yandex совсем обезумили

Почта старая, а вкусы изменились?

Аналогичная фигня была. Подозрение на взлом или что-то такое, и вопрос, на который я не знаю, как ответить и откуда он взялся.

А ещё у меня в телеграме два номера забанили просто так.

А ещё в фейсбуке пытался зарегистрироваться, прислал им емайл, телефон, всю переписку за 2 года и фото в купальнике, сказали «проверят», через 3 дня написали, что отказано в регистрации без объяснения причин.

Кто-то сутками просиживает в социальных сетях, а я вот чужой на этом празднике жизни. Наверное, к счастью.

емнип уже были такие жалобы в части тындыкса, старый ящик когда вопросов не было, вопросы придумали, а ответов не дали.

Народ, сообщаю тем, кто не знает. Есть такая фишка как увеличение требований к паролю, если у моих клиентов прокатывали пароли «лось 2006», то они его блокируют без предупреждения и при замене новый можно ввести только в соответствии с новыми требованиями. наблюдал такое у всех почт, ок и вк и т.д. и т.п.
А если блюда появились, то это 99% взлом. У теле 2 базы утекли вчера или позавчера.

то есть входы в VK и разброс по городам напряг, а то что «Елена» нет ?

Да всё напрягло, и по ссылкам не ходил :]

а они у себя пароли в PLAIN TEXT хранят? О_о

Точно такая же ситуация была. Заблокировали старый ящик и просили любимое блюдо.

Переписка с тп из тп ни к чему не привела.

Тебя Елена поломала =) и добавила контрольный вопрос =)

Хеши паролей хранят

Про первое - яндекс давно таким занимается. И по-моему давным давно пора понять, что ни для чего важного ящики на стороннем хостинге использовать нельзя (и потому что они могут вот так неожиданно отнять него, и по другим причинам).

Второе - это же просто фишинговое спам-письмо. Ты всегда на них ведёшься?

Скорее всего зашёл с нового устройства или в сильно новом месте.

Вопрос про любимое блюдо ты сам выбрал, просто не помнишь.

Караул, что происходит?

Ответ в заголовке темы. Если давно на почту не заходил, то одного пароля не достаточно.

e5fa44f2b31c1fb553b6021e7360d07d5d91ff5e
011f368e94220b59f86b29d7e3df5cf96da9ae6e
где слабый пароль? и как определил?

а я вот чужой на этом празднике жизни. Наверное, к счастью.

Радуйся! Зачем тебе эти помойки???

Тебе просто везет. А у многих получается зарегиться, и им хана.

вопрос, на который я не знаю, как ответить и откуда он взялся.

Техподдержка Яндекса ответила, что задавать этот вопрос будут, даже если я его не вводил. Можно войти с IP, не вызывающего подозрений, и задать запасной адрес и телефон, тогда вопрос задавать прекратят. Или связываться с ними, показывать паспорт и тоже задать телефон.

А ещё в фейсбуке пытался зарегистрироваться, прислал им емайл, телефон, всю переписку за 2 года и фото в купальнике, сказали «проверят», через 3 дня написали, что отказано в регистрации без объяснения причин.

Аналогично, но без переписки и купальника.

по рэйнбоу тэйблам?

А сейчас кто-то хеширует пароли без использования солей?

всмысле они из sha1 восстановят sha512 хэш, потом из sha512 пароль с солью?

Я из-за этой фигни перенес все реги на гугл. Самый лулз что зайти в акк я не могу, а почта до сих пор работает (хотя скоро отвалятся - токены для приложений введут).

Нет. В момент входа на сайт пользователь вводит пароль, пароль проверяется и дальше всё вертится. Если пользователь не входит и не выходит, висит себе в одной сессии, то он и не знает, что у него слабый пароль.

а, ну если фронт вычисляет сложность пароля на этапе входа в учетку. тогда да. понятно.

У яндекса нет дна

Вопрос про любимое блюдо ты сам выбрал, просто не помнишь.
просто не помнишь.

2ТС попробуйте «оливье».

Радужные таблицы — это предвычисленные хеши для какого-то набора наиболее часто используемых пользователем паролей. Т.е. ты берешь список паролей типа

• password
• 123456
• qwerty
• …

… и вычисляешь их хеши. Потом какиры сливают БД какого-нибудь сайта и сравнивают хеши паролей оттуда с хешами в радужной таблице. Если какие-то хеши совпали, то ты смотришь по радужной таблице, какому паролю они соответствуют.

Защищаются от радужных таблиц использованием солей при хешировании.

Особенно бесит это для аккаунтов почты для домена,
на которых вопрос стоит типа wtf? с ответом типа 5VnYIZj2jSYzKEkFll5WeMHfvBVB4eT7

Ну хоть с административного аккаунта сбросить можно, с потерей паролей для приложений, что дико неудобно...

Все для вас, все для удобства.

Впечатление, что сокращают неактивную пользовательскую базу,
втч блокируя таким пользователям Яндекс.Диск

Странно, что «водка» никто не предложил

ошибочное, просто пацаны заполняют насильно форму.
Чтобы погрешность была минимальная и т.д.. Короче, кусок пирога с нормальным наполнителем. Ну и подводит всех под одну гребёнку (закручивание гаек).
Смешно то, что этим страдают Google, MS, Yandex, а вот Mail.ru более-менее.

e5fa44f2b31c1fb553b6021e7360d07d5d91ff5e 011f368e94220b59f86b29d7e3df5cf96da9ae6e где слабый пароль? и как определил?

Символов нет, не помню где но точно где-то было что нужно обязательно ещё и символы использовать.

У меня такое же говно, если суппорт не ответит до утра — поменяю MX записи

Это уже индивидуально.

А чего, оно телефон не спрашивает?

Устали

Советую использовать почту от Микрософта: телефон не просит, imap поддерживает, мозги не трахает. Уж точно лучше херандексов.

задать запасной адрес и телефон, тогда вопрос задавать прекратят

Обязательно и адрес, и телефон? Одного телефона не хватит?

Странно, что «водка» никто не предложил

Только что хотел :))) поздно читаю.

Одного телефона не хватит?

Наверное, хватит.

а вот Mail.ru более-менее.

mail.ru меня отказался пускать ещё в марте. Динамический IP Мегафона ему показался подозрительным.

Это они паспорт вымогают 100%. Можно привязать телефон и входить с помощью него. Но контрольный вопрос, который ты не создавал, к почте созданной 15 лет назад сбросить без предъявления фотографии на фоне паспорта всё равно не дадут, хоть ты знаешь пароль и можешь хоть ip, дату и время создания аккаунта сказать или дословно повторить текст любого письмо. Мы говорят подтверждаем что вы это вы и готовы сбросить контрольный вопрос, но только после фото с паспортом.

Кстати да, хватило телефона. Спасибо. И почему-то такой метод обхода забытого (или «забытого») контрольного вопроса не нагуглился.

Еще один пошёл… Телефон, конечно же, не прикреплен к учетке. Впрочем, ничего нового.