2ivlad и Yandex: зачем вы ухудшаете ситуацию с безопасностью?

А с чего бы ей быть бесконечной? Она большая, но далеко не бесконечная. А такие требования ее сокращают. Тоже не до маленькой, но весьма сильно.

Тут самое печальное, что да - пользователям которые без этого бы выбрали очень слабый пароль это помогает выбрать пароли которые продержатся лишнюю минутку, но ценой снижения сложности паролей тех пользователей которые выбрали сложные пароли.

Ничего, что без этого ограничения пространство паролей у половины пользователей сокращается до слова кий?

Это проблема этих пользователей. А с этими требованиями это уже проблема самой системы.

Кто сказал?

Я.

Во-первых, за счёт ввода новых символов увеличивается алфавит

Во-первых - нет. Алфавит у нас и до ввода ограничения включал допсимволы. Чего это они у тебя вводятся только после установки ограничения?

меньше перебирать паролей до правильного.

На сколько процентов меньше?

потому что они банальные ламеры. весь бред по ссылке гласит об этом. «все хорошо, так случилось, мы тут ВООБЩЕ непричем, но вы дальше жрите кактус и используйте яндекс». абсолютное позорище. если вы обосрались и это худший фейл в вашей истории, то надо иметь мужество это признать.

Менеджер паролей? Не, не слышали.

А яд мог-ли бы какой-нить 2 фа прикрутить.

Как будто там ее нет.

Для аккаунта нет, только для яденег.

Я думал, под ЯД ты подразумеваешь яндекс.деньги (их обычно так называют).

2ivlad и Yandex: зачем вы ухудшаете ситуацию с безопасностью? (комментарий)

Регулярная смена паролей приводит к тому, что
1) Люди начинают их забывать.

В этом конечно же виноват Яндекс. Регулярная смена паролей, обновление ПО, использование доп. средств беопасности (keychain в контексте паролей) вполне элементарные правила культуры безопасности.

2) Люди записывают их в файлы на рабочем столе под именем «пароли.txt/пароли.doc».
3) Люди начинают использовать простые пароли.
4) Люди начинают использовать одинаковые пароли на разных сервисах.

Если пользователь использует один и тот же почтовый ящик и пароль при регистрации на всех сервисах, а потом удивляется, что все плохо и откуда столько спама, и почему пароли утекли, то мягко говоря ССЗБ. Сгенерировать надежные пароли как впрочем и хранить их могут keychain сервисы (все грамотные же могут и после очередного такого «слива» задуматься над тем что, надо бы почитать что-нибудь на тему хранения паролей да и вообще).

Я за всю жизни не менял ни одного пароля. Ни один из паролей не был взломан или подобран.

До первого случая конечно же. У нас же как: пока не грянет ....

Зачем, зачем, вы рекомендуете вредные привычки, что касается сетевой безопасности? Прекратите.

Причем здесь сетевая безопасность? Где,как и чем генерировать пароль мало относится к сетевой безопасности.

Так же делаю :)

keychain

Загуглил, попал на какой-то keychain iCloud, с которого фоточки утекли.

Предлагаете хранить пароли на каком-то веб-сервисе? Это же по умолчанию не безопасно. Чем плох keepass с локальной БД (естественно с бэкапом)?

Keychain aka менеджер паролей (Ок, признаю не дописал). Где и как харнить пароли решает пользователь (про iCloud сказать ничего не могу). Ну и да утекли не пароли (если бы утекли, то их еще сломать надо), а фото.

keychain

Костыль же. Лучше вместо пароля хранить открытый ключ, а закрытый получать от пароля с логином. Ничего никуда не утечет и кейчаны не нужны.

Костыль же. Лучше вместо пароля хранить открытый ключ, а закрытый получать от пароля с логином. Ничего никуда не утечет и кейчаны не нужны.

Не распарсил.

Ведь если теоретически база пароля бесконечна (допустим),

не надо допускать то, что заведомо ложно. из него следует 2+2=5

https://ru.wikipedia.org/wiki/Криптосистема_с_открытым_ключом

Закрытый ключ получаем из сложного пароля или фразы. Что-то вроде brainwallet. И все это на б-гомерзком js.

хочется ещё раз всем порекомендовать выбирать сложные пароли

Зачем, зачем, вы рекомендуете вредные привычки, что касается сетевой безопасности?

Пользователи выбирают. Бирди победил!

$ head pswd.uniq.list.text      
  39177 123456
  13892 123456789
   9826 111111
   7926 qwerty
   5853 1234567890
   4668 1234567
   4606 7777777
   4324 123321
   3304 000000
   3031 123123

Чтобы сгенерировать хорошую пару ключей придется придумывать очень сложный пароль. Домашнее задание - посчитать длину пароля для ключа длиной 512 бит.

Это проблема этих пользователей. А с этими требованиями это уже проблема самой системы.

Спасибо, кэп. Когда я крайний раз проверял, программы писались для того, чтобы перекладывать проблемы пользователей на себя. А если какой-то чудак делал наоборот, его гнали в шею.

Ты путаешь проблемы с работой. Программы должны на себя принимать часть работы чтобы решать проблемы. А программы которые просто забирают проблемы себе вместо того чтобы их решать не нужны. Какая польза от твоей программы если проблема осталась? Данные пользователя все еще уязвимы, но теперь не потому, что он дурак, а потому что дурак разработчик. И что, легче стало?

LastPass это менеджер паролей, делающий пребывание в сети простым и безопасным.

 этоВЕЗДЕ

Автоматическая синхронизация ваших данных: доступ к ним из любого места в любое время.

И ты тоже людям советуешь плохое.

t

Чем плох keepass с локальной БД (естественно с бэкапом)?

C#? В любом случае наш выборк keepassx

Посчитай

Я за всю жизни не менял ни одного пароля. Ни один из паролей не был взломан или подобран.

Тебе просто повезло

Зачем, зачем, вы рекомендуете вредные привычки, что касается сетевой безопасности? Прекратите.

Зачем, зачем, вы рекомендуете вредные привычки, касающиеся сетевой безопасности? Прекратите.

Русский не родной, да?

Всё по делу сказано.

Действительно, смена паролей делает две относительно свежие парольные базы все менее актуальными. Безобразие !

А программы которые просто забирают проблемы себе вместо того чтобы их решать не нужны.

Мнение икспертов нинужно.

проблема осталась? Данные пользователя все еще уязвимы

Внезапно нет. Хочешь доказать обратное - я выложу свой ящик на яндексе, иначе можешь быть свободен.

И что, легче стало?

Конечно. Паролей, которые ломаются по словарю нет, а брутфорсом ты возиться будешь следующие пару миллионов лет.

Что плохого? Конкретно давай.

Что плохого в lastpass?

Родной, просто иногда сложный и думать лень. ;-)

Если закрытый ключ генерируется из пароля, то чем это лучше обычного хэша?

MITM можно исключить, можно использовать более долгие и стойкие алгоритмы и не бояться что юзеры заддосят сервер. Всякие Tox, bitcoin и i2p не боятся брутфорса при общедоступных открытых ключах. Я думаю один сложный пароль, который не надо менять каждые 3 месяца, юзер сможет запомнить.

Да какой бы ни был пароль, в чем смысл, если закрытый ключ геренируется из него, и этот алгоритм всем известен? Если открытый ключ утечёт, также можно брутфорсить (не закрытый ключ пытаться подобрать, а пароль).

А если пароль сложный для брутфорса, то и из обычного хэша его хрен получишь

а ключ - в утке

А утка в кильке, а килька в томате.

А томат - на дубе. Созревает.

Тем что в отличии от пароля не может быть скомпрометирован при передаче. Можно использовать сложный пароль ко многим ресурсам храня его в памяти, это лучше чем пассменеджеры которые еще надо бэкапить. Запомнил один 64 байтный не словарный пароль и профит.

Т.е. от брутфорса, не говоря уже про всякие кейлогеры и фишинг, не защитит. А при передаче, с SSL и так не сопрёшь.

Запомнил один 64 байтный не словарный пароль и профит
64 байтный

64 символа? Даже 32 юникодных. Его набирать то задолбаешься.

порекомендовать выбирать сложные пароли

Люди начинают использовать простые пароли

Ок.

Я за всю жизни не менял ни одного пароля

Такая короткая жизнь? :)

А, я понял, это конкуренты потырили базу паролей юзеров Яндекса.

А ещё у Mail.Ru и Gmail... Это были MSN? :D

64 символа? Даже 32 юникодных. Его набирать то задолбаешься.

Введя одну только эту строчку, ты набрал уже больше сотни символов. Не задолбался? :D

Набирать одну и ту же, такую длинную строчку каждый раз, чтобы получить доступ - задолбаешься. Да и не словарный же нужен, а здесь все слова из словаря.

Какой-нибудь аппаратный токен с закрытым ключом в этом плане лучше будет

Даже если все слова из словаря, подобрать несколько слов, общая длинна которых более 20 символов, займёт очень много времени...

А ещё у Mail.Ru и Gmail... Это были MSN? :D

А гуголь ломанули Высшие Силы Добра. =)

Да и не словарный же нужен

Почему? 5 алфавитно-цифровых русских/латинских символов в разном регистре и со знаками препинания (пусть будет десяток) — это 3 млрд. комбинаций.

5 слов из среднестатистического русского словарного запаса (5000 слов) с морфологией (десяток вариантов для каждого) — это порядка 1E23 комбинаций. Без учёта регистра и знаков препинания.

Понятно, что кто-то может взять и фразу из поговорки или пословицы, но это не будет менее надёжно, чем пароль «parol» или «12345» :)