суббота, 16 октября 2010
11:27

Еще немного о паролях

все записи пользователя в сообществе quirischa
капибара
Товарищи. Я хотел бы сказать пару слов.

Как несложно прочитать на странице Изменить пароль, он (то есть, пароль) не может содержать специальные символы из списка: " ' % * < >

Многие пользователи ставят себе в качестве пароля русское слово или фразу, которая набрана в латинской раскладке.

Обратите внимание! что русские буквы Э, э, Б и Ю (именно в такой капитализации) при наборе в латинской раскладке представляются символами ", ', < и > соответственно. То есть, другими словами, введя новый пароль по указанной выше схеме с этими буквами, вы потом НЕ СМОЖЕТЕ войти. Вот такое головокружение от успехов и перегибы на местах.

Если вы однажды ввели подобный пароль, после чего потеряли доступ к аккаунту и хотели бы восстановить доступ, вам следует написать с зарегистрированного адреса почты нам на [email protected].

Будьте бдительны. Враг не дремлет!

@темы: Пароль

URL
Комментарии
16.10.2010 в 11:28

ArLe
На посошок: следите внимательно, чтобы в конце пароля не поставить случайно пробел.
URL
16.10.2010 в 11:29

quirischa
капибара
ArLe
или два пробела - было и такое, чо
URL
16.10.2010 в 11:30

ArLe
Это, наверное, от избытка чувств. Как на пианино - мощные финальные аккорды "ты-дыщ!"
URL
16.10.2010 в 11:31

quirischa
капибара
ArLe
Если бы пароль ставил Рахманинов: GP HKJ GHKJF HLHKDGK GHKHFKS
URL
16.10.2010 в 11:32

Тайя.
Не говорите так быстро, я не успеваю класть х*р на ваши слова.
Я щетаю, что надо изменить латинскую раскладку и добавить семь недостающих букв. А то сколько народу из-за этого имеет проблемы.
URL
16.10.2010 в 11:34

Trotil
А у меня другой вопрос - почему вы храните пароли на сервере в открытом виде?
URL
16.10.2010 в 11:35

ArLe
Если бы пароль ставил Морзе: · · · · · · − · − − −
URL
16.10.2010 в 11:40

quirischa
капибара
Trotil
зато у нас все в порядке
URL
16.10.2010 в 11:48

Trotil
Пароль в открытом виде - это не может считаться порядком, уже извините, это потенциальная угроза. Это халатность, наплевательское отношение к пользователям.
URL
16.10.2010 в 11:52

ArLe
Trotil я работала в техподдержке онлайн заявок в крупнешие мировые вузы (Гарвард и проч.). Пользователи там загружали весьма конфиденциальные документы. Пароли хранились в открытом виде.
URL
16.10.2010 в 11:54

Trotil
Хм... Поставил пароль 1234% - вошел. Поставил пароль 1234< - снова вошел. Что-то у вас работает не так.

Идея по развитию. У вас есть автоматическое отслеживание по длине пароля (на странице установке пароля). Почему бы не прикрутить туда отслеживание по символам?
URL
16.10.2010 в 11:58

Trotil
Пользователи там загружали весьма конфиденциальные документы. Пароли хранились в открытом виде.

Значит, тоже непорядок, что ж поделать.
Независимо от того, в какой системе это используется - открытые пароли - потенциальная угроза. Надеюсь, это очевидный факт?
URL
16.10.2010 в 12:07

ArLe
Trotil не очевидный, кстати. Практически все случаи т.н. взлома дневников - это получение доступа к почте. При наличии почты все равно, в каком виде хранится пароль.
URL
16.10.2010 в 12:10

quirischa
капибара
Trotil
ок, мистер потенциальная угроза :)

пришлите мне на умыло мой пароль в течение следующих 24 часов.
URL
16.10.2010 в 12:13

protagonist.
All people live relying on their knowledge and understanding, and so are bound to them. They call it "reality" © Masashi Kishimoto
лол, я только сейчас соотнёс специальные символы и свой пароль :lol:
спасибо за инфу, буду знать куда бежать если что Т^T
URL
16.10.2010 в 12:14

Trotil
quirischa

Попроси носа или глюкера =)
URL
16.10.2010 в 13:11

Сара, мать её, Такер!
Гори, но не сжигай... Гори, чтобы светить. (с)
спасибо за совет.
а то ввёл бы сейчас по невнимательности -____-
URL
16.10.2010 в 13:28

Паломник Оптимизма!
Неизвестный смайлик.
Вообще странная логика если честно. Я то думал там при вводе запрещенных символов отчаянно заругаются и будут грозить карами небесными. А оно оказывается тихо мирно меняется, как-то по левому. Нихарошо. Прикрутите что ли проверку пароля, вроде ж не бог весть какая задача.
URL
16.10.2010 в 13:41

Белый Сикер
Qui vult, facultatis inveniet.
*Слегка насторожившись, но дочитав, раслабившись*
Свои пароли всегда пишу на аглицком, потому как в моём понимании, это родной язык машин. Если что-то пойдёт не так, техника всё одно перейдёт на этот язык, так зачем мне лишний геморой ? ) Чем серьезней ресурс, тем весомей его падение, так что на мой взгляд, пароль в русской раскладке - это всё же роскошь.
URL
16.10.2010 в 14:43

ArLe
Паломник Оптимизма! спасибо, человек страны советов!
URL
16.10.2010 в 15:06

Паломник Оптимизма!
Неизвестный смайлик.
Во времена советов, все мои сверстники весь день орали и испражнялись на людях (с) Но вообще незашта, угу )
URL
16.10.2010 в 15:55

ArLe
Паломник Оптимизма! но наследие ее так до сих пор в менталитете люде себя не исчерпало :)
URL
16.10.2010 в 19:38

quirischa
капибара
Trotil Попроси носа или глюкера =)
не отмазывайся, а наплюй на свое отношение ко мне и пришли пароль.

пока нет оснований говорить, что хранение паролей в открытом виде приносит больше вреда, чем пользы.
по всему остальному см.: При наличии почты все равно, в каком виде хранится пароль.
URL
16.10.2010 в 19:59

Trotil
не отмазывайся, а наплюй на свое отношение ко мне и пришли пароль.

Я не отмазываюсь, а предлагаю менее трудозатратный способ док-ва того, что то, что является самой ценной конфиденциальной информацией, может узнать посторонний человек.

пока нет оснований говорить, что хранение паролей в открытом виде приносит больше вреда, чем пользы.

Вред - человек, который сможет получить (легально, нелегально, это неважно) доступ к базе данных, сможет прочитать пароли. При концепции закрытых паролей их не сможет прочитать никто, даже если получит полный доступ.

Польза - на мой взгляд она, минимальная. Пользователь сможет узнать тот пароль, с которым он когда-то регистрировался. Не слишком важная польза, как мне кажется.
URL
16.10.2010 в 20:05

quirischa
капибара
Trotil
предлагаю менее трудозатратный способ док-ва того, что то, что является самой ценной конфиденциальной информацией, может узнать посторонний человек.
то есть, мой пароль мне все-таки пришлют? отлично!
или было еще какое-то доказательство, о котором я не знаю?

Польза - на мой взгляд она, минимальная
тогда у нас на пользу разные взгляды, которые делают невозможным конструктивное продолжение дискуссии.
нет, я могу и дальше отвечать, конечно, но не вижу смысла, раз наши взгляды уже в общем не совпадают, сорри.
URL
16.10.2010 в 20:07

Trotil
> При наличии почты все равно, в каком виде хранится пароль.

Небольшая история. У одного человека несколько раз менялся пароль на одном ресурсе. Оказалось, что некий злоумышленник, имея доступ к почте вызывал смену пароля через доступный ему почтовый ящик.
В системе diary.ru этого бы узнать не удалось бы, поскольку пароль не меняется и хищение пароля может пройти абсолютно незамеченным.

Есть и вторая история. Один знакомый мне форум на vbulletin взломали конкуренты. Казалось, платный, серьёзный движок. Максимум, что украли, это базу емейлов. Паролей им недосталось, ибо этот форум хранит их в закрытом виде (вообще, большинство известных мне CMS и форумов серьёзно подходят к этому вопросу)
URL
16.10.2010 в 20:09

Trotil
тогда у нас на пользу разные взгляды, которые делают невозможным конструктивное продолжение дискуссии.

Ты про пользу так и не рассказал. Может, я что-то не учитываю, поэтому очень интересно узнать твоё видение насчёт пользы.
URL
16.10.2010 в 20:12

quirischa
капибара
Trotil
на моей старой работе, в интернет-провайдере, пользовательские пароли хранились в открытом виде в базе, и никто ничего не украл.

если привлечь на мою сторону еще и историю от Арле, то счет выходит 2:2 :)
URL
16.10.2010 в 20:15

quirischa
капибара
Trotil Ты про пользу так и не рассказал.
и не расскажу, потому что эта информация имеет отношение к администрированию
URL
16.10.2010 в 20:19

Trotil
Вот ты и сознался в том, что администраторы используют данные о паролях в служебных целях. :)
Хотя технически можно реализовать заход под другим пользователем, используя повышенные привилегии своего аккаунта.
URL