Всю жизнь считал Якоба Нильсена м-даком, теперь я в этом уверен

ху из Якоб Нильсен?

> Давайте внедрим размаскировку пароля в банкоматах.

В банкоматах нет паролей, дебил. Там 4х значный пин, где-то он отображается как хххх, где-то нет - не суть важно.

> ху из Якоб Нильсен?

тот, кто решает как должен выглядеть пользовательский интерфейс.

Правильно, давай отображать их цифрами. Чтобы подсмотреть было легче.

> В банкоматах нет паролей, дебил.

> дебил.

Я восхищен твоей вежливостью и тактичностью. Это так, к слову.

предлагаю выдавать к карте два пин кода, и отображать на экране первый пин, зашифрованный вторым пином

> Не, ну дурачок редкостный.

Я не защищаю Нильсена, но твоя критика не обоснована. Он же по ссылке там пишет: Yes, users are sometimes truly at risk of having bystanders spy on their passwords, such as when they're using an Internet cafe. It's therefore worth offering them a checkbox to have their passwords masked; for high-risk applications, such as bank accounts, you might even check this box by default.

>предлагаю выдавать к карте два пин кода, и отображать на экране первый пин, зашифрованный вторым пином
ага, к вопросу об удобстве для пользователей...

Мегапросто и удобно. Сначала было только поле безопасного ввода, теперь к нему надо галку прикручивать.

> Мегапросто и удобно. Сначала было только поле безопасного ввода, теперь к нему надо галку прикручивать.

Ну, он же не заставляет. Это всего лишь рекомендация. Хочешь прикручивай, хочешь - не прикручивай. :-)

>Не, ну дурачок редкостный.

Не надо ля-ля. Во-первых я знаю туеву хучу пользователей у которых пароли цифровые. Знаешь почему? Чтобы вводился 100% правильно независимо от раскладки. Сам так намедни лоханулся с одним быдлодевайсом, который не воспринимает кириллические пароли, и на правильность не проверяет. Пришлось резетить.

Во-вторых, дело в психологии. Юзеру будет наглядно видно что его пароль слабый. Для юзера "******" выглядит более "безопасным" чем "qwerty".

В-третьих, любой самый упертый юзер будет понимать истинную сущность пароля. Например то, как его легко подсмотреть (безотносительно количества звездочек). Это позитивно отразится на конечной длинне, разнообразии символов и т.п. И как следствие более толерантно будет относиться к политике смены паролей, как то частота смены и количество символов, подлежащих замене.

В-четвертых, будет ликвидирована порочная практика ввода паролей "перед лицом юзера". Например, сам так развлекся с админом: поставил курсорчик вместо ввода пароля на имя пользователя и ку-ку: без шума и пыли бОльшая часть админского пароля.

В пятых, обычно пароль передается по сети в открытом виде (конечно TLS, асимметричные криптоалгоритмы и прочие DH здесь рулият, но и это не гарантия защиты от перехвата). Если пароль в явном виде по сети не передается - значит он лежит в открытом виде на сервакае, что еще хуже. Т.е. аргумент: а вот вирусу нужно будет только скриншот сделать - идет лесом.

В шестых, если пароль не скрыт звездочками - повсеместно можно ввести правило: после трех (или вообще двух!) неправильных попыток ввода аккаунт начисто блокируется и без дальнейших объяснений от пользователя не разблокируется. Обычно существующие политики намного более либеральны.

В седьмых, "окно уязвимости" очень короткое: всего несколько секунд у дрессированного пользователя и несколько десятков секунд у всех остальных. А после чего все данные уничтожаются. В особо "безопасных" приложениях можно установить тайм-аут ввода секунд в десять, по истечении которого пароль "закрывается" на звездочки, а при вводе очередного символа "открывается".

А вообще, давно пора переходить на одноразовые пароли для веб-сервисов, и прочих областей, где требуется совеместь с существующей инфраструктурой... А для контор и "новых" сервисов на повсеместное использование PKI.

RMS одно время вообще призывал отказаться от паролей

вообще, я согласен. Увеличивает и еще как, на самом деле. Дебил какой-то. Но пусть себе сам воняет? Не трогай говно, не будет вонять

Теперь в моем тулките будет галочка "показывать пароль" для всех подобных полей. Спасибо!

>Если пароль в явном виде по сети не передается - значит он лежит в открытом виде на сервакае

Не факт.

>Юзабилити страдает, если пользователи вводят пароли, но все, что они получают от системы в ответ — это ряд точечек

Всегда знал что консоль в линукс самая юзабельная, отсутствие каких либо знаков при вводе пароля это подтверждает.

>предлагаю выдавать к карте два пин кода, и отображать на экране первый пин, зашифрованный вторым пином

минимум по 15 символов

> Не надо ля-ля. Во-первых я знаю туеву хучу пользователей у которых пароли цифровые. Знаешь почему? Чтобы вводился 100% правильно независимо от раскладки. Сам так намедни лоханулся с одним быдлодевайсом, который не воспринимает кириллические пароли, и на правильность не проверяет. Пришлось резетить.

А потом у таких как ты уводят пароли на ssh и спамят мне.

> Во-вторых, дело в психологии. Юзеру будет наглядно видно что его пароль слабый. Для юзера "******" выглядит более "безопасным" чем "qwerty".

Юзер считает, что qwerty вряд ли кто-то будет использовать, хоть со звездочками, хоть без.

> В-четвертых, будет ликвидирована порочная практика ввода паролей "перед лицом юзера". Например, сам так развлекся с админом: поставил курсорчик вместо ввода пароля на имя пользователя и ку-ку: без шума и пыли бОльшая часть админского пароля.

уволить того человека, который дает доступ к своему компьютеру левым людям.

> В пятых, обычно пароль передается по сети в открытом виде (конечно TLS, асимметричные криптоалгоритмы и прочие DH здесь рулият, но и это не гарантия защиты от перехвата). Если пароль в явном виде по сети не передается - значит он лежит в открытом виде на сервакае, что еще хуже. Т.е. аргумент: а вот вирусу нужно будет только скриншот сделать - идет лесом.

из всех протоколов, которые я использую, только VNC передает пароль в открытом виде. Пароли на серверах не хранятся, только хэши.

> В седьмых, "окно уязвимости" очень короткое: всего несколько секунд у дрессированного пользователя и несколько десятков секунд у всех остальных. А после чего все данные уничтожаются. В особо "безопасных" приложениях можно установить тайм-аут ввода секунд в десять, по истечении которого пароль "закрывается" на звездочки, а при вводе очередного символа "открывается".

гыгы, уберем, а потом вернем ? :) нуну

> А вообще, давно пора переходить на одноразовые пароли для веб-сервисов, и прочих областей, где требуется совеместь с существующей инфраструктурой... А для контор и "новых" сервисов на повсеместное использование PKI.

если уволить того "админа", то можно будет пользоваться парами ключей

Сраный ЛОР скатился в сраное говно :( Когда ж вы, сволочи, свалите отсюда?

Если тебе повсюду мерещится сраное говно, то почему бы не полечиться от диареи?

не, ну что вы так все разошлись то? нежнее, робяты, нежнее))

Да ты же скотоложец. Вот рута забанили за такую тему, а теперешние модераторы...

> Не, ну дурачок редкостный. Давайте внедрим размаскировку пароля в банкоматах. А то ведь бабушкам пенсию снимать неудобно.

а то у нас только пароли в банкоматах. Пароль на WiFi в отеле (который ресепшен дает всем) зачем скрывать? Пароли на ЛОР и другие лежбища троллей тоже тайны не представляют, и т д

> Пароль на WiFi в отеле (который ресепшен дает всем) зачем скрывать?

Вопрос по-другому, зачем там вообще пароль, если его дают всем?

>> Пароль на WiFi в отеле (который ресепшен дает всем) зачем скрывать?

> Вопрос по-другому, зачем там вообще пароль, если его дают всем?

наверное, если б его совсем не было, в лобби постепенно образовалась бы толпа всяких страждущих почты/гуглмапса и т д. А лобби - не кафе, столиков-официанток нету, поэтому профита бы эти люди отелю не принесли.

Необходимость спрашивать ресепшен отсекает всех кроме самых борзых, которых теперь можно вежливо прокатить, спросив рум намбер, фамилию и т.д.

Безопасность конечно, эти звездочки увеличивают слабо, тут я с Якобом Нильсеном (кто бы он не был) согласен, но и юзабилити от отсутствия звездочек не увеличиться. ИМХО это не то что вообще требует обсуждения, есть звездочки и пусть будут.

З.Ы. А тех кто не может без ошибок набрать пароль из-за "звездочек" лучше вообще к технике не подпускать.

Нда. Как обычно ЛОРовцы в своем репертуаре.

Уважаеемые feanor и phasma. Пожалуйста, запоминте. В мире не много простых истин:

1. Вода - мокрая.
2. Огонь - жжется.
3. Пароль который передается по сети неявно хранится на сервере в открытом виде (и наоборот).

Да, сначала можно установить безопасный канал передачи десятком разных способов. Но факт остается фактом: пароль будет передаваться в открытом виде. Это значит, что если найти правильное место "перехвата", пароль все-равно можно узнать.

>А потом у таких как ты уводят пароли на ssh и спамят мне.

Железная логика.

>то можно будет пользоваться парами ключей

Что такое "пара ключей"?

дурачок ты. он говорит с точки зрения юзабельности. и с точки зрения юзабельности - он прав абсолютно.

> Железная логика.

где я ошибся ? сколько по времени будут брутфорсить мой буквенно-цифровой пароль из 8 символов и сколько твой цифровой ?

> Что такое "пара ключей"?

http://lmgtfy.com/?q=OpenSSH+Public+Key+Authentication

Это кто тут кириллические пароли использует?

>сколько твой цифровой

Лето и p-n переходы плавятся? Посылки: Некто, не посмотрев на текущую раскладку, ввел кириллический (т.е. как минимум с одной буквой) пароль в быдлодевайс. Из-за этого быдлодевайс пришлось резетить. Следствие: некто использует исключительно цифровые пароли.

Просто образец логического вывода.

>http://lmgtfy.com/?q=OpenSSH+Public+Key+Authentication

Тогда уже _две_ пары ключей. А если PKI, то _три_ пары: "клиент", "сервер" и "ЦС".

>В пятых, обычно пароль передается по сети в открытом виде (конечно TLS, асимметричные криптоалгоритмы и прочие DH здесь рулият, но и это не гарантия защиты от перехвата). Если пароль в явном виде по сети не передается - значит он лежит в открытом виде на сервакае, что еще хуже. Т.е. аргумент: а вот вирусу нужно будет только скриншот сделать - идет лесом.

> значит он лежит в открытом виде на сервакае

Чочо?????

Вобще то там лежит md5 или sha, накрайняк enrypt какой-нить.

> В шестых, если пароль не скрыт звездочками - повсеместно можно ввести правило: после трех (или вообще двух!) неправильных попыток ввода аккаунт начисто блокируется и без дальнейших объяснений от пользователя не разблокируется. Обычно существующие политики намного более либеральны.

как Вы думаете, какой я сейчас предложу способ заблокировать все Ваши учетные записи, о которых узнаю?

> из всех протоколов, которые я использую, только VNC передает пароль в открытом виде.

http не? Как на этом сайте авторизуетесь, тоже хочу способ знать

Зачем нужен "ЦС" для моей связи с рабочим кластером, или более того сайтом на кот я часто сижу?

я не знаю, кто такой Якоб Нильсен, и почему он использует мои идеи десятилетней давности, но он прав - пароли ДЛЯ ЮЗЕРОВ не должны закрываться звёздочками, это по факту НАДЁЖНЕЕ (проще запомнить сложные пароли из-за визуального восприятия, можно не пользоваться циферками из-за разницы рус/лат, капс/лоск)

Естественно, к банкоматам, админам и прочей секретной области, где один пароль изпользуется каждый день, а не где сотни паролей используются в сотне мест - это не подходит.

Идеально безопасного ничего нет, через шифрованный канал можно переслать парольв виде хеша. Или вы про то, что в оперативной памяти и свопе можно найти незашифрованные конфиденциальные данные?

>Зачем нужен "ЦС"

ЦС есть "третья" сторона, которая подтверждает "серверу", что ты именно тот "клиент" и "клиенту", что ты именно тот "сервер". PKI в основном используется в корпоративных системах. Ярчайший пример - интернет-банкинг.

Для потребительских веб-систем PKI подходит слабо. А для обеспечения прайвеси "в быту" не подходит совершенно.

>через шифрованный канал можно переслать парольв виде хеша

Я еще раз объясняю. Если пароль передается неявно, то на сервере он должен хранится явно. Да, да, в самом настоящем открытом виде. Если пароль передается явно, то на сервере он может храниться неявно, например в виде хеша.

>Естественно, к банкоматам, админам и прочей секретной области...

...очень хорошо подходят одноразовые пароли. Которые тем более скрывать не надо.

> http не? Как на этом сайте авторизуетесь, тоже хочу способ знать

кому нужен твой пароль от lor'а ?

ты написал, что не используешь протоколы передающие пароли в открытом виде, я привёл контр пример - http.

>Не надо ля-ля. Во-первых я знаю туеву хучу пользователей у которых пароли цифровые. Знаешь почему? Чтобы вводился 100% правильно независимо от раскладки.

Бред. КОшмарный сон админа.

>Сам так намедни лоханулся с одним быдлодевайсом, который не воспринимает кириллические пароли, и на правильность не проверяет. Пришлось резетить.

Не-не, ты лохонулся раньше - при выборе пароля.

>Во-вторых, дело в психологии. Юзеру будет наглядно видно что его пароль слабый. Для юзера "******" выглядит более "безопасным" чем "qwerty".

Твой усер дебил? Он что без набора пароля не может понять его примитивность?

>В-третьих, любой самый упертый юзер будет понимать истинную сущность пароля. Например то, как его легко подсмотреть (безотносительно количества звездочек). Это позитивно отразится на конечной длинне, разнообразии символов и т.п. И как следствие более толерантно будет относиться к политике смены паролей, как то частота смены и количество символов, подлежащих замене.

Кто тебе это сказал? На каком заборе это было написано?

>В-четвертых, будет ликвидирована порочная практика ввода паролей "перед лицом юзера". Например, сам так развлекся с админом: поставил курсорчик вместо ввода пароля на имя пользователя и ку-ку: без шума и пыли бОльшая часть админского пароля.

Ога, и настанет всеобщая благодать. Да вы батенька психОлОг-ЕкстрасЕнс.

>В пятых, обычно пароль передается по сети в открытом виде...

Ну тогда мы едем к вам!

>В шестых, если пароль не скрыт звездочками - повсеместно можно ввести правило: после трех (или вообще двух!) неправильных попыток ввода аккаунт начисто блокируется и без дальнейших объяснений от пользователя не разблокируется. Обычно существующие политики намного более либеральны.

Трололо. Если тебе не удается с _третьго_ раза ввести открытый пароль, то тебе к доктору.

>В седьмых, "окно уязвимости" очень короткое: всего несколько секунд у дрессированного пользователя и несколько десятков секунд у всех остальных.

OMFG!! А усера на смартность ты будешь тестить по радужной оболочке глаз??

>А вообще, давно пора переходить на одноразовые пароли для веб-сервисов, и прочих областей, где требуется совеместь с существующей инфраструктурой...

Бред.. Иди уже поработай админом. И попробуй заставить людей менять пароли хотя бы раз в месяц. А потом отпишешь.

Садись! два!

>Не-не, ты лохонулся раньше - при выборе пароля.

На чужой машине с раскладкой "русский по умолчанию" ввел пароль. Результат на лицо. И кириллические пароли в отличие от некоторых не использую. И даже помыслить их не могу. Поэтому и не написал что по ошибке. Только странно почему ЛОРовцы за это ухватились? Сами что-ли используют широко?

>Он что без набора пароля не может понять его примитивность?

Представляешь да. Наверно потому что у обычного пользователя дофига своих дел. А из-за ошибок становления системного администрирования в РФ они скорее считают любые административные политики досадоной помехой, чем жизненно необходимой вещью...

>Ну тогда мы едем к вам!

Из известных мне протоколов - CHAP, да еще некоторые методы аутентификации в SASL (правда на практике мне видеть их не доводилось по понятным причинам, которые я уже устал называть).

>>давно пора переходить на одноразовые пароли для веб-сервисов
>попробуй заставить людей менять пароли хотя бы раз в месяц.

Интернет, молодой человек, такое потрясающее место, где можно выставить себя дураком перед огромной кучей людей... Что Вы сейчас и проделали. Для начала советую почитать http://en.wikipedia.org/wiki/One-time_password.

>>Не-не, ты лохонулся раньше - при выборе пароля.

>На чужой машине с раскладкой "русский по умолчанию" ввел пароль. Результат на лицо. И кириллические пароли в отличие от некоторых не использую. И даже помыслить их не могу. Поэтому и не написал что по ошибке. Только странно почему ЛОРовцы за это ухватились? Сами что-ли используют широко?

В том то и дело что не.

>>Он что без набора пароля не может понять его примитивность?

>Представляешь да. Наверно потому что у обычного пользователя дофига своих дел. А из-за ошибок становления системного администрирования в РФ они скорее считают любые административные политики досадоной помехой, чем жизненно необходимой вещью...

Это на проблема россиян, это _нормально_ для всех хомосапиенсов. Обычное нежелание делать ненужную работу (с их точки зрения)

>>>давно пора переходить на одноразовые пароли для веб-сервисов >>попробуй заставить людей менять пароли хотя бы раз в месяц.

>Интернет, молодой человек, такое потрясающее место, где можно выставить себя дураком перед огромной кучей людей... Что Вы сейчас и проделали. Для начала советую почитать http://en.wikipedia.org/wiki/One-time_password.

Lol. Это ты мне про одноразовые пароли? Давно ссылку нашел? Ссылка боян как и сама тема.

Перечитай свой пост. Особенно место про быдлодевайс, а потом делай выводы кто тут кого и и как выставил. Эксперт, ЁКЛМН

В догонку:

>Интернет, молодой человек...

:) сенкс

>Это ты мне про одноразовые пароли?

Тогда к чему пассаж "заставь менять пароли хотя бы раз в месяц".

>Особенно место про быдлодевайс

А что, ты сам потребительскими девайсами не пользуешься? Сомнительно как-то... Может, конечно, у тебя дома инет не по потребительскому ADSL модему, а по 800-й циске. Может в твоей точке доступа (конечно же собранной на Ъ линуксовой (бздшной) машине или той же 800-й циске) вместо WPA-PSK используется EAP вкупе с отдельным RADIUS'ом и не парольный, а по сертификатам домашнего ЦС или вообще стороннего. Может у тебя дома стоит узел ethernet-провайдера местного разлива, я не знаю. Но это не факт, что остальным не приходится иметь дело с потребительской электроникой.

>>Это ты мне про одноразовые пароли?

>Тогда к чему пассаж "заставь менять пароли хотя бы раз в месяц".

Я и думать за тебя должен? Иди перечитай уже.

>>Особенно место про быдлодевайс

>А что, ты сам потребительскими девайсами не пользуешься?

Квест пройден неверно. Как подсказка: речь не о девайсе. Думай.

>Я и думать за тебя должен? Иди перечитай уже.

Реквестую объяснение каким образом внедрение одноразовых паролей имеет отношение к политике смены обычных паролей.

>>Я и думать за тебя должен? Иди перечитай уже.

>Реквестую объяснение каким образом внедрение одноразовых паролей имеет отношение к политике смены обычных паролей.

=) Это ты у кого спросил?

"А вообще, давно пора переходить на одноразовые пароли для веб-сервисов, и прочих областей, где требуется совеместь с существующей инфраструктурой... А для контор и "новых" сервисов на повсеместное использование PKI."

Macil * (*) (26.06.2009 3:25:45)

Вам пора лечиться, электричеством.

Ты это, заканчивай. А то я уже хамить начал. Ты портишь мою ЛОРо-карму.