БЛОГ / КОММЕНТАРИИ

Как заботиться об удобстве пользователей

кретинизм

08.09.2020 11:04

Комментарии 102

> Серьезно, не шутка, проверено: логин и пароль - регистронезависимые. Чтобы пользователям было удобнее. Не переживайте, это безопасно, утверждает "Сбербанк".

Понятно, что регистронезависимый легче подобрать, чем регистрозависимый. Непонятно, насколько это существенно.

Существенна ли разница между перебором в 150 000 лет и в 150 лет? Что позволит сделать подобранный пароль? Кроме пароля, есть еще 2FA, подтверждение транзакций, антифрод. Наконец, в каких ситуациях вообще ты будешь подбирать пароль? Явно не через сайт.

Откуда отсчитывается «хуже» или «лучше» (в 1000 раз хуже)? Скажем, Гугл требует минимум 8 символов, но у них только латиница, а у Сбера 8 символов кириллица + латиница, но оба lowercase, что дает примерно одинаковую сложность. В Facebook вообще требуют 6 символов, что в 1000 раз хуже Сбера.

Интересная тенденция, что люди придумывают другие проблемы и авансом приписывают их Сберу, чтобы было проще критиковать (ха-ха, да у вас, наверное, и пароли в открытом виде, вот вы мудаки).

Такое впечатление, что просто нравится гнобить Сбербанк, даже если сегодня он уже работает хорошо и современно.

Sheriff

11.09.20 17:52

1 0

Там не в этом шутка.

Чел дальше спрашивает "То есть вы хэширование не используете?", а официальный аккаукнт отвечает "Нет"

morf

11.09.20 11:18

0 1

Т.е. в переводе со сбербанковского на русский это означает что пароль в базе хранится в открытом виде а не виде хеша, и когда в очередной раз у них спиздят базу, возможно что спиздят и базу с паролями...

mmasco

09.09.20 10:06

0 1

Чисто технически - вовсе не означает. Но вспоминая историю с отсутствием проверок валидности транзакции перед её совершением... они вообще вряд ли задумывались о том, что можно хеш хранить. Вне зависимости от CS/CI.

Пафнутий Залипако

mmasco

09.09.20 11:17

0 0

Нет. Перед хешированием и проверками пароль приводят к определенному регистру. ПЕРЕД, Карл! (хотя как в Сбере -свечку не держал)

Но вообще, это тоже так себе решение - стоимость брутфорса падает катастрофически.

Dmitriy Zorin

mmasco

09.09.20 17:08

0 1

А хешируют оне в md5 (trollface)

rjhdby

Dmitriy Zorin

16.09.20 20:56

0 0

Логин там цифры, так что можно не парится. Пароль там регистро-независимый, это снижает его энтропию но не критично

sluge

09.09.20 09:42

0 0

Не обязательно. У меня буквенный.

Viveda

sluge

10.09.20 22:57

0 0

Ну я это выяснил еще лет 5 назад. Был в шоке, позвонил в сбер: спросил бага или фича, повисел на телефоне и получил ответ что фича. Положил трубку, долго думал....

Не знаю как сейчас, но тогда регистро-независимый пароль был только в мобильном приложении, а в веб приложении был регистрозависимый вполне.

LordLeto

08.09.20 19:33

0 0

А ещё у них небезопасный проверочный код приходит - состоит всего лишь из шести арабских цифр. А нужно делать такие, как страховщики ОСАГО отправляли - из 12 символов, 6 из которых - спецсимволы.

flowwolf

08.09.20 19:06

0 0

Вы сами взвоете через 5 минут от таких проверочных кодов, думайте что предлагаете

sluge

flowwolf

09.09.20 09:43

1 1

А почему такой код небезопасный?

asa

flowwolf

09.09.20 16:21

0 1

Да, это добавит неудобств, а безопасности не добавит - как и регистрозависимый пароль, отсутствием которого многие так недовольны. А консультант сбера в этом случае прав, и такой пароль безопасен.

flowwolf

sluge

10.09.20 10:05

0 0

По той же причине, что и регистронезависимый пароль - если бы авторизация проходила только одним из этих способов.

flowwolf

asa

10.09.20 10:09

0 0

Сбер заботится о клиентах... Мать его! В телефоне Сберонлайн какойто антивирь стоит. Эта тварь каждое утро часов в 5 мне радостно сообщает что оне на страже. Сука! И среди дня и весером. Писал в ТП. Мне ответили что это УГ не отключается. Кошмарского контора писала. Неужели трудно сделать отключаемые уведобления? Дебилы,Б...

kardamon2007

08.09.20 17:39

1 1

А разве телефон не умеет отключать уведомления от конкретного приложения?

aldor

kardamon2007

08.09.20 20:08

1 4

А разве телефон не умеет отключать уведомления от конкретного приложения?

Ага, вместе с уведомлениями о транзакциях. Отличное решение

BOFH

aldor

08.09.20 22:12

0 1

Эта тварь каждое утро часов в 5 мне радостно сообщает что оне на страже.

xoxol

kardamon2007

09.09.20 02:07

0 0

Нихт. Там от одного приложения разные категории уведомлений. Отключаются отдельно. По крайней мере в Ведроид. Даже если стоит левый ланчер. Я в долбаном Хиаоми смог даже их рекламу отключить отдельно от важных уведомлений.

morf

BOFH

11.09.20 11:28

0 0

Ну это всего лишь один дополнительный вариант защиты. Добавить количество знаков - и всё. Тем более код для подтверждения идёт на телефон.

Lova_zadoff

08.09.20 16:44

0 5

TimeWaster

08.09.20 15:22

0 8

Lova_zadoff

TimeWaster

08.09.20 16:42

0 2

— Какой здесь пароль от WI-FI?
— Вы в реанимации.
— Большими или маленькими?

Mr.McDuck

08.09.20 14:00

0 17

логин и пароль - регистронезависимые. Чтобы пользователям было удобнее. Не переживайте, это безопасно, утверждает "Сбербанк".

Ну, при достаточной длине пароля – снижение уровня безопасности действительно не критическое. В любом случае потенциальным злоумышленникам придётся брутфорсить овердохрена вариантов – что при дополнительных мерах превращает "проблему" в совершенно гипотетическую.
Зато сэкономит овердохрена нервов пожилым и/или забывчивым пользователям. Как и техподдержке.

Поэтому, ИМХО, в целом решение достаточно приемлемое. И по-своему даже разумное – учитывая настолько обширную и разношёрстную аудиторию пользователей...

P.S. Каюсь, сам ненавижу системы, которые требуют чрезмерно замороченные пароли (примерно как на картинке))). Безопасность безопасностью, но и про удобство юзеров тоже надо думать хоть иногда...

Сказочный Добролюб

08.09.20 13:52

0 28

В таких случаях всегда вспоминаю этот эпизод из киношки. Фраза "А ещё?" у нас давно стала кодовой – означая закидоны какого-нибудь не в меру нудного софта ~~или клиента~~... ?

Сказочный Добролюб

homut

08.09.20 14:33

0 1

Классика же.

Жиза ведь. А потом еще в форме ввода пароля неотключаемые звездочки. Я сижу дома, мне через плечо могут заглянуть только жена да кот и те не всегда. Так что не собираюсь прятаться. Печатаю вслепую, то есть контролирую опечатки, глядя на результат ввода. Как следствие, опечатка здесь (а иногда уже понимаешь, что опечатался, набрав несколько символов после) означает, что надо все стирать и вводить заново. В итоге короткий пароль набирается едва ли не дольше, чем абзац текста.

Dendr

homut

08.09.20 14:59

0 2

Каюсь, сам ненавижу системы, которые требуют чрезмерно замороченные пароли (примерно как на картинке))).

Больше скажу: человек, который первый придумал, что в пароле должны быть буквы разных регистров, цифры и спецсимволы, сам потом в этом сильно раскаивался. Но было поздно.

А разумные специалисты, типа Фила Циммермана (автора PGP), с незапамятных времен советуют использовать не password, а passphrase.

aldor

Сказочный Добролюб

08.09.20 20:04

0 3

А разумные специалисты, типа Фила Циммермана (автора PGP), с незапамятных времен советуют использовать не password, а passphrase.

Вот-вот. Ими в любых серьёзных случаях и пользуюсь – и пароль получается достаточно длинный, и запоминается легко.

Сказочный Добролюб

aldor

08.09.20 20:19

0 0

брутфорсить что-то придется в случае утечки и то с солью. так что регистро независимый пароль не сильно парит

sluge

Сказочный Добролюб

09.09.20 09:44

0 1

Для удобства пользователей логин и пароль - 0000

BorLase

08.09.20 13:22

0 4

hunter2

oleg_k

BorLase

08.09.20 18:29

0 0

Может еще и раскладка клавиатуры невжана?

dredkin

08.09.20 12:55

0 1

Вы удивитесь, но в Windows 7 можно набирать пароль в любой раскладке.
Может это такой глюк в Корпоративной версии, но он сжирает пароль по-любому.

urix

dredkin

08.09.20 13:29

0 1

В prof нельзя.

vis

urix

08.09.20 14:11

0 0

Дело было в конце 90-х, я учился в местном университете на факультете информатики. Всех студентов в добровольно-принудительном порядке отправили в Сбербанк — оформлять себе карты для получения стипендии, причём тогда это были не Visa и не MasterCard, а исключительно своя собственная, Сберовская, система. Особого смысла в этом не было совершенно — такая карта почти нигде не принималась к оплате, поэтому мы, получив стипендию, тут же всей толпой шли эти деньги снимать.

Но суть не в этом. Стоим мы в очереди на получение этих карт. По какой-то причине Сбер решил выпендриться и сделал PIN-код к ним не четырёхзначным, а пятизначным. Каждому студенту факультета информатики велели придумать хорошо запоминающееся число из пяти разрядов. А что для программиста проще, чем 2^16 = 65536, правильно?

Подходит моя очередь.

— Придумайте и введите PIN-код.
— Вот, пожалуйста.
— PIN-код к карте не может состоять из пяти нулей.
— Так я и не пять нулей набираю. Можете сами посмотреть: вот, первая цифра — явно не ноль.
— Хм. И правда. Давайте ещё раз попробуем.
— Давайте.
— Всё равно пишет, что пять нулей нельзя вводить. Какая-то ошибка. Не понимаю, в чём дело. Придумайте другой PIN-код.
— Ох, ну давайте. Вот такой.
— Вот, другое дело, сейчас всё в порядке.

Получаю карту. Отхожу от окошка. Краем уха до меня долетает фрагмент диалога из соседнего окна:

— PIN-код не может состоять из пяти нулей.
— Так я вообще ни одного нуля не ввёл!

Всё правильно. Оказалось, что фактически PIN-код хранился в виде 16-битного числа, а если пользователь придумывал PIN-код больше, чем 65535, старший бит просто отбрасывался. Таким образом, примерно к 2/3 выпущенных карт подходили два PIN-кода — скажем, 00001 и 65537 (проверяли потом экспериментальным путём).

Всё, разумеется, было для удобства пользователей. 😄

Bаsil IV

08.09.20 12:19

0 27

я учился в местном университете

да неужели? как же вы туда смогли поступить при таком конкурсе?

UTAH

Bаsil IV

08.09.20 23:50

3 0

да неужели? как же вы туда смогли поступить при таком конкурсе?

Легко. Без экзаменов.

Bаsil IV

UTAH

09.09.20 10:26

0 0

Вирусологи срочно переквалифицируются в криптологов

bblu

08.09.20 12:12

0 20

Да-да! А то эти пароли уже реально задолбали - одну букву неправильно вводишь и уже не пускает... я написал в техподдержку просьбу о дальнейшей либерализации правил.

UTAH

08.09.20 12:12

1 10

Дальше ждём оптимизацию: "Да, у нас пароль в целом и к правильности набора букв/цифр не чувствителен, лишь бы количество символов сошлось. Не переживайте, это - удобно"

Hipster

08.09.20 11:57

0 9

Следующая стадия: "Да у нас пароль к введенным символам нечувствителен. Не переживайте, это - удобно."

Witalij

Hipster

08.09.20 17:28

0 2

«Введением регистронезависимости паролей служба поддержки Сбербанка сэкономила 12 миллионов долларов на поддержке невнимательных пожилых клиентов Сбербанка»
[/шутка]

BOFH

08.09.20 11:40

0 1

Тему уже обсосали со всех сторон на пикабу.
Зачем хэшировать пароли? Чё тут по второму кругу тереть?

волька ибн алеша

08.09.20 11:37

4 1

Не так сильно и вредит. Лучше чем пароли вида IIlllIIjjiiOO0011'''"""''

melkiY

08.09.20 11:36

0 0

Нормальная тема, естественно при наличии иных факторов, хорошо влияющих на секьюрность.

Turboduck

08.09.20 11:35

0 2

«Ростелеком» закрыл сверхзатратный национальный поисковик «Спутник»
www.cnews.ru
«Ростелеком» это прокомментировал: tass.ru

Grobocop

08.09.20 11:31

0 5

Тудыть его в качель.

urix

Grobocop

08.09.20 13:33

0 0

«Ростелеком» закрыл сверхзатратный национальный поисковик «Спутник»www.cnews.ru«Ростелеком» это прокомментировал:tass.ru

Там последняя фраза хорошо иллюстрирует бредовость большинства российских государственных проектов:
"делая государственный поисковик, люди не смогли ответить на вопрос", зачем и для кого они его создают.

Амбал

Grobocop

08.09.20 13:41

0 0

Действительно, а когда они его начинали делать, и все их об этом спрашивали - они какие-то ответы придумывали.

aag

Амбал

08.09.20 16:08

0 0

Нравятся некоторые интернет-магазины, которые после регистрации присылают в письме пароль, бережно сгенерированный в KeePass:

"Поздравляем с регистрацией бла-бла-бла....

Ваш пароль: "

С, собственно, моим паролем.

Чистый пенальти

08.09.20 11:31

0 2

А ещё нравятся магазины, которые тебе по запросу на почту присылают пароль! Старый!

urix

Чистый пенальти

08.09.20 13:33

0 2

Это не магазины а пидорасы... ой то есть Дартаньяны

morf

urix

11.09.20 11:35

0 0

Вспоминается шутка "Вы не можете зарегистрировать такой пароль. Такой пароль уже использует пользователь Alex" 😄)).

Ну а по факту - при достаточной длине пароля и правда пофиг. Он прямо в точке ввода может конвертироваться в регистро- и даже раскладконезависимый, и всё...

P.S. Шутку уже вспомнил первый же комментировавший, опередили меня 😄.

Lebedun

08.09.20 11:30

1 1

Это не шутка. Это микрософтовская аксапта.

Пафнутий Залипако

Lebedun

08.09.20 11:48

0 4

Следующий шаг -- сделать независимость от раскладки. При достаточной длине пароля это не повлияет на безопасность, зато облегчит вход для невнимательных клиентов.

Заодно можно принимать пароли, лексически близкие к оригиналу , чтобы позволить небольшие опечатки.

hedyn

08.09.20 11:25

1 6

Ну это как раз для невнимательных клиентов и делается, у которых CapsLock внезапно нажат.
Независимость от раскладки добавить легко (не удивлюсь, если это сделано). А вот "лексически близкие к оригиналу" уже капец как сложно, если пароль захэширован.

Ogra

hedyn

08.09.20 11:28

0 1

Да, клавиша совершенно идиотская. Не помню, пользовался ли я ей вообще хоть когда нибудь, и не знаю людей, которые пользовались бы. а случайное ее нажатие действительно сильно раздражает, несмотря на наличие лампочки.
Поэтому отключение CapsLock (и NumLock, до кучи) - едва ли не первое, что я делаю при переустановке системы.

Keeper

Ogra

08.09.20 15:13

3 0

"Поэтому отключение CapsLock (и NumLock, до кучи) - едва ли не первое, что я делаю при переустановке системы." CapsLock - да, а вот чем NumLock помешал...По-моему калькуляторам уже полвека и пальцы автоматом бегают по стандартно сгруппированным клавишам с цифрами.

passerby

Keeper

08.09.20 18:21

1 3

чем NumLock помешал...

Просто я не пользуюсь этим блоком как цифровой клавиатурой, а вот для навигации - постоянно и очень активно. Понимаю, что у других может быть наоборот, потому что видел в форумах и вопрос "как навечно отключить NumLock" и "как навечно включить NumLock". Примерно пополам.

Keeper

passerby

08.09.20 19:04

0 0

Следующий шаг -- сделать независимость от раскладки.

Кстати, независимость от раскладки в подавляющем большинстве случаев эквивалентна уменьшению длины пароля на один (1) бит. (Мало у кого на компьютере больше двух раскладок). Охрененная потеря безопасности.

aldor

hedyn

08.09.20 19:59

0 1

Мои юзеры ее нажимают чтобы в пароле первую заглавную букву набрать потом отжимают. Мне это видно изза того что виндовс про капс предупреждает. Все время стараюсь не ржать

morf

Keeper

11.09.20 11:44

0 0

А потом окажется, что из пароля играет роль только первые 3 символа. Для вашего удобства.

alexjfk

08.09.20 11:24

0 11

PavelB

08.09.20 11:24

15 1

Объясните пожалуйста, в чем тут долбоебизм? Вы считаете правила Сбера к паролям не дают достаточной защиты от взлома?

hedyn

PavelB

08.09.20 11:28

3 8

Хмм, ну вот представьте что верхний поручень перил моста сделан из пенопласта. Мотивируя это тем, что нижняя часть то стальная, и вполне надежная, а пенопласт он зимой теплее и людям нравится.

DGNLTD

hedyn

08.09.20 14:16

5 1

именно

PavelB

hedyn

08.09.20 15:52

0 0

Кажется у Сбера пароль нельзя задать, даже при смене пароля он просто генерирует новый, восемь случайных цифробукв. Плюс второй фактор - код в смс на номер привязанный к аккаунту. Для параноиков есть вообще одноразовые пароли, которые приходится получать в банкоматах.

Астарот

08.09.20 11:21

5 2

Кажется у Сбера пароль нельзя задать, даже при смене пароля

Это не так. Пароль может поменять сам пользователь.

волька ибн алеша

Астарот

08.09.20 11:26

0 4

Когда во времена оны я пытался это сделать, то фиг был там - мне просто меняло на новый генеренный пароль, а самому его выбрать не давало. Наверное с тех пор что-то изменилось.

Астарот

волька ибн алеша

08.09.20 11:29

1 0

В "оные" не знаю. У меня сейчас 3 логина в сбере, на себя, на жену и на тёщу. Заводил сам, причем у всех трех пароль одинаковый, чтоб не путаться. Все работает.

волька ибн алеша

Астарот

08.09.20 11:44

0 0

Заводил сам, причем у всех трех пароль одинаковый, чтоб не путаться.

А какой?

Artefruct

волька ибн алеша

08.09.20 11:52

0 12

А какой?

Одинаковый же

Seneschal°

Artefruct

08.09.20 12:15

1 13

с большой буквы

reliable_dog

Seneschal°

08.09.20 21:31

0 1

В открытом виде вряд ли хранят, скорее всего переводят в строчные буквы и потом хэшируют.
Безопасность это, конечно, ухудшает, но сомневаюсь, что очень сильно.
Если Сбер основной банк, то тогда лучше двухфакторную включить с кодом из смс.

ToLive

08.09.20 11:21

0 4

twitter.com
Уверен, что софт для сбера пишется примерно так же.

tyrpyr

08.09.20 11:20

2 1

Местами и временами меня параноидальные политики безопасности некоторых приложений реально бесят.
Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами и еще его требуется регулярно менять? Зачем, если попавший в мой личный кабинет может только погасить мой долг за телефон?

aMster

08.09.20 11:19

2 20

А там реквизиты карты можно сохранять?

Чистый пенальти

aMster

08.09.20 11:36

0 1

Возможно, не проверял.
Но лично я очень плохо отношусь к сохранению реквизитов в левых приложениях.

Но вот у меня есть приложения 2х разных банков, вход в них - в одном 4 цифры, в другом - 5. В. Одном из них - еще и по отпечатку пальца. И как-то никто не паникует.

aMster

Чистый пенальти

08.09.20 11:39

3 3

пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами

Иногда сайты, никак не связанные с платежами, такие пароли требуют. А то вдруг кто нехороший зайдет под чужим именем и комментарий оставит.

Mr.McDuck

aMster

08.09.20 11:41

0 3

Я к чему. Правила безопасности, эксплуатации рассчитаны не на среднего человека, а на такого, который считает, что если в инструкции к микроволновке не написано, что туда нельзя запихивать котов (и включить после этого микроволновку), то, значит, их туда можно запихивать.

Теоретически я вижу, что туда кто-то привязывает свою карточку, злоумышленник заходит и из чувства личной неприязни к владельцу виртуального кабинета оплачивает телефон на всю сумму с карточки. Лучше перестраховаться.

Разве что регулярная смена пароля это ухудшение безопасности, как правило, потому что это увеличение количества бумажечек с записанным паролем.

Чистый пенальти

aMster

08.09.20 11:44

0 4

у меня есть приложения 2х разных банков, вход в них - в одном 4 цифры, в другом - 5.

И вы доверяете безопасность своих денег паролю в 4 цифры?
Надеюсь, у вас там не больше тысячи.
Вот чему должны в школах учить - основам финансовой грамотности, а не этике, труду и обороне и что там еще сейчас...

И как-то никто не паникует.

До момента, пока всего не лишитесь (если есть чего лишаться). Ровно до этого момента.

dmitri

aMster

08.09.20 11:56

3 0

Вы никогда не жили в Англии, если...

как бы вы удивились, узнав какие пароли у Барклайса... за 7 лет ни разу не просили поменять. Но каждый платеж надо подтверждать кодом из спецмашинки

Dripkinzzz

dmitri

08.09.20 12:18

1 0

И у меня точно так же. Четыре цифрерки.
И у миллиардов других клиентов банков.

Я так понимаю, у тебя пин-код от карточки не такой, финансово грамотный?

ЗЫ. Реально прикольно, когда гуманитарий до мозга костей пытается всех уму-разуму учить, прочитав пару статей в глянцевом журнале. 😄

leces

dmitri

08.09.20 12:19

0 10

Правила безопасности, эксплуатации рассчитаны не на среднего человека, а на такого, который считает, что если в инструкции к микроволновке не написано, что туда нельзя запихивать котов (и включить после этого микроволновку), то, значит, их туда можно запихивать.

Это и есть средний человек. ИМХО.

Camel1000

Чистый пенальти

08.09.20 12:22

0 2

И вы доверяете безопасность своих денег паролю в 4 цифры?

В банковских приложениях это не пароль, а пинкод. Который будет действовать только на текущей установке приложения на данном конкретном устройстве (и для его установки нужно знать логин/пароль).
То есть проблема будет только если украдут телефон и будут знать сам пинкод (ЕМНИП, защита от подбора перебором обычно есть).

Сергей Коротеев

dmitri

08.09.20 12:31

0 2

Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами и еще его требуется регулярно менять? Зачем, если попавший в мой личный кабинет может только погасить мой долг за телефон?

Насколько я помню из личного кабинета Ростелекома можно не только оплатить, но и изменить тариф и даже вообще отказать от услуг. Если предположить, что у вас есть недруг, то усложнить ему работу вполне разумно.

Vzanuda

aMster

08.09.20 12:50

0 0

И вы доверяете безопасность своих денег паролю в 4 цифры?

Готов поспорить, что там двухфакторная авторизация.

aldor

dmitri

08.09.20 12:50

0 1

Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов,...

Эти правила стойкости пароля выдвигают сотни других приложений, веб-сайтов и даже форумов. Фиг с ним, с Ростелекомом, какой-нить форум сантехников города Малые Запулы и то, 8 символов с большими и малыми буквами хочет.
Я думаю, просто используется уже реализованное готовое решение в виде сервиса в приложении или кодов из библиотеки для форумов. Все побежали - и я побежал.

aag

aMster

08.09.20 16:03

0 3

Вам самому не смешно?

aMster

Vzanuda

08.09.20 19:44

0 1

а еще может подлючить тебе кучу услуг

sluge

aMster

09.09.20 09:48

0 0

Возможно, это означает, что они его не хешируют, а хранят как есть?

Dims12

08.09.20 11:14

6 0

Нет, никак не означает. Нету разницы, делать приведение к одному регистру перед хэшированием, или делать это же приведение перед сравнением.

Ogra

Dims12

08.09.20 11:18

0 8

Но тут нужно уточнить. Было это всегда или стало недавно. Я лично не проверял. Вот не верится мне что это было годами. Давно бы шум поднялся. Тогда получится что пароли хранили в открытом.

fleyg1979

Ogra

08.09.20 11:29

1 2

Даже если это стало недавно - распоряжение "сделать пароли регистронезависимыми, а то техподдержку уже задолбали с CapsLock`ом, да и с мобилки неудобно пароль набирать" спускается на отдел разработки вне зависимости от того, были они до этого захэшированы или нет. После чего наступает переходный период, во время которого хэши незаметно заменяются - ввел юзер правильный пароль, тут же меняем хэш на независимый.

Ogra

fleyg1979

08.09.20 11:36

0 3

Как вариант.

fleyg1979

Ogra

08.09.20 11:42

0 1

После чего наступает переходный период, во время которого хэши незаметно заменяются - ввел юзер правильный пароль, тут же меняем хэш на независимый.

Есть ещё вариант, безо всякой замены хэша: добавить в таблицу (или где они пароли хранят) поле "пароль регистронезависимый", и для старых паролей оно будет False, а для новых уже True.

ЗЫ: возможно, даже проще: весьма вероятно, что вместе с паролем хранится и "схема" его шифрования, чтобы можно было в будущем менять на более продвинутые (как в *nix'ном /etc/shadow -- префикс $nnn$ перед хэшем). Тогда у регистронезависимых эта схема будет другой.

Dmitry Bolkhovityanov

Ogra

08.09.20 15:12

0 0

кто его знает как они хранят

sluge

Dims12

09.09.20 09:49

0 0

Это для чего логин и пароль? Угадать нужно?

Одноразовые пароли, известные как "код из смс", приходят целиком из цифр, а цифры да, регистронезависимые.

И да, они цифрами удобнее. (Диктую: "Эс как доллар"...)

Gilmir

08.09.20 11:13

9 4

Это для чего логин и пароль? Угадать нужно?

Чтобы в личный кабинет войти. В веб-версию, если точнее. Иногда это надо: в мобильной функционал дюже усечен.

Dendr

Gilmir

08.09.20 11:25

1 1

Чтобы в личный кабинет войти. В веб-версию, если точнее.

Спасибо. А то угадайка без контекста.

Gilmir

Dendr

08.09.20 11:32

6 2

Может быть и безопасно, при достаточной длине пароля. Какая там минимальная длина пароля у Сбера?

Ogra

08.09.20 11:10

1 7

10 символов.

urix

Ogra

08.09.20 13:37

0 0

А напоминание пароля у них не так выглядит?
"Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль."

Silvester

08.09.20 11:09

3 24

Предыдущая запись Следующая запись

Поиск

e-mail Экслера - toffler@gmail.com

Теги