Ох уж эти приучатели хуевы.
Каждый говномагазин и говносайт хочет, чтобы вы завели у них ебанный аккаунт. И непременно, чтобы пароль был с буквами, цифрами, знаками, и кровью девственницы.
При том, что ценность этого аккаунта, вообще говоря, отрицательная, потому прекрасно подошёл бы пароль "1" на все магазины сразу. И глубоко поебать, что эти данные смогут спиздить.
Каждый говномагазин и говносайт хочет, чтобы вы завели у них ебанный аккаунт. И непременно, чтобы пароль был с буквами, цифрами, знаками, и кровью девственницы.
При том, что ценность этого аккаунта, вообще говоря, отрицательная, потому прекрасно подошёл бы пароль "1" на все магазины сразу. И глубоко поебать, что эти данные смогут спиздить.
Самое интересное - что люди, которые отвечают за безопасность во всех этих сервисах, вообще не понимают, что они делают.
Они вводят кучу идиотских ограничений на пароль, хотя никто не мешает просто прикрутить формулу энтропии пароля (от NIST) и ограничивать только минимальную энтропию. Интересно, что недавно NIST под давлением общественности (см комикс) изменили рекомендации к паролям: теперь они заточены на то, что ты введёшь длинную фразу на естественном языке. Так что если раньше все эти ограничения просто ограничивали тебя в удобстве - то теперь это прямое вредительство, т. к. они не позволяют тебе выбрать наиболее безопасный пароль. В результате и понижают безопасность, и бесят людей. И блять даже банки спокойно могут такой же хуйнёй страдать, хотя казалось бы, там-то специалисты сидеть должны. Сука, как же печёт у меня от этих дегенератов
Они вводят кучу идиотских ограничений на пароль, хотя никто не мешает просто прикрутить формулу энтропии пароля (от NIST) и ограничивать только минимальную энтропию. Интересно, что недавно NIST под давлением общественности (см комикс) изменили рекомендации к паролям: теперь они заточены на то, что ты введёшь длинную фразу на естественном языке. Так что если раньше все эти ограничения просто ограничивали тебя в удобстве - то теперь это прямое вредительство, т. к. они не позволяют тебе выбрать наиболее безопасный пароль. В результате и понижают безопасность, и бесят людей. И блять даже банки спокойно могут такой же хуйнёй страдать, хотя казалось бы, там-то специалисты сидеть должны. Сука, как же печёт у меня от этих дегенератов
это там где попытки в секунду не ограничены и капчи нет. пароль на архивный файл например.
Нет, это везде. В документе никаких таких ограничений я не нашёл
сайт или какое от устройство может ограничить число попыток в секунду. а вот например запароленый архив нет
Брут форс аналогично дидосу могут производить с "зомби" компьютеров так что капча не панацея.
Как ты побрутфорсишь, если считается число попыток входа на аккаунт, и после некоторого количества(до 10) - только звонок менеджеру или личное явление, чтобы разблокировать?
Банки так делают. Плюс, двухфакторная авторизация. И брутфорс разве что может поднасрать - заблокировать кучу аккаунтов.
Банки так делают. Плюс, двухфакторная авторизация. И брутфорс разве что может поднасрать - заблокировать кучу аккаунтов.
Если БД утекает, то даже солёные хеши ваших паролей поддаются перебору с рекомбинациями по словарю.
Если же у вас уникальный пароль, не содержащий распространённых сегментов, то никто особо не будет маяться полным перебором именно вашего пароля.(если, конечно, вы не сверхценная цель)
Если же у вас уникальный пароль, не содержащий распространённых сегментов, то никто особо не будет маяться полным перебором именно вашего пароля.(если, конечно, вы не сверхценная цель)
я о том что любая база рано или поздно утечёт. после крупных действий в банке мошенники звонят через минуту уже
Тоже интересно. Что бы зайти на какие-нибудь залупки.ру надо придумать пароль состоящий из верхнего и нижнего регистра символов семи разных языков, символов для которых нужно установить отдельный пакет, и.т.д. А что бы попасть в ебанный банк где у меня блять всё достаточно блять пинкода из четырех цифр, с Госуслугами тоже самое, четыре цифры и продавай хату.
Уже продана;)
Ну тов. Майор...
>Что бы зайти на какие-нибудь залупки.ру надо придумать пароль состоящий из верхнего и нижнего регистра символов семи разных языков...
Причин таких политик в сервисах много:
1. Часто разрабы пишут бойлерплейт и от того заимствуют код со всеми его требованиями к учётным данным из проекта в проект.
2. Политики безопасности готовых библиотек. Например в ASP.NET Identity по-умолчанию установлена политика безопасности требующая спец символа, цифры и букв верхнего и нижнего регистров.
3. Перенесение ответственности. "Мы сделали всё что в наших силах. Вы сами просрали пароль"
4. https://joyreactor.cc/post/5350813#comment26503902
>что бы попасть в ебанный банк где у меня блять всё достаточно блять пинкода из четырех цифр
Это какой-такой банк, который не имеет политики безопасности пароля и не требует личного присутствия или наличия второго фактора(например карты, или вас с паспортом)
Причин таких политик в сервисах много:
1. Часто разрабы пишут бойлерплейт и от того заимствуют код со всеми его требованиями к учётным данным из проекта в проект.
2. Политики безопасности готовых библиотек. Например в ASP.NET Identity по-умолчанию установлена политика безопасности требующая спец символа, цифры и букв верхнего и нижнего регистров.
3. Перенесение ответственности. "Мы сделали всё что в наших силах. Вы сами просрали пароль"
4. https://joyreactor.cc/post/5350813#comment26503902
>что бы попасть в ебанный банк где у меня блять всё достаточно блять пинкода из четырех цифр
Это какой-такой банк, который не имеет политики безопасности пароля и не требует личного присутствия или наличия второго фактора(например карты, или вас с паспортом)
Всё человечество идиоты. "Меняйте пароли каждые полгода" говорят нам некоторые сайты, а то ЧТО? Сидит такой хацкер, у него запущен перебор всех возможных паролей от 6 до 15 символов на нескольких языках в разных регистрах и спец символах. И он вот-вот уже перебрал и твой пароль, но тут проходит полгода, тебе приходит напоминалка и ты его меняешь. И хацкер обломался?
А КАКОГО ХУЯ ваш сайт позволяет некому мудаку неограниченно посылать запросы на логин и перебирать пароли? Может лучше с этим разберетесь?
А КАКОГО ХУЯ ваш сайт позволяет некому мудаку неограниченно посылать запросы на логин и перебирать пароли? Может лучше с этим разберетесь?
Про подбор паролей, естественно, идёт речь только в контексте слитой базы.
Смена паролей как раз нужна: никто не знает, может, сайта база уже утекла, но воспользоваться этим злоумышленники ещё не успели.
Смена паролей как раз нужна: никто не знает, может, сайта база уже утекла, но воспользоваться этим злоумышленники ещё не успели.
Тогда нужно менять пароль ежечасно, вдруг база утекла вот полчаса назад. Бред же.
Офигеть экономия в несколько байт, конечно - зато всякие подписи или ники можно было хоть километровой длины делать.
Вот да.
То есть твои пароли лежат у дяди в облаке. Отличный ход, супер надежно, не прогадаешь.
так не все же, только для говносайтов, где нет лишних особо важных данных
Я заполняю только номер телефона(он у нас не привязан к паспорту), имя, и номер отделения почты. Этого достаточно для получения посылки.
Номер карточки - если его просит сайт МАГАЗИНА - я расцениваю это как наебалово, и иду в другой. Потому что даже по правилам платежных систем, данные карт можно оставлять только на авторизированных платёжных шлюзах. Магазину эти данные не передаются, только статус транзакции и максимум последние 4 цифры номера карты.
Список заказов - да смотрите блять сколько хотите. Я не считаю эти данные важными.
Номер карточки - если его просит сайт МАГАЗИНА - я расцениваю это как наебалово, и иду в другой. Потому что даже по правилам платежных систем, данные карт можно оставлять только на авторизированных платёжных шлюзах. Магазину эти данные не передаются, только статус транзакции и максимум последние 4 цифры номера карты.
Список заказов - да смотрите блять сколько хотите. Я не считаю эти данные важными.
эти данные говносайт и так сольёт за милую душу. от говнозона до банка все сольют любую инфу так или иначе
Проблема в том, что эти бляди пылесосят каждый твой чих и скупают любые данные о тебе, котоыре можно смержить (а можно смержить очень много чего) с тем что ты зарегистрирвоал у них на сайте. В итоге, помимо того что сами льются налево и направо, так ты еще и своим 12345 и qwerty раздаешь всякому встречному и поперечному.
Ну ты охуевший)
Да в том-то и соль, что данные аккаунтов пиздят и выкладывают постоянно. Пароли, е-мейлы, логины.
Смысл такого аккаунта - чтобы ты указал почту / телефон, на которые после магазин будет рассылать всякую фигню.
А хитровыебаный пароль нужен, чтоб пользователю этот спам было отключить сложнее.
Вот на примере. У матери вся почта забита рекламными письмами от магазинов.
- А почему ты их не отключишь? - спрашиваю
- Так я нажимаю перейти в личный кабинет, у меня просит пароль, а пароль я конечно не помню. Что-то там восстанавливать нужно, сложно все...
А хитровыебаный пароль нужен, чтоб пользователю этот спам было отключить сложнее.
Вот на примере. У матери вся почта забита рекламными письмами от магазинов.
- А почему ты их не отключишь? - спрашиваю
- Так я нажимаю перейти в личный кабинет, у меня просит пароль, а пароль я конечно не помню. Что-то там восстанавливать нужно, сложно все...
Один ебучий американец указывает мою почту везде, где может. Даже провайдера своего зарегал на мой адрес. Как он меня заебал. Поток спама просто пиздец.
Типа у меня почта Свет77, а у него Свет77.американец@почта.сом и у всех как-то проебывается эта "точкаамериканец" и все письма идут ко мне.
И даже приходят письма от простых людей. Меня зовут на родительские собрания. Спрашивают когда я заберу свою тачку из сервиса.
Ну и ещё 100500 писем спама о выигрыше в лотерее, о знакомствах.
Никак не могу побороть спам. каждый день сотня писем. 99% в спаме, но остальные то проходят. Рекламки от Воллмарта блять. Сука!!!
Типа у меня почта Свет77, а у него Свет77.американец@почта.сом и у всех как-то проебывается эта "точкаамериканец" и все письма идут ко мне.
И даже приходят письма от простых людей. Меня зовут на родительские собрания. Спрашивают когда я заберу свою тачку из сервиса.
Ну и ещё 100500 писем спама о выигрыше в лотерее, о знакомствах.
Никак не могу побороть спам. каждый день сотня писем. 99% в спаме, но остальные то проходят. Рекламки от Воллмарта блять. Сука!!!
>А хитровыебаный пароль нужен, чтоб пользователю этот спам было отключить сложнее.
Если нет "Отписаться от рассылки" без пароля, то смело составляйте обращения в:
спам-листы(например Spamhaus), что бы их почтовый сервер был ко всем херам отовсюду забанен
почтовому провайдеру(например google), что бы их почтовые сервера и шаблоны писем были забанены
если вы проживаете на территории евросоюза, то локальному регулятору, так как это противоречит GDPR (https://gdpr.eu/email-encryption/), что бы правительство влетело на них с двух ног, впаяв им приличные штрафы
Если нет "Отписаться от рассылки" без пароля, то смело составляйте обращения в:
спам-листы(например Spamhaus), что бы их почтовый сервер был ко всем херам отовсюду забанен
почтовому провайдеру(например google), что бы их почтовые сервера и шаблоны писем были забанены
если вы проживаете на территории евросоюза, то локальному регулятору, так как это противоречит GDPR (https://gdpr.eu/email-encryption/), что бы правительство влетело на них с двух ног, впаяв им приличные штрафы
Боже блять, как ты прав.
То что требуют завести аккаунт чтобы просто посмотреть ссылку в посте бесит неимоверно. Но от всего остального помогает KeePass.
Для этого есть входы с тем же Епл аккаунтом или соцсетью
Эт конечно хорошо что ты можешь судить со своей позиции. Но не надо забывать про тех кому этот аккаунт может быть важен и нужен. И бля, чел, 2022 год, вместо того чтобы рвать свой пердак на забавный айти юмор в комментах, уже бы установил любой браузер с генератором и менеджером паролей, и забыл бы про проблему паролей. либо установил бы аддон. Либо на крайняк придумай сложный пароль и используй его везде, или сложнеее единицы тяжело запомнить?
ценность? подумай что ты хочешь от рандомного говносайта\магазина... разве ты, ленивая жопа, каждый раз когда хочешь набить брюхо идешь в магазин или заказываешь доставку? когда тебе срочно нужно куда то добраться - ты туда бежишь или вызываешь такси? меня удивляют такие как ты говорящие о бесполезности регистрации а потом орут в три горла когда их что то не устраивает.... а еще кто эти 140 ДЕБИЛОВ которые тебя поддержали????? придумывайте пароли к картам "1234" и прочий шлак - мы воспользуемся вашими "возможностями"
Посмотрим как ты справишься с этим, ублюдок !
ой, бля. А как это пинкоды на банковских картах такие коротенькие, всего четыре цифры - и нормально? Может потому, что похуй, какой там сложности и длины пароль и сколько там спецсимволов и цифр, если базу данных слили?
Можно сделать ограниченное количество ввода, чтобы не допустить брутфорса? Ведь есть же давным давно такая херня, ещё на древних форумах, когда три раза неправильно ввёл пароль - подожди часик. Ещё три раза неправильно ввёл - подожди суточки.
Можно, делай (с)
По факту навесить пиздаватую регулярку проще. Плюс есть всякие эти ваши аудиторные конторы, которые выдают сертификат безопасности системы. Берут систему и начинают её шатать на предмет уязвимостей. Сначала по базовым сценариям, потом по хитроебанным. К паролям они тоже могут выкатить требования.
По факту навесить пиздаватую регулярку проще. Плюс есть всякие эти ваши аудиторные конторы, которые выдают сертификат безопасности системы. Берут систему и начинают её шатать на предмет уязвимостей. Сначала по базовым сценариям, потом по хитроебанным. К паролям они тоже могут выкатить требования.
Погоди. Сделать так, чтобы на один аккаунт не ломились, перебирая пароли, даже с разных айпишников - это суперсложно?
(Про требования к паролям от аудиторов я не знал, аргумент)
(Про требования к паролям от аудиторов я не знал, аргумент)
Аудиторы еще ладно, их можно нахуй послать или оспорить требования.
Вот СБ фирмы да, проблема. Они как правило менее компетентны чем аудиторы, и параноики. Скажем прямо - тупые вахтеры. В итоге у нас в интернет-магазине:
ЦифроБуквоСимвольный пароль ровно 12 символов с верхним и нижним кейсом;
Обязательная смена пароля каждый месяц ;
Новый пароль должен отличаться от всех предыдущих хотя-бы на 4 символа;
Сессия живёт ровно 15 минут;
Вот СБ фирмы да, проблема. Они как правило менее компетентны чем аудиторы, и параноики. Скажем прямо - тупые вахтеры. В итоге у нас в интернет-магазине:
ЦифроБуквоСимвольный пароль ровно 12 символов с верхним и нижним кейсом;
Обязательная смена пароля каждый месяц ;
Новый пароль должен отличаться от всех предыдущих хотя-бы на 4 символа;
Сессия живёт ровно 15 минут;
>Можно сделать ограниченное количество ввода, чтобы не допустить брутфорса
Конечно можно, но тогда любой аккаунт можно залочить от входа, просто спамя его неправильными паролями. При закрытии сессии юзер уже не войдет в аккаунт. Огромный простор для троллинга. Можно конечно чекать IP или цифровой отпечаток для каждой попытки, но это всё можно обойти, халявных проксей в интернете - завались. Максимум что нужно сделать для ограничения брутфорса - это банальная капча.
Самая надёжная защита сейчас - это двухфакторная аутентификация, но СМС-ки слать - стоит денег. Поэтому наиболее простой, безопасный и дешёвый способ защиты - логин + хешированный пароль.
При регистрации ты вводишь свои данные:
login:CatOfPeace
password:хуйПиздаДжигурда123
Когда это прилетает на сервер, сервер добавляет к твоему паролю своё окончание, которое знает только сервер (т.н соль):
login:CatOfPeace
password:хуйПиздаДжигурда123660968c9cbe4fc78b966e64d18c246d529096a4cc8d8da1cab871b7b769e8a59
После этого он всю строку с паролем хеширует, т.е превращает в мешанину. Результат сохраняет в базу в виде:
login:CatOfPeace
password:3b21b02b4c4ebd1e2737fd75d3e7fe093f54dfe6029761957e65616fcd4ec978
Когда ты авторизуешься, процесс с паролем повторяется, и результат сравнивается с тем, что уже хранится в базе. Если мешанина не совпадает, то сервер тебя шлёт нахуй.
>Может потому, что похуй, какой там сложности и длины пароль и сколько там спецсимволов и цифр, если базу данных слили?
Если базу вскрыть, то из хеша изначальный пароль практически невозможно извлечь, так-как хеш это не закодированные данные, а просто месиво, которое при одинаковых исходных данных дает одинаковый конечный результат. Фактически, всё что остается взломщику - это брутфорсить хеш-функцию, пытаясь угадать твой пароль с солью, что еще сложнее чем ломиться в форму авторизации. А на форме у нас ебучая капча, которую можно порешать только нейросеткой или индусами.
Конечно можно, но тогда любой аккаунт можно залочить от входа, просто спамя его неправильными паролями. При закрытии сессии юзер уже не войдет в аккаунт. Огромный простор для троллинга. Можно конечно чекать IP или цифровой отпечаток для каждой попытки, но это всё можно обойти, халявных проксей в интернете - завались. Максимум что нужно сделать для ограничения брутфорса - это банальная капча.
Самая надёжная защита сейчас - это двухфакторная аутентификация, но СМС-ки слать - стоит денег. Поэтому наиболее простой, безопасный и дешёвый способ защиты - логин + хешированный пароль.
При регистрации ты вводишь свои данные:
login:CatOfPeace
password:хуйПиздаДжигурда123
Когда это прилетает на сервер, сервер добавляет к твоему паролю своё окончание, которое знает только сервер (т.н соль):
login:CatOfPeace
password:хуйПиздаДжигурда123660968c9cbe4fc78b966e64d18c246d529096a4cc8d8da1cab871b7b769e8a59
После этого он всю строку с паролем хеширует, т.е превращает в мешанину. Результат сохраняет в базу в виде:
login:CatOfPeace
password:3b21b02b4c4ebd1e2737fd75d3e7fe093f54dfe6029761957e65616fcd4ec978
Когда ты авторизуешься, процесс с паролем повторяется, и результат сравнивается с тем, что уже хранится в базе. Если мешанина не совпадает, то сервер тебя шлёт нахуй.
>Может потому, что похуй, какой там сложности и длины пароль и сколько там спецсимволов и цифр, если базу данных слили?
Если базу вскрыть, то из хеша изначальный пароль практически невозможно извлечь, так-как хеш это не закодированные данные, а просто месиво, которое при одинаковых исходных данных дает одинаковый конечный результат. Фактически, всё что остается взломщику - это брутфорсить хеш-функцию, пытаясь угадать твой пароль с солью, что еще сложнее чем ломиться в форму авторизации. А на форме у нас ебучая капча, которую можно порешать только нейросеткой или индусами.
да почему, если знать хэш и соль узнать, то брутфорсить проще, так как это можно делать прямо на машине, без всяких лишних попыток авторизоваться и проч, вопрос в том, сколько ресурсов нужно
Ну да, в криптографии всегда вопрос был именно шо в "сколько ресурсов нужно".
без соли можно юзать радужные таблицы для поиска пароля по хешу.
с солью такое не прокатит.
а если солить каждую строку отдельно (отдельным salt) то даже подобраный пароль к одному аккаунту не позволит найти аккаунты с таким же паролем в той же бд, потому что хеши будут разными.
Ну, конечно, если погромисты не проебутся и не напишут кривую обратимую функцию хеширования .
без соли можно юзать радужные таблицы для поиска пароля по хешу.
с солью такое не прокатит.
а если солить каждую строку отдельно (отдельным salt) то даже подобраный пароль к одному аккаунту не позволит найти аккаунты с таким же паролем в той же бд, потому что хеши будут разными.
Ну, конечно, если погромисты не проебутся и не напишут кривую обратимую функцию хеширования .
Реактор познавательный.
Что за дичь ты несешь? Нормальные сайты делают двухфакторку без ебучих СМС. Через гугл аутентификатор(кто умнее ставит альтернативы).
При взломе БД нахрен твои пароли? Расшифровка твоих паролей - последнее, что будут извлекать из утечки. Всем нужны твои адреса, телефоны и ФИО, которые хранятся в открытую. Да их тоже можно шифровать, но тогда по ним нельзя будет делать поиск, так что никто так не делает.
При взломе БД нахрен твои пароли? Расшифровка твоих паролей - последнее, что будут извлекать из утечки. Всем нужны твои адреса, телефоны и ФИО, которые хранятся в открытую. Да их тоже можно шифровать, но тогда по ним нельзя будет делать поиск, так что никто так не делает.
Как раз именно пароли обычно и пытаются извлечь.
Во-первых, по ним можно авторизоваться и выполнять какие-то действия от твоего имени или получить данные, которые так появились после слива базы.
Во-вторых, некоторые долбоёбы используют тот же пароль на других сервисах и так можно получить доступы к ним
Во-первых, по ним можно авторизоваться и выполнять какие-то действия от твоего имени или получить данные, которые так появились после слива базы.
Во-вторых, некоторые долбоёбы используют тот же пароль на других сервисах и так можно получить доступы к ним
Физическая карта прекрасно заменяется привязкой к мобильнику. По крайней мере я уже давно не засовывал физическую карту в банкомат с видеокамерой, чтобы оплатить что-либо.
У меня постоянно при банковских операциях высылается пароль на телефон, его вводишь при оплате и только тогда можно оплатить.
С макияжем или без?
пин код - это второй фактор аутентификации. Первым является карта. По карте юзер идентифицируется и аутентифицируется, а пин является вторым фактором.
то что ты ниже пишешь про привязку к платежному приложению не имеет отноешния к пинам - это другой совершенно процессинг и там свои факторы
то что ты ниже пишешь про привязку к платежному приложению не имеет отноешния к пинам - это другой совершенно процессинг и там свои факторы
Чтобы написать коммент, необходимо залогиниться
Каждый говномагазин и говносайт хочет, чтобы вы завели у них ебанный аккаунт. И непременно, чтобы пароль был с буквами, цифрами, знаками, и кровью девственницы.
При том, что ценность этого аккаунта, вообще говоря, отрицательная, потому прекрасно подошёл бы пароль "1" на все магазины сразу. И глубоко поебать, что эти данные смогут спиздить.