БЛОГ / КОММЕНТАРИИ

Хотелось бы деликатно возразить

софт

09.08.2013 11:04

Комментарии 96

В данном случае - по всем пунктам согласен с Алексом. Да, всё, что описано - здорово действует на нервы, но - если всё это разом отменить - будет только хуже. Сам много раз искренне благодарил фичу - "повторный набор пароля". Теперь, насчёт звездочек. А что - вирусы, делающие скриншоты экрана отменили? И потом, каким бы ты не был аккуратным, всё равно велик шанс, что из-за спины твой пароль считают. И опять же - гораздо легче прикрывать при наборе пароля только клаву, чем прикрывать и клаву и экран. Опять же - сейчас экраны компов стали очень большими, уже своей головой перекрыть угол обзора как раньше, не получится 😄.

"Если я хочу поставить "123" — это мое личное дело, а не ваше!"

Во, вот именно из-за этого лично я пострадал... Я, всегда ставящий пароль по всем правилам, всегда сложный, пострадал из-за таких вот деятелей, ставящих "123"...Есть у меня почта, выданная провом. Почта эта у меня очень давно, я ею практически не пользуюсь, но - в одно время там начала твориться настоящая вакханалия - был просто тотальный разгул спама. Доходило до того, что мне спам приходил от меня же.. В итоге, пров ввёл там очень жесткие требования - теперь поставить на ящик пароль вида 123 в принципе невозможно. Так более того - теперь ВСЕ обязаны менять пароль минимум раз в месяц. Невзирая на его, пароля, сложность. Спрашивается - а я причём? Я же и так ставил сложный пароль, почему я обязан его менять? Но я смирился... А что делать, если прова просто задолбали жалобы таких вот марий арбатовых, поставивших паролем 123, а потом плачущих - ой, мою почту взломали... Кстати, система там теперь – реально аццкая. Пароль при его забытии ты можешь восстановить только один раз. Если опять забыл – нужно с админом связываться и лично доказывать, что ты это ты и ящик твой… И ВСЁ это ТОЛЬКО из-за такой вот позиции некоторых – «мой пароль, чё хочу, то и делаю»…

TipaGraf

11.08.13 02:58

0 0

Про экзотические требования к паролям сегодня на dailywtf прекрасное 😄 :

http://img.thedailywtf.com/images/13/q3/e79/Pic-6.png

sbat

10.08.13 21:55

0 0

Все-таки Леня точно платит Экслеру по какой-то договоренности) Слишком много внимания Экслер уделяет Каганову в своем блоге.

TheBaelen

10.08.13 17:54

0 0

Лично меня бесит, когда гугл или мэйл.ру настойчиво предлагает указать номер телефона для восстановления пароля, типа это очень нужно и полезно для восстановления доступа к почте.

А что если телефон украдут? Что тогда?

Someone777

10.08.13 12:22

0 0

Хрен с ними со звёздочками, хрен с ним с повтором пароля, даже пофиг на смену через временный пароль. Но вот по поводу п.4 - сам подпишусь, ибо это требование "супер-сложного пароля" (причём так, как это видят авторы конкретно данного сайта) уже вконец достало. Это, чёрт возьми, мой пароль, какой хочу - такой ставлю. А то на одном сайте используй прописные и заглавные, на другом буквы и цифры, на третьем ещё спецсимволы добавь... а на четвёртом - запрещены все спецсимволы в пароле, кроме точки (реально попадалось). То им пароль слишком короткий (как-то 12 символов попросили), то слишком длинный (помните максимум 8 символов в пароле к ICQ?). В результате ты вынужден помнить дикое количество разных паролей - каждый из них вполне безопасен, но вот на каких-то сайтах они не подходят.

А по поводу пользователей, истерящих "меня взломали" - ну для кого лицензионные соглашения и правила сайтов пишут? На них и так нынче только кровью расписываться - для, так сказать, стилистического соответствия. Что стоит в них добавить - "Плохой пароль - сам дурак"? На этапе ввода пароля можно предупредить. Злостно предупредить. Предупредить с галочкой "да, я понял". Но запрещать - неуважение к пользователям и маркер самомнения сайтовладельцев.

P.S. На exler.ru, вроде как, есть ограничение только на минимальную длину пароля. По крайней мере, с регистрацией не было никаких проблем. Вот бы везде так...

tapk

10.08.13 10:07

0 0

Кстати, на некоторые сервисы не захожу как раз из-за того, что у них дурацкие требования к паролю. Заглавная буква, обязательная цифра, некоторые ещё и знак препинания хотят. У меня есть несколько основных паролей, довольно длинных и сложных, они удовлетворяют большинству требований, но не всегда. И вот мне приходится вспоминать что за пароль я ввёл при регистрации, чтобы меня таки пустили на сайт. Если мне очень надо - могу запросить восстановление пароля по почте. Если не очень надо - просто ухожу с этого сайта, и больше на него не вхожу.

Тсарь

10.08.13 03:38

0 0

>Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123"

Типичное переваливание с больной головы на здоровую - один из многих тысяч пожаловался, теперь давайте всех заставим набирать парили под наши требования (зачастую, абослютно дебильные). Вместо того, чтобы написать большиими красными буквам что-то вроде "Простой пароль приведет ко взлому вашего аккаунта, нажмите ОК что вы это прочитали".

Хуже всего то, что вместо моего обычного пароля, который выглядит примерно как jsdsdfpaqpqamnjx, меня заставляют набирать какой-нибудь Alligator5 который под требования этх дятлов подходит, а подобрать его в сто раз проще.

Otiz

09.08.13 23:49

0 0

Otiz: Типичное переваливание с больной головы на здоровую - один из многих тысяч пожаловался, теперь давайте всех заставим набирать парили под наши требования (зачастую, абослютно дебильные). Вместо того, чтобы написать большиими красными буквам что-то вроде "Простой пароль приведет ко взлому вашего аккаунта, нажмите ОК что вы это прочитали".

Один идиот с уверенностью в своей правоте стоит десятков тысяч нормальных пользователей. (стоимость в нервных клетках 😄 )
А большую красную надпись... Ответ один - "не видел/а"

jorassic

Otiz

10.08.13 09:00

0 0

Ладно, пойму еще банки, которые заставляют пользователей придумывать пароли. Но когда это делает любой сраненький форум, с которого надо лишь почерпнуть толику информации, либо изредка что-то писать - это реально бесит. Мне лично пофиг на 90% моих логинов в сети, даже если их взломают и используют во вред всей вселенной.

Barracudas

09.08.13 21:23

0 0

Пароль любой сложности легко подбирается терморектальным криптоанализатором. Причем за вполне разумное время.

Шутка.

DedMorozz

09.08.13 21:17

0 0

DedMorozz:
Пароль любой сложности легко подбирается терморектальным криптоанализатором. Причем за вполне разумное время.

Шутка.

Я тут рельно забыл один реально очень важный пароль. Думаете, поможет?

===

Я вас буду пытать-иметь. Пока не скажете. А если не подойдет, то даже моя раскованная фантазия бессильна. Кошмар - это мягко сказано.

Peter Zabriski

DedMorozz

09.08.13 21:23

0 0

Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.

Подписываюсь!

Барбо-с

09.08.13 20:32

0 0

А я ненавижу, когда регистрация/валдация/и т.п. требует SMS. Когда я это вижу - я забываю об этом ресурсе навсегда.

/off

Вообще - я бы приговорил изобретателей SMS к 15-летнему расстрелу через повешение на электрическом стуле

off/

Twilight

09.08.13 20:29

0 0

Twilight: Вообще - я бы приговорил изобретателей SMS к 15-летнему расстрелу через повешение на электрическом стуле

Тот же самый метод я бы применил к разработчикам Windows Phone, которые решили, что текст SMS-ок, в момент их прибытия, можно отображать поверх lock screen (!!!).

Curmudgeon

Twilight

09.08.13 21:16

0 0

Александр Амелькин: Первый раз за 20 лет узнал, что, оказывается, аж целые специальные программы придумали для тех, кому лень зайти в настройки своего броузера и нажать "отобразить пароли" (текст в зависимости от броузера может отличаться).

Речь идет не о том, чтобы посмотреть сохраненные пароли, а о том, чтобы видеть пароли во время ввода. Как это опционально в Андроиде сделано, например.

Peter Zabriski

09.08.13 19:10

0 0

Тю. Зачем возражать, если у человека НЕНАВИСТЬ.

Romix

09.08.13 18:14

0 0

Romix:
Тю. Зачем возражать, если у человека НЕНАВИСТЬ.

))) Кстати - да! Резонно.

Peter Zabriski

Romix

09.08.13 18:30

0 0

толи пропустил.... толи не внимательно читал каменты....

а где же ректотермальный/терморектальный подбор паролей ? в условиях рашки весьма себя оправдывает (впрочем там даже и пояльник не нужен - достаточно компетентным огранам сказать "виновен" и пароль подберут, даже если у тебя и компьтера то нет...)

Power User

09.08.13 16:28

0 0

" Кроме таких идиотов в переполненном трамвае существуют миллионы офисных работников, мониторы которых постоянно на виду." честго говоря вижу очень мало оффисных работников у которых мониторы "навиду" настолько что можно бы бы прочитать пароль с экрана и не "прочесть" его по нажатию на клавиши.

и уточню - при нормально организованной работе работнику надо 1-2 пароля.

dimav

09.08.13 15:59

0 0

dimav :

dimav:
и уточню - при нормально организованной работе работнику надо 1-2 пароля.

При НОРМАЛЬНО организованной - только один. Или даже fingerprint. В остальном работает SSO

Twilight

dimav

09.08.13 20:22

0 0

С точки зрения, например, банков, простой пароль упрощает взлом и вывод средств, отвечать банку своими деньгами, отмазаться тем, что пароль простой он не сможет, поэтому просто требуют сложного пароля из простых финансовых соображений.

vitalyoff

09.08.13 14:38

0 0

у Сбербанка не очень сложный пароль на "банк-онлайн" и сменить его на сложный нельзя(

Nikson

09.08.13 13:53

0 0

Nikson:
у Сбербанка не очень сложный пароль на "банк-онлайн"

Да. Но там по SMS доп-но однораз. пароль шлют и информируют о входе.

Nikson:
и сменить его на сложный нельзя(

Главное, что его сменить на очень простой не получится! 😄

Хотя, конечно, пароль мог бы быть и посложнее...

Peter Zabriski

Nikson

09.08.13 14:24

0 0

опять Каганов, и опять в своем традиционном стиле "... двое против ветра" .

1. Сначала выкатил целый список претензий к методам и требованиям к аутентификации принятых на серьезных интернет-проектах с милионной аудиторией.

2. Заявил самоуверенно, что лично ЕГО это не устраивает, а значит это глупо/по-идиотски/неудобно.

3. А затем, в результате развернувшейся дискуссии и появившихся замечаний и претензий к нерациональности реализации или к возможной небезопасности его собстенного самопального движка, заявил свое обычное : а я не обязан что-то для кого то делать, менять или отвечать за это.

Сравните с его позицией касательно авторского права- тот же стиль- тихо слиться если уличили в противоречии самому же себе.

sonar

09.08.13 13:50

0 0

sonar: опять Каганов, и опять в своем традиционном стиле "... двое против ветра" .

Есть у него такое. "Я не такой как все":)

jorassic

sonar

10.08.13 08:54

0 0

Я надеюсь, щас Алекс и ув. russia.oleg откроют нам, темным, глаза на передовые нанотехнологии подзвездочного просмотра. Сижу, жду.

Old Nick

09.08.13 13:38

0 0

Меня вот бесит только одно: когда во время регистрации на каком-либо ресурсе ошибаешься в какой-нибудь чуши, страница перезагружается и сбрасывает уже введеный без ошибок и принятый системой пароль. Все пятьсот символов со знаками препинания и буквами разных размеров.

Что касается паролей из всяких там стихотворений -- достаточно сделать несколько изящных ошибок в словах, и сложность перебора тут же существенно возрастет.

Jekyll Grim Payne

09.08.13 12:58

0 0

По поводу сложности паролей соглашусь. Надо не "насаждать" сложность, надо пользователя предупреждать об излишней простоте и возможных последствиях. Большими такими красными буквами. И если пользователь согласен, то это таки его дело. Зато потом можно будет с чистой совестью его послать к такой-то матери.

И автоматическая генерация паролей в духе !4u23va123jja это тоже цирк с конями. Мне, кроме шуток, один раз сгенерировали пароль, который заканчивался на zhopa.

igori-san: А что делать потом банку, если Вы ему сообщите, что Вашей карточкой кто-то воспользовался без Вашего ведома?

Ничего о_О

Некоторые и пин-коды на карточках пишут, что ж поделать.

Kostyan

09.08.13 12:37

0 0

Kostyan :

Мне все-таки нравится, когда банк отвечает за сохранность денег, даже если при этом он выставляет свои правила на сложность пароля. А дать предупреждение " С таким паролем я за Ваши сбережения не отвечаю и при этом позволить его" - для банка это сильно.

igori-san°

Kostyan

09.08.13 12:52

0 0

Про сложность пароля. Попадаются сервисы, где вполне, граждане, можно было бы и вовсе без пароля обойтись. Но - нет! Нужно им, параноикам, чтобы на их "говносервис" - © ЛК - можно было зайти, только имея длинный, как мечта импотента, пароль с буковками во всех регистрах и цифирками. Пару раз даже даже попадались советы по использованию символов из верхней части кодовой таблицы.

В психиатрии есть такое понятие - вовлечение в бред. Это как раз такой случай.

Так что тут я ЛК, пожалуй, поддержу. Достаточно будет дисклеймера: Если вы идиот - это ваши проблемы. С предупреждением ознакомлен. И квадратик с галочкой.

Peter Zabriski

09.08.13 12:27

0 0

Кстати, что характерно, все недоумения Алекса (с которыми я лично полностью согласен) уже были предложены в комментах к посту Ллео и вызвали его однозначную и закономерную реакцию 😉

Camel1000

09.08.13 12:27

0 0

Вот абсолютно поддержу " Серега ( 09.08.13 12:06 )"

Дебильные проверки на безопасность пароля по наличию в нем различных групп символов не только достали, но и действительно не определяют реально его безопасность.

Quartz

09.08.13 12:19

0 0

Неа; Ллео полностью прав, по всем пунктам.

Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.

pіroJOKE

09.08.13 12:13

0 0

pіroJOKE: Неа; Ллео полностью прав, по всем пунктам.

Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.

А что делать потом банку, если Вы ему сообщите, что Вашей карточкой кто-то воспользовался без Вашего ведома? Всякие чаты и форумы и так разрешают простые пароли.

igori-san°

pіroJOKE

09.08.13 12:36

0 0

Оставлю здесь луч ненависти разработчикам одного интернет-банкинга 😄

Эти красавцы совершенно правильно высылают на мобилку одноразовый пароль для подтверждения операции. НО! Во-первых, это восьмисимвольный сложный пароль (в разных регистрах, с цифрами и спец-символами), а во-вторых - поле для его ввода рисует звездочки.

Так и хочется их посадить и заставить сутками проводить операции...

Crocodile

09.08.13 12:04

0 0

Очень хорошо понимаю Леонида. Я сам компьютерщик, начинал ещё на ZX Spectrum, потом - голый DOS, мои привычки складывались именно тогда. И, уж извините, привык я к тому, что компьютер - мой, и я могу делать с ним всё, что захочу - моей квалификации вполне хватает, чтобы ничего не испортить. А соверменные ОС то решают за меня, в какую папку я могу что-то писать, а в какую - нет, то указывают, где я должен хранить свои настройки, а где не должен и т.п. Очень неприятно пользоваться всем этим, потому что не соответствует моим привычкам, которые мне дороги как память 😄 Но я прекрасно понимаю, что основную массу нынешних компьютерных пользователей и в самом деле надо сильно ограничивать, нет у них такого же опыта, как у меня, чтобы просчитывать последствия своих действий. И для таких, как я, выбор простой: либо пользуйся массовым продуктом, который будет содержать кучу лишних лично для тебя проверок, ограничений и т.п., либо ищи что-то, удобное таким же квалифицированным, и сиди в узкой нише. Так что по-человечески я понимаю и разделяю чувства Леонида, но доминировать всё равно будет продукт, рассчитанный на средний уровень владения компьютеорм, который сейчас существенно ниже профессионального.

Вглук

09.08.13 11:58

0 0

Вглук: И, уж извините, привык я к тому, что компьютер - мой, и я могу делать с ним всё, что захочу - моей квалификации вполне хватает, чтобы ничего не испортить.

Извините, но нычне вы со своего компьютера заходите на уже не только ваши ресурсы. И с каждым годом компьютер все меньше и меньше лично ваш. Поэтому некие условно-универсальные правила для всех неизбежны. Это как с автомобилями, пока их были единицы - они никого не беспокоили, пока курей не давили. А потом появились ПДД. И теперь вы можете быть хоть на 500% уверены, что с правитесь с управлением своего авто на скорости 140км в час, но общие правила диктуют вам максимально допустимую скорость. И как человек хорошо знакомый с компьютерами, вы должны понимать, что правило состоящие из сплошного набора исключений работать не будет.

Khul

Вглук

09.08.13 21:21

0 0

Вглук: Очень хорошо понимаю Леонида. Я сам компьютерщик, начинал ещё на ZX Spectrum, потом - голый DOS, мои привычки складывались именно тогда. И, уж извините, привык я к тому, что компьютер - мой, и я могу делать с ним всё, что захочу - моей квалификации вполне хватает, чтобы ничего не испортить. А соверменные ОС то решают за меня, в какую папку я могу что-то писать, а в какую - нет, то указывают, где я должен хранить свои настройки, а где не должен и т.п. Очень неприятно пользоваться всем этим, потому что не соответствует моим привычкам, которые мне дороги как память Но я прекрасно понимаю, что основную массу нынешних компьютерных пользователей и в самом деле надо сильно ограничивать, нет у них такого же опыта, как у меня, чтобы просчитывать последствия своих действий. И для таких, как я, выбор простой: либо пользуйся массовым продуктом, который будет содержать кучу лишних лично для тебя проверок, ограничений и т.п., либо ищи что-то, удобное таким же квалифицированным, и сиди в узкой нише.

Вариант я вижу только один - месье совсем не так квалифицирован, как думает о себе. Иначе с чего сколько бреда про ограничения? Да, есть, но убираются за полчаса, и для этого совсем не нужно Асм ковырять.

jorassic

Вглук

10.08.13 08:41

0 0

Alex Exler: Это вообще бред сивой кобылы. Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали.

Тут есть один момент. 😄

Для удобства ввода с мобильной клавиатуры в некоторые не самые смертельно-критичные сервисы я генерирую KeePass'ом достаточно длинные пароли, но только lowercase letters. И некоторые сервисы очень сильно волнуюся: "Ох, как же это у вас 9 букв и ни одной цифры, и ни одного спец-символа, очень небезопасно!"

И еще забавно, когда так беспокоится интернет-магазин (который не сохраняет при том платежную информацию) или мониторилка веб-сайта (злоумышленники зайдут и будут мониторить другой сайт, да!).

sbat

09.08.13 11:45

0 0

Забивание пароля звездочками без возможности это отключить – реальное зло. Как существуют "миллионы офисных работников", так существуют и миллионы домашних юзеров, которым никто через плечо не заглядывает. И когда приходится вспоминвать пароль от редко используемого сервиса, за эти неотключаемые звездочки разрабов хочется убивать долго и мучительно.

Про LastPass я в курсе, если что. Но всё равно.

Old Nick

09.08.13 11:30

0 0

Old Nick: И когда приходится вспоминвать пароль от редко используемого сервиса, за эти неотключаемые звездочки разрабов хочется убивать долго и мучительно.

Вы не знаете, как из запомненных на компе звездочек получить пароль? Прикольно...

Alex Exler

Old Nick

09.08.13 11:39

0 0

Где есть возможность давно сделали поддержку open auth.

x-term

09.08.13 11:28

0 0

A little knowledge is a dangerous thing. Очередной пример, когда криптографию обсуждаю дилетанты. Хранить хэши паролей тоже небесопасно, существуют радужные таблицы для воостановления паролей по хэшу. Для безопасного хранения нужно к хэшу добавлять соль .

Seneca

09.08.13 11:27

0 0

Seneca: A little knowledge is a dangerous thing. Очередной пример, когда криптографию обсуждаю дилетанты. Хранить хэши паролей тоже небесопасно, существуют радужные таблицы для воостановления паролей по хэшу. Для безопасного хранения нужно к хэшу добавлять соль .

У Каганова хеши засолены. См. комменты к его посту.

Camel1000

Seneca

09.08.13 12:23

0 0

Ненавижу когда набираю google.com и он тут же услужливо переключает на Google.az Какого хрена.

Какого хрена в google play в топ приложений мне услужливо подсовывают местые разработки местных умельцев?

Anarrich

09.08.13 11:25

0 0

Anarrich:
Ненавижу когда набираю google.com и он тут же услужливо переключает на Google.az Какого хрена.

Набирайте google.com/ncr

Конь в пальто

Anarrich

09.08.13 17:33

0 0

"Извините за резкость, просто на той неделе мне довелось беседовать на эти темы с одним профессиональным деятелем, который половину этих пунктов просто не понимает. Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки..."

Интересно, что из этого высказывания Каганов сделал вывод, что они у себя хранят пароли. Совершенно не обязательно.

wugluskr

09.08.13 11:24

0 0

Alex Exler: Вот тут я себе вообще весь мозг сломал - не смог уловить суть претензии

Алекс, я думаю там идет речь о системах автоматической генерации начальных паролей. Проходишь регистрацию и тебе выдают такую вот абракадабру. Естественно, ее надо сразу сменить, т.к. запомнить невозможно, но почему бы не предусмотреть задание удобного пароля сразу на этапе регистрации?

Quiet Zone

09.08.13 11:20

0 0

Quiet Zone: Алекс, я думаю там идет речь о системах автоматической генерации начальных паролей. Проходишь регистрацию и тебе выдают такую вот абракадабру. Естественно, ее надо сразу сменить, т.к. запомнить невозможно, но почему бы не предусмотреть задание удобного пароля сразу на этапе регистрации?

Это делается для совмещения процесса регистрации с проверкой адреса почты/телефона.

Pasha1st

Quiet Zone

09.08.13 11:28

0 0

Alex Exler: Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...»

ИМХО, автор подразумевает, что пароль генерируется автоматически в такую вот лабуду и приходит на почту. Не мало таких сервисов есть. Кстати, ни что не мешает копи-пастить 😄

Про дублирование ввода важных данных - целиком и польностью за. Сам однажды на заре своей компьютерной деятельности коряво написал где-то свой адрес е-почты, который был в качестве логина. поменять его уже было нельзя. Пришлось заводить такой новый почтовый ящик, чтобы попасть в сервис (уже не помню детали, но как-то так).

Zhekator

09.08.13 11:20

0 0

Алекс, п.3 - это явно про те сервисы, которые не предлагают самому ввести свой пароль, а генерируют автоматичеки. И да, такие пароли реально непросто использовать иногда, особенно если регистрируешься не со своего компа, или с телефона/планшета по дороге.

bober

09.08.13 11:17

0 0

bober:
Алекс, п.3 - это явно про те сервисы, которые не предлагают самому ввести свой пароль, а генерируют автоматичеки. И да, такие пароли реально непросто использовать иногда, особенно если регистрируешься не со своего компа, или с телефона/планшета по дороге.

подразумевается, что пароль будет использован однажды для входа и сменен на то что нравится

paha

bober

09.08.13 11:20

0 0

Предыдущая запись Следующая запись

Поиск

e-mail Экслера - toffler@gmail.com

Теги