На - любопытная о статистике использования паролей в одной из социальных сетей. Результаты исследования там, к сожалению, вполне ожидаемые, однако статью имеет смысл прочитать тем, кто ставит в своем аккаунте пароль "123", а потом поднимает скандал из серии: "Ах, у меня похитили мой аккаунт и теперь с него спамят". Похитили? Сами и виноваты! По приведенной статистике легко взламывается более 35% паролей. Более 35! То есть больше трети из всех аккаунтов!
А вот царица полей - Top10 наиболее часто используемых паролей. И если ваш пароль находится в этом списке - вы спокойно можете считать себя идиотом.
alexxxey: Алекс, ты слишком строг к обычным юзерам. Кто в основном пользуется социальными сетями? Программисты? Сисадмины? Да в основном бухгалтерши и прочий офисный планктон.
Идиоты прежде всего программисты этой социальной сети, которые принимают такие простые пароли без БОЛЬШИХ КРАСНЫХ предупреждений.
+1
ситуацию усугубляют адимины и программисты другой разновидости
одни вообще не дают пользователю выбрать пароль (и в результате надо запоминать нечелеовеческую буквенноцифровую билиберду)
другие разрешают менять самим но не меньше 8 обязательно буквы-цифры обязательно с идиотской сменой регистра.....
и все ради одной темы в год или одной программы в полгода.... причем он зачем то еще хочет мой емайл адрес......
ну и результат -плайнтекст файл с никами паролями и названиями сайтов .... или дубляж пары-тройки хорошо запоминаемых "криптоблинстойких" последовательностей
( 14.12.08 22:21 )
Casper___xXx: Ага. Давайте я угадаю. Возле дискетки с паролями у вас ТОЖЕ рядом лежат ещё две дискетки с ключами клиент-банка? )))))
Не угадали. Листочек с пином кредитки запрятан в рамку фотографии моей девушки. А в какую из двух - не скажу)))
( 14.12.08 22:27 )
:
Как писал чуть выше, листочек с пином все же есть - тот, что вместе с картой давали.
Но ведь имея паспортные данные всегда можно в банке доказать, что карточка твоя и попросить сменить/сообщить пин. Да, это лишнее время и деньги, что не есть приятно.
К слову,на моей карточке (вообще она дебетка, но я продолжаю называть ее кредиткой, что поделать, ну не хотят нам зарплату лично выдавать) ОБЫЧНО такая смешная сумма, что если ее и сопрут, смеяться прежде всего буду я сам.
( 14.12.08 22:38 )
Песенка какая то была.. пароле пароле пароле.. ) не помню кто поет.
на все несерьезные инет ресурсы у меня один пароль )) Ибо особо скрывать там у меня нечего. Есть ресурс, где пароль очень серьезный, раз в месяц он принудительно меняется. Но там еще и сертификат именной так что просто войти не получится, даже зная пароль. Нужен сертификат и пароль еще и от него...А вообще - паранойя рулит а я бибикаю на поворотах... После развода с сожительницей даже все пароли поменял на подчиненных серверах, мало ли. Она бывший сисадмин...На все остальные пароли - строгие параноидальные требования. Мастер - пароль, с помощью которого можно расшифровать обычный текстовик с паролями криптованный PGP висит на стене в виде красивой картинки с хокку, в котором сделано 2 ошибки. Паранойя....
( 14.12.08 22:44 )
: а теперь представим себе, что то же самое я сделаю для мыльника, на который я захожу раз в 2 месяца отправить знакомому сообщение
( 14.12.08 22:47 )
Sir AlexN-VV дык левый бесплатный мыл - это для меня несерьезный ресурс )))) Да читайте кому влезет. Для других целей и средства связи другие. Кстати прекрасно понимаю что именно благодаря одинаковости паролей на разные ресурсы и существует система взлома паролей по пасслистам. К примеру exler.ru, возьмет Экслер да и прогонит хеш парольный своего сайта программой для подбора паролей по словарю/прямым перебором.. Получит кучку пар логин:пароль, сохранит это в файлик.. А потом (ну чисто все теоретически) прогонит этот пасслист с помощью спец.ПО.(т.н. брутфорс) например на одноклассниках.сру. Я уверен, результат будет не нулевой.. И абсолютно пофиг как там шифруются у них пароли. А например получив каким то мифическим образм хеш паролей yahoo.com и разшифровав сколько получится, господин Экслер вряд ли что либо добьется толкового с помощью этого пасслиста на тех же однокласснегах. Менталитет разный, люди разные.
( 14.12.08 23:14 )
:А подчинённые сервера на руткиты после развода с сожительницей проверили ?
( 14.12.08 23:42 )
Если бы они применяли систему шифрования паролей, они не смогли бы сделать такую статистику.
Очень многие сайты хранят пароли просто зашифрованные в md5. В этом случае достаточно сгруппировать эти строки, выбрать самые популярные и найти их соответствие по словарю md5.
Хранение md5 паролей в чистом виде спасает лишь в случаях, когда пароль действительно уникальный. Поэтому, статистику вполне реально собрать.
( 15.12.08 01:54 )
Мне это напомнило один старый прикол, когда маленький мальчик закрывает себе ладошками глаза, с воплем "щас всем вам сделаю темно" ))) Также и здесь, Экслер почему-то считает что все должны быть экспертами в компьютерных технологиях, не понимая, что многие люди вообще то другими делами занимаются. ) В которых точно также смогли бы обвинить Экслера в идиотизме ) Например - Экслер, идиот, ты как проводку сделал?! Или, Экслер, тебе руки отбить? Кто так шов делает? Или, Экслер, придурок, ты не понимаешь что что нельзя переливать кровь третьей группы человеку со второй группой крови?! Ну и так далее )))
( 15.12.08 07:48 )
Алекс, у меня тоже бывают такие пароли, когда какой-нибудь сайтик, нужный мне ради одного захода, требует регистрации, а аккаунт мне там не сдался совсем.
( 15.12.08 10:57 )
Раз уж заговорили о Робоформе (которым сам пользуюсь), подолью масла в огонь и дам ссылку на бесплатный онлайн-сервис: LastPass.com
( 15.12.08 12:57 )
Люди, про пины пластиковые фигню пишете, ни "установить", ни "восстановить", ни "сменить" его на нормальной карте нельзя. Только перевыпуск карты с новым _случайным_ пином, который присутствует _только_ в пинконверте, и _ни_один_ сотрудник банка его не знает и уж тем более сменить не может.
( 15.12.08 15:49 )
Sav: Люди, про пины пластиковые фигню пишете, ни "установить", ни "восстановить", ни "сменить" его на нормальной карте нельзя. Только перевыпуск карты с новым _случайным_ пином, который присутствует _только_ в пинконверте, и _ни_один_ сотрудник банка его не знает и уж тем более сменить не может.
с картами другой неприятный момент при перевыпуске карты (уже не первый раз и непервый банк) оставляет _старый_ пинкод. вот я думаю "если никто ничего не знает" то как же делается что бы пин был такой же как и раньше?
( 15.12.08 18:33 )
: Элементарно. Это примерно, как на сайте сменить тебе логин не меняя пароль. Карта, как правило, хранит лишь информацию о неком индивидуальном коде. Естественно, никаких пинов на карте не хранится, иначе их бы легко взламывали. Поэтому, по правилам, если пин оставляют старым, то старую карту должны ликвидировать (разрезать) на глазах клиента.
( 15.12.08 18:40 )
:Очень многие банки позволяют менять пин в банкомате. Восстановить его не могут. Сменить теоретически могут, но в целях безопасности обычно перевыпускают карточку с новым пином.
( 15.12.08 19:25 )
Скорее всего вы путаете ПИН и какой-нибудь доппароль, скажем, на получение выписок через интернет и т.п. Ну или карты какие-то игрушечные, типа "хлебной карты россиянина". Возможно еще на чиповых картах какой-то пин-пароль для чипа. А тот что на магнитную полосу - фиксируется при выпуске.
( 16.12.08 07:55 )
кстати, чтобы два раза не вставать - здесь кнопки "цитировать" и "ответить" не работают в приятственном браузере "гугл хром" (который опять же кстати, уже достиг своей первой версии) и нет никакой справки по бб-кодам или я не замечаю?
( 16.12.08 07:58 )
а почему, собственно, юзверей идиотами называть надо, если они простые пароли юзают?
Пароли бывают к важным вещам, и к неважным. Регишься в каких-нить форумах, и на фига туда сложный пароль писать? Ну сопрут твой аккаунт, и что? Зарегишь новый.
Вот если от аси или от почтового ящика пароль - йцукен, тогда да, очень глупо...
да и то необязательно. Потому как большинство пользователей на фиг никому не нужно, хакать их никто не будет, и пароли их никому не интересны, а потому и бояться нечего
( 16.12.08 09:46 )
Я, таки не прав насчет ПИНа, просто я не сталкивался с банками, которые такой сервис умеют. Это вполне возможно, хотя технологически непросто. Например, http://dom.bankir.ru/showthread.php?t=84859
( 16.12.08 10:30 )
Я обычно ставлю пароли типа 1b2u3g4o5g6a7 (bugoga - какое-нить слово, а 1234567 - число, которое легко запомнить, но не такое), скажите я идиот?
Авторство всех материалов данного сайта принадлежит Алексу Экслеру и охраняется Законом о защите авторских прав. Любые перепечатки в офлайновых изданиях без согласования с Экслером категорически запрещаются. В онлайновых изданиях разрешается перепечатывать материалы сайта при условии сохранения имени автора и гиперссылки на www.exler.ru
