Молитва

У меня так ящик почтовый на mail.ru накрылся. В один прекрасный день мне сообщают, что в пароле должны быть кроме цифр еще и буквы. И не предлагая поменять пароль, просто не пускает меня в мой же ящик.

Ха! Попробуй для Скайпа поставить пароль JugtY64ft5mNskype97NjkOIft - и с удивлением обнаружишь, что "пароль простой и его слишком легко угадать" (внутри пароля есть буквосочетание skype). При этом пароль qwer12 - "хороший пароль"

А у меня вопрос: кто-нибудь реально пользуется подсказками, типа, любимый фильм, девичья фамилия прабабушки etc?

Мне кажется, что вся эта конспирология варится сама в себе.

Но, с др. стороны, согласитесь - как-никак напоминает о безопасности. Криво и тупо, но в правильном направлении.

===

Мне вот повезло: могу запомнить чер-те сколько символов. Но и меня бесит! )))

Хоть я это уже где-то слышал, но присоединяюсь... И Фефелова, конечно, с Эха Москвы чтоб убрал обязательно! 😄

В дополнение к Стенфордским требованиям, пусть здесь полежит:

xkcd.ru/936/

да, тоже радуют эти требования вместе с ограничением количества символов и прочее.

после хартблида решил поменять пароль на яху-мэйл. захожу на яху.де, ввожу логин и пароль - он мне пишет, что я вошел с чужого компьютера и поэтому меня не пустит (при этом с этого айпишника каждую минуту качает мыло громоптиц). предлагают послать пароль на резервный ящик. только вот этот ящик - от университета и его несколько лет назад грохнули. ладно, напишем техподдержке. только чтобы ей написать, надо залогиниться в ящик. а конкретный адрес техподдержки нигде не указан. думаю, ладно, позвоню им. ищу - нахожу только факс и почтовый адрес в ирландии. через гугл как-то нашел американский телефон, решил позвонить туда - там все время короткие гудки. кое-как нашел контакт-форму на американском сайте, где не надо логиниться, сказал им прислать мне линк для восстановления пароля на мой же адрес, они со мной через него связались, попросили мой номер мобильника и через него таки удалось поменять пароль. интересно, если бы кто-то другой указал другой адрес для восстановления пароля (мало ли, использую только вебмейл, нет возможности прочитать письмо с этого адреса) и номер одноразового мобильника - ему бы дали доступ?

потом менял пароль на аське. я, наверно, идиот, но уже 15 лет использовал для довольно красивого номера (легко запомнить) простое немецкое слово из пяти букв в нижнем регистре, явно имеющееся во всях словарях, так как оно так же является довольно распространенной фамилией в америке, например. это слово было и частью моего пароля на яхе, так что тем более надо было действовать. залогинился, очень долго искал, где же его можно поменять, наконец нашел. и началось, используйте цифры, разный регистр, нельзя использовать спецсимволы, максимальная длина - 10 знаков, нельзя использовать старый пароль как часть нового (хоть и поигрался с регистром). через попыток двацать все-таки удалось его поменять, но теперь хоть убейте меня - не вспомню его.

и всегда меня поражали "вспомогательные вопросы" типа девичей фамилии матери или города рождения. что проще узнать о человеке, чем это? всегда писал там всякую фигню и всегда ее в результате забывал.

а вообще, я странный человек. боюсь пользоваться менеджерами паролей, при этом спокойно пользуюсь линуксовскими программами, которые хранят их в чистом виде на диске. конечно, самые важные не сохраняю, но очень часто сталкиваюсь с ситуациями, когда чем-то давно не пользовался и пароль забыл.

и когда я их восстанавливаю, иногда просто ужасаюсь тем, как просто это сделать чужому человеку. например, когда я в первый раз восстанавливал пароль на биткоин-бирже, мне предложили ввести номер мобилы для подтверждения. просто любой номер. когда я его восстанавливал во второй раз, я ожидал, что мне пришлют на мобилу код, но нет - просто прислали линк на мыло и зачем я вводил тот номер - было непонятно. в результате, таки настроил двухфакторную аутентификацию, хотя софту от гугла тоже никак не доверяю. вот сейчас запустил этот аутентификатор на мобиле - он пишет адрес сервиса, мой логин там и код. никаких паролей на запуск самой софтины нет. и непонятно, что будет, когда телефон умрет - как тогда зайти на ту биржу?

вот люди ставят на свою мобилу почту, гугл аутентификатор и не ставят блокировку на пароль - чем они думают? и чем думают создатели всего этого софта и сервисов?

недавно на хабре пробегал девайс, сканирующий сетчатку обоих глаз со встроенным хранилищем паролей, с защитой от фото/видео/неживых глаз. вот такую фиговину я бы для дома купил, но оно не работает с линуксом. но тогда я бы наверно вообще забыл все пароли и, опять таки, что делать, когда этот девайс умрет?

Пароли - это ещё полбеды. Эти так называемые "security questions" -- вот где настоящий ад... Попробуй через несколько лет вспомнить ответ на вопрос "ваш любимый фильм"...

Самое смешное, что при всем при этом недавно поставили раком миллионы сервисов посредством уязвимости в OpenSSL heartbleed. И столько же сервисов до сих пор остаются в этой же позе.

A fixed version of OpenSSL was released on April 7, 2014, at the same time as Heartbleed was publicly disclosed. At that time, some 17 percent (around half a million) of the Internet's secure web servers certified by trusted authorities were believed to be vulnerable to the attack, allowing theft of the servers' private keys and users' session cookies and passwords

Эти самые продвинутые админы настолько задвинуты, что даже не понимают, где они находятся.

Почему всего-навсего для поиска на каком-нибудь форуме бесперебойников я должен там зарегестрироваться - указав при этом вот этот самый, защищенный пароль, не менее 8 символов, заглавные-прописные, цифры и буквы и прочая?

Какой урон моей безопасности будет нанесен, если я зарегестрируюсь с паролем 123? А-аа, ну да, ну да, там же меня подстережет злоумышленник, который сможет подобрать этот примитивный пароль и с моего логина там сможет такое написать... такое... А что он сможет собственно, там сделать?

Шланг грубо, просто ректороманоскопию для профилактики кариеса.

Не все продвинутые админы догадываются, что требование обязательного наличия цифр в пароле, заметно уменьшает криптостойкость.

Идеально, когда требуют, например - не меньше трех цифр: Пароль сразу на n-порядков слабее.

Алекс, вам понравятся новые требования к паролям Стенфорда: habrahabr.ru ИМХО, так и нужно делать всем.

А еще бесит когда не сообщают, что не так с паролем, а просто тупо его не принимают со стандартным сообщением «Пароль не достаточно сложный. Пароль должен состоять минимум из 8 символов».

Два года назад пытался подать документы для получения визы в Польшу через сайт. Это был полный капец! Потому, что: то пароли не принимается, то страница устарела, то еще что-то. В итоге прокатил такой пароль: «%d9HT:№!» (без кавычек). Документы подал.

В прошлом году подавал не через сайт, поэтому возня с паролями меня миновала. Но в этом году снова подавал через сайт. Снова просят пароль. Благо я его сохранил с позапрошлого года. Но в этом году они его принимать не хотят – «Incorrect Password entered». Нажимаю «Забыл пароль». Присылают на почту: «Your Password for the EmailId is %d9HT:№!». Копирую пароль из письма, ввожу. «Страница устарела». Повторяю все по новой. Вставляю пароль – «Incorrect Password entered».

Забиваю на предыдущий аккаунт. Завожу новый. Указываю новый ящик, позапрошлогодний пароль. Страница устарела. Повторяю. Новый ящик и прокативший в позапрошлом году пароль – «Пароль не достаточно сложный. Пароль должен состоять минимум из 8 символов». Хоть он и состоит из 8 символов и куда уже еще сложнее, но пробую вставить его дважды. Обрезается до 12 символов и снова та же песня – «Пароль не достаточно сложный. Пароль должен состоять минимум из 8 символов». Обессилев, набираю просто так «q12345678». Ура – приняли и пустили на следующий уровень!

Там начался новый квест. Нужно угадать как правильно указываются даты и контактный номер телефона. Но это уже другая история…

Требую продолжения банкета в виде "Молитвы-2", где будет раскрыта тема капчи.

А что особенно бесит, когда безопасники-админы к обычным идиотским правилам про символы, которые должны быть в пароле, еще добавляют всякие ретроспективные правила, типа пароль должен отличаться минимум на 10 знаков от любого из предыдущих 100 паролей. И менять чаще раза в месяц, каждые дней 10-15, например... Это они придумали так бороться с теми, кто, придумав один раз подходящий под правила пароль, а потом добавляет два-три знака и меняет их по определенной формуле с привязкой, например, к месяцу и году...

Теперь бедные пользователи плачут горючими слезами и хранят свои сверхсекретные суперзащищенные и криптостойкие пароли на желтых стикерах, прикленных к мониторам, потому как никакие кипасы или лостпасы не помогут вам войти в виндовс, если пароль не в вашей голове или не перед глазами.

Продвинутые же пользователи, которые по настоящему беспокоятся о безопасности своих паролей, хитро клеют стикеры на дно клавиатуры или внутрь верхнего ящика рабочего стола.

Дорогой боженька, а когда форум Экслера снова заработает?

молитва разработчиков

Дорогой боженька. У меня к тебе большая просьба. Задолбали они со своими паролями. Сделай пожалуйста так для тех кто вводит простые пароли типа 123,йцукен,qwerty....

и далее по твоему тексту

;-)

Вот почему для банковской карточки, с доступом к куче денег - пароль в 4 цифры достаточен, для банка - тоже достаточно простые годятся, а вот всякие говносервисы - это "грёбаныерозы...". Это такой интернет-способ надувать щеки, наверное...

Прям, под анекдот:

- Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
- розы
- извините, слишком мало символов в пароле!
- розовые розы
- Извините, пароль должен содержать хотя бы одну цифру!
- 1 розовая роза
- Извините, не допускается использование пробелов в пароле!
- 1розоваяроза
- Извините, необходимо использовать как минимум 10 различных символов в пароле!
- 1грёбанаярозоваяроза
- Извините, необходимо использовать как минимум одну заглавную букву в пароле!
- 1ГРЁБАНАЯрозоваяроза
- Извините, не допускается использование нескольких заглавных букв, следующих подряд!
- 1ГрёбанаяРозоваяРоза
- Извините, пароль должен состоять более чем из 20 символов!
- 1ГрёбанаяРозоваяРозаБудетТорчатьИзЗадаЕслиМнеНеДашьДоступПрямоБляСейчас!
- Извините, этот пароль уже занят!

Lastpass в помощь.

Думаю каждому пользователю виднее какой сложности пароль задавать.

Особенно бесят сложные пароли для регистрации на каком-нибудь форуме чтобы прочитать одну специфическую тему, или ради одноразовой задачи в какой-нибудь программе.

Ну вот "не менее 12 знаков" ещё можно оправдать благими намерениями, но когда "не более 10" (HSBC credit card, например в моём случае), вот здесь я даже мотива не понимаю.