Ежегодное штормовое предупреждение (о паролях)

понедельник, 16 апреля 2007

Diary Spirit

Администратор

22:06 Ежегодное штормовое предупреждение (о паролях)

Каждую неделю в администрацию приходят письма, смысл которых: "Взламали днев!!! Памагитиии!!!"

Да-да, орфография сохранена. Пишут именно так, потому что иначе не научились. И в 99 случаях из 100 безграмотность в использовании русского языка сопровождается безалаберным отношением к паролям.

Популярные пароли:

12345 - встречается в дневниках 1482 раза

1234 - 843

123 - 900

123123 - 330

111 - 242

1111 - 493

11111 - 242

666 - 528

666666 - 374

777 - 217

qwerty - 830

Разумеется, здесь перечислены не все волшебные комбинации, незнакомые никому в мире, кроме самих владельцев паролей. Более редкие, но все же популярные в народе повторы остальных цифр, букв и подряд расположенных на клавиатуре клавиш, используются так же сотнями или десятками.

А вот и чемпионы:

пароль, совпадающий с логином - 2214

пароль, совпадающий с коротким адресом дневника (shortname) - 3224

Иными словами, даже больше, чем один пользователь из ста, считает, что пароль, совпадающий с коротким адресом его дневника использовать безопасно.

Наконец, имеется несчетное множество паролей, совпадающих с датой рождения или номером аськи, которые указаны в Профиле пользователя, а также паролей, весьма напоминающих номера собственных телефонов, имена и фамилии.

Конечно, наши пользователи не уникальны и не одиноки в этом мире. Например, здесь можно почитать о "самых лучших" паролях у американских пользователей.

Но все же, родные наши! Не вы ли у себя самый(ая) любимый(ая) и ценный(ая)? Для чего надо подвергать опасности свой дневник, регистрируя подобный пароль? Неужели вам так недорог ваш дневник, что сложно запомнить в качестве пароля любое слово, использовать в нем пару заглавных букв, цифр или знаков? Защитите себя сами и избавьте администраторов от ненужной работы по выяснению вашего авторства после того, как ваш пароль подберут и удалят списки Избранного, ПЧ, настройки дизайна и сами записи, прочтут вашу переписку по U-mail, напишут гадости вашим друзьям, разошлют от вашего имени спам...

А еще, проверьте, пожалуйста, какая почта указана в настройках Профиля? Если вы давно ей не пользуетесь, измените адрес почты на действующий.

Спасибо.

---------------------

UPD Поступили советы наших опытных пользователей %)

pash_ka: берём слово, заменяем пару букв, добавляем цифру, знак плюс, подчёркивание.

По поводу генерации паролей: генерировать случайный набор букв-цифр бесполезно. Его всё равно не запомнишь, записывать надо. Если записывать, то лучше в менеджер паролей (кому нужен free - Password Agent, KeePass) у которого и генерилка есть.

Швыня: есть хорошая программа personal passworder, которая сгенерит и сохранит все пароли, одной кнопочкой скопирует в буфер, влазит даже на дискету.

Брать по адресу: http://www.dvasoft.com/ru/passworder/

Whatze Phuck: телефон бабушки и ее инициалы, хрен подберут!

Лиилит: я рекомендую для повышения брутоустойчивости пароля и не сильного его усложнения:

1) выбрать легкое для вас слово и повысить в нем регистр второй\последней\предпоследней буквы

например, в слове password:

- passwoRd

- passworD

2) Заменить буквы "о" на цифру "ноль" а букву "S" на цифру "пять":

- pa55w0rd

Insaned: программа генерации запоминающихся паролей - http://slil.ru/24141630

Edward Nigma

Пользуюсь таким методом уже давно: хороший пароль - слово набранное в неправильном языке и регистре. Например: hJPFHBQ - Розарий, Gfhjkm - Пароль

и в обратную сторону: Дфтвысфзу - Landscape.

И ещё вариант посложнее. Смысл в том, чтобы набрать английское слово русскими буквами с включенным английским языком. Например тот же ладшафт (Landscape) Будет выглядеть так: Kfylcrtqg - Ландскейп

Такие пароли с одной стороны легко запоминаются, а с другой - тяжело подбираемы.

запись создана: 26.03.2007 в 19:39

URL

27.03.2007 в 11:15

Чудной Лис Я немножечко понимать, что такое хеш

URL

U-mail Профиль

gluker

27.03.2007 в 11:20

Чудной Лис, я примерно представляю что есть функция для получения некой строки (хеш) из пароля и в принципе представляю на сколько проблематично преобразовать ее обратно, про сверку поролей тоже в общих чертах

понятно, далее не понятно каким образом это может помочь вам получить список пользователей у которых такой же пароль? Вам сказать одного такого пользователя чтобы вы смогли мне составить этот(поименный) список?

пароль ваш совсем не уникален так может у вас уже есть список тех у кого он такой же?

URL

U-mail Дневник Профиль

gluker

27.03.2007 в 11:20

Insaned, отчасти

URL

U-mail Дневник Профиль

Чудной Лис

27.03.2007 в 12:05

gluker

Любой, у кого есть доступ к базе, без проблем может составить такой список. Вы же согласитесь, что когда через БД не проблема подобрать пароль пользователя - это не очень хорошо, правда? Абсолютно надежных систем не бывает, безопасность лишней тоже не бывает. Если вы считаете иначе, я спорить не буду, но мне, вообще-то говоря, нравится более строгий подход к безопасности

URL

U-mail Профиль

27.03.2007 в 12:12

gluker Чудной Лис Друзья, вы чего? Здесь же есть же стандартная фича: "прислать мне мой пароль на e-mail". Если бы пароли хранились в хэшированном виде такая фича не могла бы быть впринципе (по определению хэша). Я понимаю, что пароли может быть хранятся не в хэшированном а в шифрованном виде например с использованием мощного алгоритма шифрования XOR

но по сути такое решение не сильно надежнее плэйн-текста.

зы: Я еще раз подчеркиваю: я ни в коем случае не учу авторов писать веб-сервисы, я лишь комментирую пост про синхропосылки...

URL

U-mail Профиль

.по сценарию

27.03.2007 в 12:45

а еще берите номер дома и квартиры. это уже вы всегда помните)

URL

U-mail Дневник Профиль

Греди

27.03.2007 в 13:01

вот почитала комментарии, анекдот вспомнился)

Системный администратор:

- Hу и пусть говорят, что использовать в качестве пароля имя своего кота - дурной тон......RrgTt_fx32!b, кыс-кыс-кыс...

это к вопросу об именах) мало ли что))

URL

U-mail Дневник Профиль

gluker

27.03.2007 в 13:24

Чудной Лис, мне кажется что если у постороннего человека будет доступ к базе то наличие хеширования в паролях будет уже не так важно

URL

U-mail Дневник Профиль

27.03.2007 в 13:39

А мне все же интересно, что откомментирует нос про шифрование паролей в БД. И откомментирует ли))

Мну кажется, что там пароли лежат в не сильно зашифрованном виде. Шифровка-расшифровка, чтобы простым взглядом в таблицу юзверей было не достаточно, чтобы даже запомнить ту соль, что там лежит вместо пароля. Хеш подобрать можно, но трудно. Хеш действительно отпадает, судя по этому посту.

URL

U-mail Профиль

Fulvus

27.03.2007 в 13:52

Ну ребят паролики можно взломать через почту=) Побовали и испытавали... Это поопаснее будет троянчик кинул и он юзает помальньку тут хоть заменяйсо паролями=(

URL

U-mail Профиль

Fulvus

27.03.2007 в 13:52

Ну ребят паролики можно взломать через почту=) Пробовали и испытавали... Это поопаснее будет троянчик кинул и он юзает помальньку тут хоть заменяйсо паролями=(

URL

U-mail Профиль

Чудной Лис

27.03.2007 в 14:01

gluker

Зато пароль останется тайной

URL

U-mail Профиль

Чудной Лис

27.03.2007 в 14:03

Лиилит

В синхропосылке-то вся соль!

*хихикает*

URL

U-mail Профиль

27.03.2007 в 14:15

Чудной Лис ну ты бы что выбрал для своего сайта? Хеш или возможность высылки пароля?

URL

U-mail Профиль

27.03.2007 в 14:17

Хм.. сказать честно, я бы выбрала хеши, а на почту кидать новый, сгенерированный пароль. Вот только тогда как оградиться от бесконечной смены паролей недругами?

URL

U-mail Профиль

Чудной Лис

27.03.2007 в 14:21

Лиилит

Тоже так бы сделал.

URL

U-mail Профиль

Vesper

27.03.2007 в 14:28

*задумался, а не сменить ли пароль на что-либо посложнее*

хотя в вышеперечисленных моего пароля нет, но думать надо.

URL

U-mail Дневник Профиль

27.03.2007 в 14:35

интересно на сколько страшно у меня своим паролем XDDD

он простооооооооооооооооооооооооооооооооооооооой

URL

U-mail Профиль

Кюдзо

27.03.2007 в 14:38

Aldegid , ага. зато безопасно

URL

U-mail Профиль

Чудной Лис

27.03.2007 в 14:55

Лиилит

От бесконечной генерации оградиться проще простого. Отсылать письмо для подтверждения.

URL

U-mail Профиль

fox agent

27.03.2007 в 14:58

*прочитала пост. впечатлилась*

Всего одно маааленькое замечание и совсем не в тему, но все-таки...

"Взламали днев!!! Памагитиии!!!"

Да-да, синтаксис сохранен.

э-э...Может все-таки ОРФОГРАФИЯ??? К слову о грамотности. Да, да, я придираюсь!

URL

U-mail Дневник Профиль

.Hizumi

27.03.2007 в 15:08

лучший способ сохранить пароль- держать его в блокноте. давно известно.

у меня как-то был (не на дайри правда) забавный пароль: шкаф

подбирался методом тыка: что первое на глаза попадётся, то и будет. и не забудешь такой пароль.

не уверенна правда, что такое сможет защитить от взлома.

URL

U-mail Профиль

Дикий Шип

27.03.2007 в 15:13

у меня излюбленные пароли были фразами, просто меняй раскладку и пожалуйте - n-значный пароль, набор буковок, а главное - сам его помнишь))) А кто догадается впечатать что-то типа "a<f,heqcr;sdjnyft!"? А всего-то это в английской раскладке без пробелов "ф Бобруйск жывотнае!"

URL

U-mail Дневник Профиль

pash_ka

27.03.2007 в 15:27

Лиилит

я бы выбрала хеши, а на почту кидать новый, сгенерированный пароль. Вот только тогда как оградиться от бесконечной смены паролей недругами?

Решение всем хорошо известно: использовать пару хешированный пароль + нехешированный ответ на "секретный" вопрос.

Хешировать пароль необходимо по той причине, что юзеры склонны использовать один и тот де пароль в нескольких местах. И мне как-то спокойнее спать, зная что из-за дырки в дайри я не потеряю пароль к почте, даже если они совпадают.

При этом, заказать отсылку нового пароля сможет только тот, кто занет ответ на "секретный" вопрос. Даже если это вопрос "Номер Вашего паспорта?", количество недоброжелателей, знающих ответ не так уж и велико.

URL

U-mail Дневник Профиль

LiDeBr

27.03.2007 в 15:30

непонятны мотивы взлома

смысл?

почитать очередной скрытый пост с соплями и нюнями?

нагадить в дневнике?

идиотизм

время дороже стоит

URL

U-mail Профиль

Straw Dog

27.03.2007 в 15:41

А я могу посоветовать взять слово, которое вам легко запомнить, но при использовании его как пароля, сменить регистр на английский или наоборот. Таким образом вы получаете случайную, со стороны, комбинацию букв.

К примеру, берем слово "пароль". Сменяем регистр и получаем "gfhjkm". Или ,берем слово "passwohd" и получаем "зфыыцщкв".

И конечно очень хорошо сочетать буквы и цыфры. Например "gfhjkm45".

Вам останется только запомнить сочетание "пароль45" и не забывать переключать регистр.

URL

U-mail Дневник Профиль

Vesper

27.03.2007 в 15:45

не народ, лучше рандом-генератора ничего не придумаешь)))

URL

U-mail Дневник Профиль

Гёрлочка*

27.03.2007 в 15:58

Кхм,да-да,каюсь,у меня кое-где еще стоят простые пароли,которые всходят в список самых-самых)

Зато на 98% уверена,что мой нынешний пароль на дайрах не повторяется)

Хотя тож непонятно нах взломать дневники и что с ними делать.Ну прочитал какую-нить закрытую запись,которая тебя волновла,ну может в умейл залез,а дальше?вышел и пошел к себе спокойненько)как люди узнают,что их дары ломали?по новым записям?=)

URL

U-mail Дневник Профиль

Василиск

27.03.2007 в 16:09

Пароль должен быть таким. Ab553br4FEdfdDFSx. Хотя такие я ставлю только на важные вещи. Что до днева, то тут у меня все намноого проще, да и кому понадобится меня взломывать?

URL

U-mail Дневник Профиль

Ариона

27.03.2007 в 16:19

Не знаю, предлагали ли уже, но, чтобы пароль был сложным и неповторимым, можно использовать код от любимой компьютерной игры. У меня когда взламывали дайри, почту и аську одновременно везде поставили такое. Это же не выучить! ah3gnk56olc8y01tfg - что-нибудь в этом роде не взломать.

Или как альтернативу можно использовать штрих-коды от предметов на столе. Например, от тетради или книги. Главное, чтобы предмет никуда не пропадал.

URL

U-mail Дневник Профиль

← Предыдущая 1 2 3 4 5 6 7 ... Следующая → Последняя