Ohu%-%!

Годный генератор, запомнил сразу

flinks
(22.07.10 16:38:00 MSD)

Ответ на: комментарий от lodin 22.07.10 16:24:34 MSD

Ну а сейчас вся секретная информация для восстановления пароля находится в любой соц. сети...

catap ★★★★★
(22.07.10 16:39:00 MSD) автор топика

Ответ на: Ohu%-%! от flinks 22.07.10 16:38:00 MSD

(Расшаркивающийся смайлик с самодовольной лыбой).

Я старался:)

~~Stahl~~ ★★☆
(22.07.10 16:40:51 MSD)

Ответ на: комментарий от Stahl 22.07.10 16:40:51 MSD

вообще есть такая программа, apg; у нее есть механизм генерации мнемонических паролей.

catap ★★★★★
(22.07.10 16:41:32 MSD) автор топика

Ссылка

Сразу написать свою мысль не успел. Пишу сейчас.

Я давно, предлагаю, вместо пароля слать человеку sms или еще как-то (верифицированным транспортом) некий мгновенный код активации

catap ★★★★★
(22.07.10 16:42:22 MSD) автор топика

Ответ на: комментарий от catap 22.07.10 16:42:22 MSD

> Я давно, предлагаю, вместо пароля слать человеку sms или еще как-то (верифицированным транспортом) некий мгновенный код активации

Письмо почтой России как на сайте Госуслуги.рф :)

f00fc7c8
(22.07.10 16:51:26 MSD)

Ответ на: комментарий от zsa 22.07.10 16:37:13 MSD

Это кстати ценное замечание. Хэши с солью для хранения паролей при применении данной технологии уже не годятся.

lodin ★★★★
(22.07.10 16:52:42 MSD)

Ссылка

Ответ на: комментарий от f00fc7c8 22.07.10 16:51:26 MSD

Зря вы, ems у них, иногда, был хорошим, в 2007 году. Сейчас не знаю.

catap ★★★★★
(22.07.10 16:53:51 MSD) автор топика

Ответ на: комментарий от catap 22.07.10 16:39:00 MSD

У меня есть несколько аккаунтов и, безусловно, данных в них достаточно, чтобы выследить меня на улице и отжать пароли. Но не подобрать незаметно.

lodin ★★★★
(22.07.10 16:56:45 MSD)

Ссылка

Ответ на: комментарий от catap 22.07.10 16:42:22 MSD

> Я давно, предлагаю, вместо пароля слать человеку sms или еще как-то (верифицированным транспортом) некий мгновенный код активации

я уже упоминал ранее БСПБ — Банк СПб, вот там что-то такое же: во-первых они меня затрахали, пока я придумывал пароль (столько требований к паролю я ещё нигде не видел), ну а потом при каждом логине они натурально отсылают СМС на заранее зарегистрированный в системе номер (выбираешь из списка)

name_no ★★
(22.07.10 17:42:37 MSD)

Ответ на: комментарий от Stahl 22.07.10 16:02:33 MSD

>http://password.nanohertz.net

А оффлайн-версия есть? =)

Lucky1 ★★★
(22.07.10 17:47:51 MSD)

Ответ на: комментарий от name_no 22.07.10 17:42:37 MSD

я долго бился за функционал, что бы в ui баннерной системы логин был простым, тебе в мейл.ру агент, корпоративный отправляют ссылку :)

Но так и не победил

catap ★★★★★
(22.07.10 17:50:13 MSD) автор топика

Ссылка

Ответ на: комментарий от Stahl 22.07.10 16:02:33 MSD

> http://password.nanohertz.net

Это веб интерфейс к pwgen?

sin_a ★★★★★
(22.07.10 17:58:12 MSD)

Ссылка

Ответ на: комментарий от Lucky1 22.07.10 17:47:51 MSD

А оффлайн-версия есть?

Не оффлайн-версии нету. Я там целый сервер я наваял, ПХП только фронтенд к нему.

Это веб интерфейс к pwgen?

Нет, используется мой собственный наркоманский алгоритм.

~~Stahl~~ ★★☆
(22.07.10 18:14:09 MSD)

Ссылка

Ответ на: комментарий от catap 22.07.10 16:42:22 MSD

так делают банки

Black_Shadow ★★★★★
(22.07.10 20:29:00 MSD)

Ответ на: комментарий от Black_Shadow 22.07.10 20:29:00 MSD

Далеко не все. Банки делают по разному, и, собственно, изначально причина исследования сделать простые пароли, которые нельзя подобрать в контексте портала с миллионами пользователей.

catap ★★★★★
(22.07.10 20:40:26 MSD) автор топика

Ссылка

Ответ на: комментарий от catap 22.07.10 16:42:22 MSD

> Я давно, предлагаю, вместо пароля слать человеку sms или еще как-то (верифицированным транспортом) некий мгновенный код активации

Мысль не новая:
liqpay.com

Хотя если тиснут мобилку - будут проблемы.

Vit ★★★★★
(22.07.10 20:41:07 MSD)

Ответ на: комментарий от name_no 22.07.10 17:42:37 MSD

Я давно, предлагаю, вместо пароля слать человеку sms или еще как-то (верифицированным транспортом) некий мгновенный код активации
я уже упоминал ранее БСПБ — Банк СПб, вот там что-то такое же: во-первых они меня затрахали, пока я придумывал пароль (столько требований к паролю я ещё нигде не видел), ну а потом при каждом логине они натурально отсылают СМС на заранее зарегистрированный в системе номер (выбираешь из списка)

+1. В Альфабанке примерно так же. При входе в Альфа-Клик (интернет-банк) , после ввода логина и обычного пароля, нужно ввести ещё и разовый пароль, который приходит SMS'кой на твой сотовый. Плюс такие же разовые пароли на все операции с деньгами (перевод на другой счёт, оплата чего-либо и т.п.).

Deleted
(22.07.10 20:47:04 MSD)

Ссылка

Ответ на: комментарий от Vit 22.07.10 20:41:07 MSD

да мысль не новая, она очевидная, но больно дорогая :)

catap ★★★★★
(22.07.10 20:50:49 MSD) автор топика

Ответ на: комментарий от catap 22.07.10 20:50:49 MSD

От бизнес-шмизнес-модели зависит.

http://www.devinosms.com/Prices.aspx

SMS-ки простым смертным где-то по 50 копеек встают. Блатным по 35. Ситуаций, когда отобьется - сильно больше нуля.

Vit ★★★★★
(22.07.10 23:06:01 MSD)