Адрес для входа в РФ: exler.world
Хотелось бы деликатно возразить
09.08.2013 11:04
11104
Комментарии (96)
Леня Каганов разразился эмоциональным постом, в котором высказал свои претензии к разработчикам по поводу паролей пользователей. Пароли - тема важная и нередко больная, поэтому предлагаю обсудить.
Вот его претензии:
Ненавижу, когда пароль на экране заменяется звездочками. Если я такой идиот, что мне приспичило набирать пароль в переполненном трамвае, я сам способен решить проблему, как отгородиться ладошкой от пассажиров, заглядывающих через плечо. А профессиональный шпион сумеет углядеть пароль просто по тем кнопкам, которых я касаюсь — их-то вы звездочками не закроете.
Леня забывает одну существенную вещь. Кроме таких идиотов в переполненном трамвае существуют миллионы офисных работников, мониторы которых постоянно на виду. И эти работники - вовсе не идиоты. Поэтому заменять символы пароля звездочками - это не просто правило хорошего тона для разработчиков, а совершенно необходимое требование. Сейчас многие сервисы в конце строки пароля ставят специальный символ, при нажатии которого пароль будет высвечен - отличное решение.
Ненавижу, когда пароль предлагают «повторить» от опечаток. А нехер было его забивать звездочками, тогда и опечаток не будет! Человек не дебил, чтобы делать опечатку в пароле. А если он опечатался — ничего страшного, проведет смену пароля через почту еще раз.
Требование дублирования важных данных в целях проверки правильности ввода - это стандарт, идущий еще из глубины веков. Меня самого эта штука не раз спасала, когда я случайно ошибался в каком-то символе при задании пароля. Если считать дебилами всех, кто при вводе строки случайно ошибся в каком-то символе, то Лене надо бы посмотреть самому себе в глаза и понять, что он явно погорячился.
Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...» Смени себе мозг, сука, и придумай нормальный интерфейс! Пароль — личное дело пользователя, а не разработчика.
Вот тут я себе вообще весь мозг сломал - не смог уловить суть претензии. Сервис демонстрирует новый пароль пользователя для проверки. Потому что если пользователь вдруг его ввел не в том регистре или не в той раскладке, он не сможет зайти в свой аккаунт.
Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.
Это вообще бред сивой кобылы. Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали. Помнится, некая "статусная дама" Мария Арбатова чуть ли не среди ночи поднимала Антона Носика с постели звонком, истеря о том, что ее аккаунт в ЖЖ взломали, а руководство ЖЖ ни хрена не делает. У статусной дамы, насколько я помню, как раз был пароль "123", а отвечать за это почему-то должен был Носик. Поэтому правильно сервисы требуют от пользователей задавать хоть сколько-нибудь стойкие пароли: от этого всем будет хорошо - и пользователям, и сервисам.
Ну и конечно надо убивать разработчиков, которые хранят у себя пароли пользователей. Только хэш! Вы не имеете никакого права хранить у себя чужое, подвергая своих пользователей риску, если ваш говноресурс кто-то взломает и узнает пароли, которые пользователь, возможно, использует еще где-то. Именно поэтому все эти годы я ничем не мог помочь людям, которые мне писали «Лео, подскажи, какой у меня был пароль?» или «Лео, пропиши мне пароль qwerty123, а то я свой забыл». У меня хранится только хэш.
Вот это единственное замечание, с которым я полностью согласен. В нормальных сервисах так и делается: хранится только хэш. Меня часто пользователи моего форума и почты просят посмотреть их пароль и очень удивляются, когда я говорю, что никак не могу посмотреть их пароль. Я его могу только поменять (задать новый). А посмотреть - нет. Они не верят. А напрасно.
Войдите, чтобы оставить комментарий.
В данном случае - по всем пунктам согласен с Алексом. Да, всё, что описано - здорово действует на нервы, но - если всё это разом отменить - будет только хуже. Сам много раз искренне благодарил фичу - "повторный набор пароля". Теперь, насчёт звездочек. А что - вирусы, делающие скриншоты экрана отменили? И потом, каким бы ты не был аккуратным, всё равно велик шанс, что из-за спины твой пароль считают. И опять же - гораздо легче прикрывать при наборе пароля только клаву, чем прикрывать и клаву и экран. Опять же - сейчас экраны компов стали очень большими, уже своей головой перекрыть угол обзора как раньше, не получится 😄.
"Если я хочу поставить "123" — это мое личное дело, а не ваше!"
Во, вот именно из-за этого лично я пострадал... Я, всегда ставящий пароль по всем правилам, всегда сложный, пострадал из-за таких вот деятелей, ставящих "123"...Есть у меня почта, выданная провом. Почта эта у меня очень давно, я ею практически не пользуюсь, но - в одно время там начала твориться настоящая вакханалия - был просто тотальный разгул спама. Доходило до того, что мне спам приходил от меня же.. В итоге, пров ввёл там очень жесткие требования - теперь поставить на ящик пароль вида 123 в принципе невозможно. Так более того - теперь ВСЕ обязаны менять пароль минимум раз в месяц. Невзирая на его, пароля, сложность. Спрашивается - а я причём? Я же и так ставил сложный пароль, почему я обязан его менять? Но я смирился... А что делать, если прова просто задолбали жалобы таких вот марий арбатовых, поставивших паролем 123, а потом плачущих - ой, мою почту взломали... Кстати, система там теперь – реально аццкая. Пароль при его забытии ты можешь восстановить только один раз. Если опять забыл – нужно с админом связываться и лично доказывать, что ты это ты и ящик твой… И ВСЁ это ТОЛЬКО из-за такой вот позиции некоторых – «мой пароль, чё хочу, то и делаю»…
Про экзотические требования к паролям сегодня на dailywtf прекрасное 😄 :
http://img.thedailywtf.com/images/13/q3/e79/Pic-6.png
http://img.thedailywtf.com/images/13/q3/e79/Pic-6.png
Все-таки Леня точно платит Экслеру по какой-то договоренности) Слишком много внимания Экслер уделяет Каганову в своем блоге.
Лично меня бесит, когда гугл или мэйл.ру настойчиво предлагает указать номер телефона для восстановления пароля, типа это очень нужно и полезно для восстановления доступа к почте.
А что если телефон украдут? Что тогда?
А что если телефон украдут? Что тогда?
Хрен с ними со звёздочками, хрен с ним с повтором пароля, даже пофиг на смену через временный пароль. Но вот по поводу п.4 - сам подпишусь, ибо это требование "супер-сложного пароля" (причём так, как это видят авторы конкретно данного сайта) уже вконец достало. Это, чёрт возьми, мой пароль, какой хочу - такой ставлю. А то на одном сайте используй прописные и заглавные, на другом буквы и цифры, на третьем ещё спецсимволы добавь... а на четвёртом - запрещены все спецсимволы в пароле, кроме точки (реально попадалось). То им пароль слишком короткий (как-то 12 символов попросили), то слишком длинный (помните максимум 8 символов в пароле к ICQ?). В результате ты вынужден помнить дикое количество разных паролей - каждый из них вполне безопасен, но вот на каких-то сайтах они не подходят.
А по поводу пользователей, истерящих "меня взломали" - ну для кого лицензионные соглашения и правила сайтов пишут? На них и так нынче только кровью расписываться - для, так сказать, стилистического соответствия. Что стоит в них добавить - "Плохой пароль - сам дурак"? На этапе ввода пароля можно предупредить. Злостно предупредить. Предупредить с галочкой "да, я понял". Но запрещать - неуважение к пользователям и маркер самомнения сайтовладельцев.
P.S. На exler.ru, вроде как, есть ограничение только на минимальную длину пароля. По крайней мере, с регистрацией не было никаких проблем. Вот бы везде так...
А по поводу пользователей, истерящих "меня взломали" - ну для кого лицензионные соглашения и правила сайтов пишут? На них и так нынче только кровью расписываться - для, так сказать, стилистического соответствия. Что стоит в них добавить - "Плохой пароль - сам дурак"? На этапе ввода пароля можно предупредить. Злостно предупредить. Предупредить с галочкой "да, я понял". Но запрещать - неуважение к пользователям и маркер самомнения сайтовладельцев.
P.S. На exler.ru, вроде как, есть ограничение только на минимальную длину пароля. По крайней мере, с регистрацией не было никаких проблем. Вот бы везде так...
Кстати, на некоторые сервисы не захожу как раз из-за того, что у них дурацкие требования к паролю. Заглавная буква, обязательная цифра, некоторые ещё и знак препинания хотят. У меня есть несколько основных паролей, довольно длинных и сложных, они удовлетворяют большинству требований, но не всегда. И вот мне приходится вспоминать что за пароль я ввёл при регистрации, чтобы меня таки пустили на сайт. Если мне очень надо - могу запросить восстановление пароля по почте. Если не очень надо - просто ухожу с этого сайта, и больше на него не вхожу.
>Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123"
Типичное переваливание с больной головы на здоровую - один из многих тысяч пожаловался, теперь давайте всех заставим набирать парили под наши требования (зачастую, абослютно дебильные). Вместо того, чтобы написать большиими красными буквам что-то вроде "Простой пароль приведет ко взлому вашего аккаунта, нажмите ОК что вы это прочитали".
Хуже всего то, что вместо моего обычного пароля, который выглядит примерно как jsdsdfpaqpqamnjx, меня заставляют набирать какой-нибудь Alligator5 который под требования этх дятлов подходит, а подобрать его в сто раз проще.
Типичное переваливание с больной головы на здоровую - один из многих тысяч пожаловался, теперь давайте всех заставим набирать парили под наши требования (зачастую, абослютно дебильные). Вместо того, чтобы написать большиими красными буквам что-то вроде "Простой пароль приведет ко взлому вашего аккаунта, нажмите ОК что вы это прочитали".
Хуже всего то, что вместо моего обычного пароля, который выглядит примерно как jsdsdfpaqpqamnjx, меня заставляют набирать какой-нибудь Alligator5 который под требования этх дятлов подходит, а подобрать его в сто раз проще.
Otiz: Типичное переваливание с больной головы на здоровую - один из многих тысяч пожаловался, теперь давайте всех заставим набирать парили под наши требования (зачастую, абослютно дебильные). Вместо того, чтобы написать большиими красными буквам что-то вроде "Простой пароль приведет ко взлому вашего аккаунта, нажмите ОК что вы это прочитали".
Один идиот с уверенностью в своей правоте стоит десятков тысяч нормальных пользователей. (стоимость в нервных клетках 😄 )
А большую красную надпись... Ответ один - "не видел/а"
Ладно, пойму еще банки, которые заставляют пользователей придумывать пароли. Но когда это делает любой сраненький форум, с которого надо лишь почерпнуть толику информации, либо изредка что-то писать - это реально бесит. Мне лично пофиг на 90% моих логинов в сети, даже если их взломают и используют во вред всей вселенной.
Пароль любой сложности легко подбирается терморектальным криптоанализатором. Причем за вполне разумное время.
Шутка.
Шутка.
DedMorozz:
Пароль любой сложности легко подбирается терморектальным криптоанализатором. Причем за вполне разумное время.
Шутка.
Пароль любой сложности легко подбирается терморектальным криптоанализатором. Причем за вполне разумное время.
Шутка.
Я тут рельно забыл один реально очень важный пароль. Думаете, поможет?
===
Я вас буду пытать-иметь. Пока не скажете. А если не подойдет, то даже моя раскованная фантазия бессильна. Кошмар - это мягко сказано.
Ненавижу разработчиков-придурков, которые начинают говниться «пароль плохой, обязательно должна быть хоть одна заглавная буква, цифра, знак препинания и минимум две буквы греческого алфавита...» Если я хочу поставить "123" — это мое личное дело, а не ваше! А свои говноконструкции с заглавными буквами сами зубрите.
Подписываюсь!
Подписываюсь!
А я ненавижу, когда регистрация/валдация/и т.п. требует SMS. Когда я это вижу - я забываю об этом ресурсе навсегда.
/off
Вообще - я бы приговорил изобретателей SMS к 15-летнему расстрелу через повешение на электрическом стуле
off/
/off
Вообще - я бы приговорил изобретателей SMS к 15-летнему расстрелу через повешение на электрическом стуле
off/
Twilight: Вообще - я бы приговорил изобретателей SMS к 15-летнему расстрелу через повешение на электрическом стуле
Тот же самый метод я бы применил к разработчикам Windows Phone, которые решили, что текст SMS-ок, в момент их прибытия, можно отображать поверх lock screen (!!!).
Александр Амелькин: Первый раз за 20 лет узнал, что, оказывается, аж целые специальные программы придумали для тех, кому лень зайти в настройки своего броузера и нажать "отобразить пароли" (текст в зависимости от броузера может отличаться).
Речь идет не о том, чтобы посмотреть сохраненные пароли, а о том, чтобы видеть пароли во время ввода. Как это опционально в Андроиде сделано, например.
Тю. Зачем возражать, если у человека НЕНАВИСТЬ.
Romix:
Тю. Зачем возражать, если у человека НЕНАВИСТЬ.
Тю. Зачем возражать, если у человека НЕНАВИСТЬ.
))) Кстати - да! Резонно.
толи пропустил.... толи не внимательно читал каменты....
а где же ректотермальный/терморектальный подбор паролей ? в условиях рашки весьма себя оправдывает (впрочем там даже и пояльник не нужен - достаточно компетентным огранам сказать "виновен" и пароль подберут, даже если у тебя и компьтера то нет...)
а где же ректотермальный/терморектальный подбор паролей ? в условиях рашки весьма себя оправдывает (впрочем там даже и пояльник не нужен - достаточно компетентным огранам сказать "виновен" и пароль подберут, даже если у тебя и компьтера то нет...)
" Кроме таких идиотов в переполненном трамвае существуют миллионы офисных работников, мониторы которых постоянно на виду." честго говоря вижу очень мало оффисных работников у которых мониторы "навиду" настолько что можно бы бы прочитать пароль с экрана и не "прочесть" его по нажатию на клавиши.
и уточню - при нормально организованной работе работнику надо 1-2 пароля.
и уточню - при нормально организованной работе работнику надо 1-2 пароля.
С точки зрения, например, банков, простой пароль упрощает взлом и вывод средств, отвечать банку своими деньгами, отмазаться тем, что пароль простой он не сможет, поэтому просто требуют сложного пароля из простых финансовых соображений.
у Сбербанка не очень сложный пароль на "банк-онлайн" и сменить его на сложный нельзя(
Nikson:
у Сбербанка не очень сложный пароль на "банк-онлайн"
Да. Но там по SMS доп-но однораз. пароль шлют и информируют о входе.
Nikson:
и сменить его на сложный нельзя(
у Сбербанка не очень сложный пароль на "банк-онлайн"
Да. Но там по SMS доп-но однораз. пароль шлют и информируют о входе.
Nikson:
и сменить его на сложный нельзя(
Главное, что его сменить на очень простой не получится! 😄
Хотя, конечно, пароль мог бы быть и посложнее...
опять Каганов, и опять в своем традиционном стиле "... двое против ветра" .
1. Сначала выкатил целый список претензий к методам и требованиям к аутентификации принятых на серьезных интернет-проектах с милионной аудиторией.
2. Заявил самоуверенно, что лично ЕГО это не устраивает, а значит это глупо/по-идиотски/неудобно.
3. А затем, в результате развернувшейся дискуссии и появившихся замечаний и претензий к нерациональности реализации или к возможной небезопасности его собстенного самопального движка, заявил свое обычное : а я не обязан что-то для кого то делать, менять или отвечать за это.
Сравните с его позицией касательно авторского права- тот же стиль- тихо слиться если уличили в противоречии самому же себе.
1. Сначала выкатил целый список претензий к методам и требованиям к аутентификации принятых на серьезных интернет-проектах с милионной аудиторией.
2. Заявил самоуверенно, что лично ЕГО это не устраивает, а значит это глупо/по-идиотски/неудобно.
3. А затем, в результате развернувшейся дискуссии и появившихся замечаний и претензий к нерациональности реализации или к возможной небезопасности его собстенного самопального движка, заявил свое обычное : а я не обязан что-то для кого то делать, менять или отвечать за это.
Сравните с его позицией касательно авторского права- тот же стиль- тихо слиться если уличили в противоречии самому же себе.
sonar: опять Каганов, и опять в своем традиционном стиле "... двое против ветра" .
Есть у него такое. "Я не такой как все":)
Я надеюсь, щас Алекс и ув. russia.oleg откроют нам, темным, глаза на передовые нанотехнологии подзвездочного просмотра. Сижу, жду.
Меня вот бесит только одно: когда во время регистрации на каком-либо ресурсе ошибаешься в какой-нибудь чуши, страница перезагружается и сбрасывает уже введеный без ошибок и принятый системой пароль. Все пятьсот символов со знаками препинания и буквами разных размеров.
Что касается паролей из всяких там стихотворений -- достаточно сделать несколько изящных ошибок в словах, и сложность перебора тут же существенно возрастет.
Что касается паролей из всяких там стихотворений -- достаточно сделать несколько изящных ошибок в словах, и сложность перебора тут же существенно возрастет.
По поводу сложности паролей соглашусь. Надо не "насаждать" сложность, надо пользователя предупреждать об излишней простоте и возможных последствиях. Большими такими красными буквами. И если пользователь согласен, то это таки его дело. Зато потом можно будет с чистой совестью его послать к такой-то матери.
И автоматическая генерация паролей в духе !4u23va123jja это тоже цирк с конями. Мне, кроме шуток, один раз сгенерировали пароль, который заканчивался на zhopa.
Ничего о_О
Некоторые и пин-коды на карточках пишут, что ж поделать.
И автоматическая генерация паролей в духе !4u23va123jja это тоже цирк с конями. Мне, кроме шуток, один раз сгенерировали пароль, который заканчивался на zhopa.
igori-san: А что делать потом банку, если Вы ему сообщите, что Вашей карточкой кто-то воспользовался без Вашего ведома?
Ничего о_О
Некоторые и пин-коды на карточках пишут, что ж поделать.
Про сложность пароля. Попадаются сервисы, где вполне, граждане, можно было бы и вовсе без пароля обойтись. Но - нет! Нужно им, параноикам, чтобы на их "говносервис" - © ЛК - можно было зайти, только имея длинный, как мечта импотента, пароль с буковками во всех регистрах и цифирками. Пару раз даже даже попадались советы по использованию символов из верхней части кодовой таблицы.
В психиатрии есть такое понятие - вовлечение в бред. Это как раз такой случай.
Так что тут я ЛК, пожалуй, поддержу. Достаточно будет дисклеймера: Если вы идиот - это ваши проблемы. С предупреждением ознакомлен. И квадратик с галочкой.
В психиатрии есть такое понятие - вовлечение в бред. Это как раз такой случай.
Так что тут я ЛК, пожалуй, поддержу. Достаточно будет дисклеймера: Если вы идиот - это ваши проблемы. С предупреждением ознакомлен. И квадратик с галочкой.
Кстати, что характерно, все недоумения Алекса (с которыми я лично полностью согласен) уже были предложены в комментах к посту Ллео и вызвали его однозначную и закономерную реакцию 😉
Неа; Ллео полностью прав, по всем пунктам.
Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.
Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.
pіroJOKE: Неа; Ллео полностью прав, по всем пунктам.
Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.
Единственное "но" - разработчикам следует ПРЕДУПРЕЖДАТЬ юзеров о том, что они что-то делают не так, но НЕ запрещать это.
А что делать потом банку, если Вы ему сообщите, что Вашей карточкой кто-то воспользовался без Вашего ведома? Всякие чаты и форумы и так разрешают простые пароли.
Оставлю здесь луч ненависти разработчикам одного интернет-банкинга 😄
Эти красавцы совершенно правильно высылают на мобилку одноразовый пароль для подтверждения операции. НО! Во-первых, это восьмисимвольный сложный пароль (в разных регистрах, с цифрами и спец-символами), а во-вторых - поле для его ввода рисует звездочки.
Так и хочется их посадить и заставить сутками проводить операции...
Эти красавцы совершенно правильно высылают на мобилку одноразовый пароль для подтверждения операции. НО! Во-первых, это восьмисимвольный сложный пароль (в разных регистрах, с цифрами и спец-символами), а во-вторых - поле для его ввода рисует звездочки.
Так и хочется их посадить и заставить сутками проводить операции...
Очень хорошо понимаю Леонида. Я сам компьютерщик, начинал ещё на ZX Spectrum, потом - голый DOS, мои привычки складывались именно тогда. И, уж извините, привык я к тому, что компьютер - мой, и я могу делать с ним всё, что захочу - моей квалификации вполне хватает, чтобы ничего не испортить. А соверменные ОС то решают за меня, в какую папку я могу что-то писать, а в какую - нет, то указывают, где я должен хранить свои настройки, а где не должен и т.п. Очень неприятно пользоваться всем этим, потому что не соответствует моим привычкам, которые мне дороги как память 😄 Но я прекрасно понимаю, что основную массу нынешних компьютерных пользователей и в самом деле надо сильно ограничивать, нет у них такого же опыта, как у меня, чтобы просчитывать последствия своих действий. И для таких, как я, выбор простой: либо пользуйся массовым продуктом, который будет содержать кучу лишних лично для тебя проверок, ограничений и т.п., либо ищи что-то, удобное таким же квалифицированным, и сиди в узкой нише. Так что по-человечески я понимаю и разделяю чувства Леонида, но доминировать всё равно будет продукт, рассчитанный на средний уровень владения компьютеорм, который сейчас существенно ниже профессионального.
Вглук: И, уж извините, привык я к тому, что компьютер - мой, и я могу делать с ним всё, что захочу - моей квалификации вполне хватает, чтобы ничего не испортить.
Извините, но нычне вы со своего компьютера заходите на уже не только ваши ресурсы. И с каждым годом компьютер все меньше и меньше лично ваш. Поэтому некие условно-универсальные правила для всех неизбежны. Это как с автомобилями, пока их были единицы - они никого не беспокоили, пока курей не давили. А потом появились ПДД. И теперь вы можете быть хоть на 500% уверены, что с правитесь с управлением своего авто на скорости 140км в час, но общие правила диктуют вам максимально допустимую скорость. И как человек хорошо знакомый с компьютерами, вы должны понимать, что правило состоящие из сплошного набора исключений работать не будет.
Вглук: Очень хорошо понимаю Леонида. Я сам компьютерщик, начинал ещё на ZX Spectrum, потом - голый DOS, мои привычки складывались именно тогда. И, уж извините, привык я к тому, что компьютер - мой, и я могу делать с ним всё, что захочу - моей квалификации вполне хватает, чтобы ничего не испортить. А соверменные ОС то решают за меня, в какую папку я могу что-то писать, а в какую - нет, то указывают, где я должен хранить свои настройки, а где не должен и т.п. Очень неприятно пользоваться всем этим, потому что не соответствует моим привычкам, которые мне дороги как память Но я прекрасно понимаю, что основную массу нынешних компьютерных пользователей и в самом деле надо сильно ограничивать, нет у них такого же опыта, как у меня, чтобы просчитывать последствия своих действий. И для таких, как я, выбор простой: либо пользуйся массовым продуктом, который будет содержать кучу лишних лично для тебя проверок, ограничений и т.п., либо ищи что-то, удобное таким же квалифицированным, и сиди в узкой нише.
Вариант я вижу только один - месье совсем не так квалифицирован, как думает о себе. Иначе с чего сколько бреда про ограничения? Да, есть, но убираются за полчаса, и для этого совсем не нужно Асм ковырять.
Alex Exler: Это вообще бред сивой кобылы. Сервисам и так приходит куча претензий по поводу "взлома" аккаунтов от людей, которые задают пароль "123", а потом орут, что их, дескать, взломали.
Тут есть один момент. 😄
Для удобства ввода с мобильной клавиатуры в некоторые не самые смертельно-критичные сервисы я генерирую KeePass'ом достаточно длинные пароли, но только lowercase letters. И некоторые сервисы очень сильно волнуюся: "Ох, как же это у вас 9 букв и ни одной цифры, и ни одного спец-символа, очень небезопасно!"
И еще забавно, когда так беспокоится интернет-магазин (который не сохраняет при том платежную информацию) или мониторилка веб-сайта (злоумышленники зайдут и будут мониторить другой сайт, да!).
Забивание пароля звездочками без возможности это отключить – реальное зло. Как существуют "миллионы офисных работников", так существуют и миллионы домашних юзеров, которым никто через плечо не заглядывает. И когда приходится вспоминвать пароль от редко используемого сервиса, за эти неотключаемые звездочки разрабов хочется убивать долго и мучительно.
Про LastPass я в курсе, если что. Но всё равно.
Про LastPass я в курсе, если что. Но всё равно.
Old Nick: И когда приходится вспоминвать пароль от редко используемого сервиса, за эти неотключаемые звездочки разрабов хочется убивать долго и мучительно.
Вы не знаете, как из запомненных на компе звездочек получить пароль? Прикольно...
Где есть возможность давно сделали поддержку open auth.
A little knowledge is a dangerous thing. Очередной пример, когда криптографию обсуждаю дилетанты. Хранить хэши паролей тоже небесопасно, существуют радужные таблицы для воостановления паролей по хэшу. Для безопасного хранения нужно к хэшу добавлять соль .
Seneca: A little knowledge is a dangerous thing. Очередной пример, когда криптографию обсуждаю дилетанты. Хранить хэши паролей тоже небесопасно, существуют радужные таблицы для воостановления паролей по хэшу. Для безопасного хранения нужно к хэшу добавлять соль .
У Каганова хеши засолены. См. комменты к его посту.
Ненавижу когда набираю google.com и он тут же услужливо переключает на Google.az Какого хрена.
Какого хрена в google play в топ приложений мне услужливо подсовывают местые разработки местных умельцев?
Какого хрена в google play в топ приложений мне услужливо подсовывают местые разработки местных умельцев?
Anarrich:
Ненавижу когда набираю google.com и он тут же услужливо переключает на Google.az Какого хрена.
Ненавижу когда набираю google.com и он тут же услужливо переключает на Google.az Какого хрена.
Набирайте google.com/ncr
"Извините за резкость, просто на той неделе мне довелось беседовать на эти темы с одним профессиональным деятелем, который половину этих пунктов просто не понимает. Мы, говорит, посмотрели по нашей базе (!), что у многих наших пользователей слишком простые пароли, мы решили их всех заблокировать, если не сменят за сутки..."
Интересно, что из этого высказывания Каганов сделал вывод, что они у себя хранят пароли. Совершенно не обязательно.
Интересно, что из этого высказывания Каганов сделал вывод, что они у себя хранят пароли. Совершенно не обязательно.
Alex Exler: Вот тут я себе вообще весь мозг сломал - не смог уловить суть претензии
Алекс, я думаю там идет речь о системах автоматической генерации начальных паролей. Проходишь регистрацию и тебе выдают такую вот абракадабру. Естественно, ее надо сразу сменить, т.к. запомнить невозможно, но почему бы не предусмотреть задание удобного пароля сразу на этапе регистрации?
Quiet Zone: Алекс, я думаю там идет речь о системах автоматической генерации начальных паролей. Проходишь регистрацию и тебе выдают такую вот абракадабру. Естественно, ее надо сразу сменить, т.к. запомнить невозможно, но почему бы не предусмотреть задание удобного пароля сразу на этапе регистрации?
Это делается для совмещения процесса регистрации с проверкой адреса почты/телефона.
Alex Exler: Ненавижу, когда говноразработчики пишут «ваш новый пароль h6sY!HWf6$E19h&j№sNHTjs, потом вы его сможете потом как-нибудь где-нибудь сменить...»
ИМХО, автор подразумевает, что пароль генерируется автоматически в такую вот лабуду и приходит на почту. Не мало таких сервисов есть. Кстати, ни что не мешает копи-пастить 😄
Про дублирование ввода важных данных - целиком и польностью за. Сам однажды на заре своей компьютерной деятельности коряво написал где-то свой адрес е-почты, который был в качестве логина. поменять его уже было нельзя. Пришлось заводить такой новый почтовый ящик, чтобы попасть в сервис (уже не помню детали, но как-то так).
Алекс, п.3 - это явно про те сервисы, которые не предлагают самому ввести свой пароль, а генерируют автоматичеки. И да, такие пароли реально непросто использовать иногда, особенно если регистрируешься не со своего компа, или с телефона/планшета по дороге.
bober:
Алекс, п.3 - это явно про те сервисы, которые не предлагают самому ввести свой пароль, а генерируют автоматичеки. И да, такие пароли реально непросто использовать иногда, особенно если регистрируешься не со своего компа, или с телефона/планшета по дороге.
Алекс, п.3 - это явно про те сервисы, которые не предлагают самому ввести свой пароль, а генерируют автоматичеки. И да, такие пароли реально непросто использовать иногда, особенно если регистрируешься не со своего компа, или с телефона/планшета по дороге.
подразумевается, что пароль будет использован однажды для входа и сменен на то что нравится
Теги
Информация
Что ещё почитать
