Про гром, мужика и интернет-паспорт

Почему-то в клиент-банке есть проверки пароля не только на длину и состав символов, но и запрет использования старых паролей, смененных принудительно по тайм-ауту еще несколько лет назад

В результате пароль будет записываться на бумажках...

В соседней теме было про «постоянно ходить в броне и в противогазе». Вот это оно и есть. Добровольно этим заниматься никто никогда не будет.

моя мама работает дошкольным учителем в частном детском садике. На днях им сделали корпоративную почту и выдали рэндомные пароли типа «aDjiI23JIjnUJUhbn8134u», длиной в 20 символов. Они в здравом уме?

Еще один довод за «не надо дрочить на безопасность везде и всюду» :)

достаточно набрать его раз 10-15 и он запомнится механически, на подсознательном уровне

Гг.. местные посоны говорят что они тебя уважают и тебе такого делать не будут: Пока гром не грянет — мужик не перекрестится (комментарий) :)

Нужно писать нормальный софт. А пользователь должен просто пользоваться.

Надо делать правильные автомагистрали и машины, тогда от ПДД можно будет отказаться.

Ну чем правильнее дороги тем безопаснее даже если рядом пьянь за рулем. Все относительно.

Я к тому, что нужны оба фактора: как нормальный софт, так и элементарная грамотность.

мне интересно другое - напуркуа некоторые сайты/софт ограничивают _максимальную_ длину пароля, скажем в 12 символов?

Читаю уже третий трэд, и никак не могу взять в толк. Что все хотят?

Есть те, кто заботится о собственной безопасности, а есть те, кто ниасилил. Это называется мировая гармония и баланс.

Пройдет какое-то время, и на этом ровном месте вырастет рыночная ниша. Вторые будут нанимать первых, чтобы не терять свою бухгалтерию и домашнее видео. А первые получат хороший заработок, и купят своей девушке очередной айчто-тотам.

Ни разу не видел. Где, например?

Они в здравом уме?

Нет, ибо атака на корпоративную сеть будет отнюдь не брутфорсом почты сотрудников) К тому же, сотрудники наверняка почту читают не в исходнике, а в отформатированном виде.

В результате пароль будет записываться на бумажках...

И круг потенциальных взломщиков сузится до тех, у кого есть доступ к бумажкам. Гораздо лучше.

И да, man менеджер паролей.

На днях им сделали корпоративную почту и выдали рэндомные пароли типа «aDjiI23JIjnUJUhbn8134u», длиной в 20 символов.

Хороший пароль. Возможность смены его на парольную фразу есть?

Опять же, man менеждер паролей.

проверки пароля не только на длину и состав символов, но и запрет использования старых паролей, смененных принудительно по тайм-ауту

За такое надо прибивать яйца к мостовой.

нет не надо.

менеждер паролей

У меня при этих словах обычно возникает ассоциация: специально обученный человек, обязанностью которого является бегать между машинами и вводить пароли. И, кстати, эта идея даже не кажется сильно бредовой.

алибаба например.
вообще несколько раз встречал - каждый раз бугуртил

нет не надо.

Да, не надо портить мостовую.

пользователь должен просто пользоваться

а все что выше можно было б не писать. пользователю нужно дать свободу выбора: установить пароль в одну букву? пожалуйста.

каждый сам должен решать за себя.

У пользователей простые пароли? А к кому претензия то? Я считаю, что к авторам софта и сайтов. Почему-то в клиент-банке есть проверки пароля не только на длину и состав символов, но и запрет использования старых паролей, смененных принудительно по тайм-ауту еще несколько лет назад.

Мне больше нравится, когда вводишь мегапароль, а тебе бороду отписывают: «У нас только буквы и цифры, И НИКАКИХ СПЕЦСИМВОЛОВ БЛДЖАД!!». Вымораживают, идиоты.

до тех пор, пока не 2 соседние буквы случайно не поменяются местами)

Нужно писать нормальный софт. А пользователь должен просто пользоваться.

Надо делать правильные автомагистрали и машины, тогда от ПДД можно будет отказаться.

Все правильно, когда в обе стороны по три полосы разделенные отбойником аварий на обгоне меньше, чем на федеральной двухполоске.

в бд поле varchar(12)

У пользователей простые пароли? А к кому претензия то? Я считаю, что к авторам софта и сайтов. Почему-то в клиент-банке есть проверки пароля не только на длину и состав символов, но и запрет использования старых паролей, смененных принудительно по тайм-ауту еще несколько лет назад.

В 90% случаев это приводит к тому, что пароль записывается на стикер и приклеивается к монитору.

Обучить простой мнемонике можно каждого.

Мне больше нравится, когда вводишь мегапароль, а тебе бороду отписывают: «У нас только буквы и цифры, И НИКАКИХ СПЕЦСИМВОЛОВ БЛДЖАД!!». Вымораживают, идиоты.

И длина только от 6 до 12 символов. Убивать надо. Например, Payoneer.

Я-то вместо паролей идиотских бессмысленных, которые и забыть просто, фразы использую.

еще круче. хеши? не, не слышали.

+1
и в 12 сложновато вкрутиться

достаточно набрать его раз 10-15 и он запомнится механически, на подсознательном уровне

Ну давай, сделай себе паролем UUID, и запоминай механически. У меня запоминалка более полезными вещами занята.

не слышали

очевидно, так и есть

обычно так и делаю )))

Эти чудаки на букву м не понимают, что если они хотят, чтобы в пароле были непременно буквы разной величины, пунктуация, спецсимволы и цифры, но при этом длину пароля ограничивают 8-12 символами (да, есть такие, что и на 8!), то пространство ключей нехило так уменьшается.

Я прочитал заголовок: «Про гном, мужика...» и вспомнил как пришел на ЛОР.

обычно так и делаю )))

Наверняка и неженатый, и девушки нет.

кто бы говорил :)

Чем вообще обуславливаются такие ограничения? Какая разница что за строка в пароле?

Чем вообще обуславливаются такие ограничения? Какая разница что за строка в пароле?

Я не знаю, но обычно это сайты на ASP (подозреваю, что ASP classic, хотя в сортах этого г особо не разбираюсь). Видимо, библиотека для криптования паролей от мелкософта, которая там из коробки, такая смешная.

Я над ситуацией работаю. А ты UUID'ы запоминаешь. :)

ну и как, помогают короткие пароли этому?

Опять нам продали недоделку! Компьютеры пока не готовы для своих пользователей.

В 90% случаев это приводит к тому, что пароль записывается на стикер и приклеивается к монитору.

в 90% случаев становится значительно легче узнать кому откручивать яйца «есличе».

ну и как, помогают короткие пароли этому?

Я выше писал, что пароли у меня длинные. Только я не делаю паролей навроде «aDjiI23JIjnUJUhbn8134u».

Еще один более-менее начал понимать.

На самом деле, ниже в треде кто-то уже сказал, что нужны оба фактора - и нормальный софт, и голова на плечах. А еще нужен третий фактор - нормальная работа CERT и законодательной/исполнительной власти, но тут я начинаю перемещать в страну эльфов и единорогов...

[поток_сознания] А вообще, есть что-то общее между обвинением пользователей со взломанными акками в том, что они ставят слабые пароли, и изнасилованной в парке девушки, что она сама спровоцировала насильников - накрасилась, юбочку одела, да еще и посмела родиться красивой и следить за собой. [/поток_сознания]

удобные и понятные инструкции

http://24.media.tumblr.com/tumblr_l17l9f8KS21qz9bwro1_400.jpg

Ни разу не видел. Где, например?

Пейпал, мать их.

OMG, это действительно странно...

man менеджер паролей

Угу, чтобы все пароли красиво 3.14здились в одном месте и сразу. Зачем усложнять задачу злоумышленнику?

Во-первых, менеджер паролей лучше слабых паролей на удалённые сервисы. Очевидно, что он — локальный.

Во-вторых, мастер-пароль никто не отменял. Если у злоумышленника есть возможность узнать мастер-пароль — он с тем же успехом может поставить кейлоггер и узнать все пароли.

достаточно набрать его раз 10-15 и он запомнится механически

А через месяц неиспользования ты его пытаешься вспомнить и понимаешь что ЗАБЫЛ.

Спасибо, я так уже кредитку менял.