Ознакомьтесь с нашей политикой обработки персональных данных
11:27 

Еще немного о паролях

quirischa
администратор
(с капибарой на аватарке)
Товарищи. Я хотел бы сказать пару слов.

Как несложно прочитать на странице Изменить пароль, он (то есть, пароль) не может содержать специальные символы из списка: " ' % * < >

Многие пользователи ставят себе в качестве пароля русское слово или фразу, которая набрана в латинской раскладке.

Обратите внимание! что русские буквы Э, э, Б и Ю (именно в такой капитализации) при наборе в латинской раскладке представляются символами ", ', < и > соответственно. То есть, другими словами, введя новый пароль по указанной выше схеме с этими буквами, вы потом НЕ СМОЖЕТЕ войти. Вот такое головокружение от успехов и перегибы на местах.

Если вы однажды ввели подобный пароль, после чего потеряли доступ к аккаунту и хотели бы восстановить доступ, вам следует написать с зарегистрированного адреса почты нам на info@co.diary.ru.

Будьте бдительны. Враг не дремлет!

@темы: Пароль

Комментарии
2010-10-16 в 11:28 

ArLe
Арлоло, админота,
администратор
и админотавр
На посошок: следите внимательно, чтобы в конце пароля не поставить случайно пробел.

2010-10-16 в 11:29 

quirischa
администратор
(с капибарой на аватарке)
ArLe
или два пробела - было и такое, чо

2010-10-16 в 11:30 

ArLe
Арлоло, админота,
администратор
и админотавр
Это, наверное, от избытка чувств. Как на пианино - мощные финальные аккорды "ты-дыщ!"

2010-10-16 в 11:31 

quirischa
администратор
(с капибарой на аватарке)
ArLe
Если бы пароль ставил Рахманинов: GP HKJ GHKJF HLHKDGK GHKHFKS

2010-10-16 в 11:32 

Не говорите так быстро, я не успеваю класть х*р на ваши слова.
Я щетаю, что надо изменить латинскую раскладку и добавить семь недостающих букв. А то сколько народу из-за этого имеет проблемы.

2010-10-16 в 11:34 

Trotil
А у меня другой вопрос - почему вы храните пароли на сервере в открытом виде?

2010-10-16 в 11:35 

ArLe
Арлоло, админота,
администратор
и админотавр
Если бы пароль ставил Морзе: · · · · · · − · − − −

2010-10-16 в 11:40 

quirischa
администратор
(с капибарой на аватарке)
Trotil
зато у нас все в порядке

2010-10-16 в 11:48 

Trotil
Пароль в открытом виде - это не может считаться порядком, уже извините, это потенциальная угроза. Это халатность, наплевательское отношение к пользователям.

2010-10-16 в 11:52 

ArLe
Арлоло, админота,
администратор
и админотавр
Trotil я работала в техподдержке онлайн заявок в крупнешие мировые вузы (Гарвард и проч.). Пользователи там загружали весьма конфиденциальные документы. Пароли хранились в открытом виде.

2010-10-16 в 11:54 

Trotil
Хм... Поставил пароль 1234% - вошел. Поставил пароль 1234< - снова вошел. Что-то у вас работает не так.

Идея по развитию. У вас есть автоматическое отслеживание по длине пароля (на странице установке пароля). Почему бы не прикрутить туда отслеживание по символам?

2010-10-16 в 11:58 

Trotil
Пользователи там загружали весьма конфиденциальные документы. Пароли хранились в открытом виде.

Значит, тоже непорядок, что ж поделать.
Независимо от того, в какой системе это используется - открытые пароли - потенциальная угроза. Надеюсь, это очевидный факт?

2010-10-16 в 12:07 

ArLe
Арлоло, админота,
администратор
и админотавр
Trotil не очевидный, кстати. Практически все случаи т.н. взлома дневников - это получение доступа к почте. При наличии почты все равно, в каком виде хранится пароль.

2010-10-16 в 12:10 

quirischa
администратор
(с капибарой на аватарке)
Trotil
ок, мистер потенциальная угроза :)

пришлите мне на умыло мой пароль в течение следующих 24 часов.

2010-10-16 в 12:13 

All people live relying on their knowledge and understanding, and so are bound to them. They call it "reality" © Masashi Kishimoto
лол, я только сейчас соотнёс специальные символы и свой пароль :lol:
спасибо за инфу, буду знать куда бежать если что Т^T

2010-10-16 в 12:14 

Trotil
quirischa

Попроси носа или глюкера =)

2010-10-16 в 13:11 

Сара, мать её, Такер!
Гори, но не сжигай... Гори, чтобы светить. (с)
спасибо за совет.
а то ввёл бы сейчас по невнимательности -____-

2010-10-16 в 13:28 

Паломник Оптимизма!
Неизвестный смайлик.
Вообще странная логика если честно. Я то думал там при вводе запрещенных символов отчаянно заругаются и будут грозить карами небесными. А оно оказывается тихо мирно меняется, как-то по левому. Нихарошо. Прикрутите что ли проверку пароля, вроде ж не бог весть какая задача.

2010-10-16 в 13:41 

Белый Сикер
Qui vult, facultatis inveniet.
*Слегка насторожившись, но дочитав, раслабившись*
Свои пароли всегда пишу на аглицком, потому как в моём понимании, это родной язык машин. Если что-то пойдёт не так, техника всё одно перейдёт на этот язык, так зачем мне лишний геморой ? ) Чем серьезней ресурс, тем весомей его падение, так что на мой взгляд, пароль в русской раскладке - это всё же роскошь.

2010-10-16 в 14:43 

ArLe
Арлоло, админота,
администратор
и админотавр
Паломник Оптимизма! спасибо, человек страны советов!

2010-10-16 в 15:06 

Паломник Оптимизма!
Неизвестный смайлик.
Во времена советов, все мои сверстники весь день орали и испражнялись на людях (с) Но вообще незашта, угу )

2010-10-16 в 15:55 

ArLe
Арлоло, админота,
администратор
и админотавр
Паломник Оптимизма! но наследие ее так до сих пор в менталитете люде себя не исчерпало :)

2010-10-16 в 19:38 

quirischa
администратор
(с капибарой на аватарке)
Trotil Попроси носа или глюкера =)
не отмазывайся, а наплюй на свое отношение ко мне и пришли пароль.

пока нет оснований говорить, что хранение паролей в открытом виде приносит больше вреда, чем пользы.
по всему остальному см.: При наличии почты все равно, в каком виде хранится пароль.

2010-10-16 в 19:59 

Trotil
не отмазывайся, а наплюй на свое отношение ко мне и пришли пароль.

Я не отмазываюсь, а предлагаю менее трудозатратный способ док-ва того, что то, что является самой ценной конфиденциальной информацией, может узнать посторонний человек.

пока нет оснований говорить, что хранение паролей в открытом виде приносит больше вреда, чем пользы.

Вред - человек, который сможет получить (легально, нелегально, это неважно) доступ к базе данных, сможет прочитать пароли. При концепции закрытых паролей их не сможет прочитать никто, даже если получит полный доступ.

Польза - на мой взгляд она, минимальная. Пользователь сможет узнать тот пароль, с которым он когда-то регистрировался. Не слишком важная польза, как мне кажется.

2010-10-16 в 20:05 

quirischa
администратор
(с капибарой на аватарке)
Trotil
предлагаю менее трудозатратный способ док-ва того, что то, что является самой ценной конфиденциальной информацией, может узнать посторонний человек.
то есть, мой пароль мне все-таки пришлют? отлично!
или было еще какое-то доказательство, о котором я не знаю?

Польза - на мой взгляд она, минимальная
тогда у нас на пользу разные взгляды, которые делают невозможным конструктивное продолжение дискуссии.
нет, я могу и дальше отвечать, конечно, но не вижу смысла, раз наши взгляды уже в общем не совпадают, сорри.

2010-10-16 в 20:07 

Trotil
> При наличии почты все равно, в каком виде хранится пароль.

Небольшая история. У одного человека несколько раз менялся пароль на одном ресурсе. Оказалось, что некий злоумышленник, имея доступ к почте вызывал смену пароля через доступный ему почтовый ящик.
В системе diary.ru этого бы узнать не удалось бы, поскольку пароль не меняется и хищение пароля может пройти абсолютно незамеченным.

Есть и вторая история. Один знакомый мне форум на vbulletin взломали конкуренты. Казалось, платный, серьёзный движок. Максимум, что украли, это базу емейлов. Паролей им недосталось, ибо этот форум хранит их в закрытом виде (вообще, большинство известных мне CMS и форумов серьёзно подходят к этому вопросу)

2010-10-16 в 20:09 

Trotil
тогда у нас на пользу разные взгляды, которые делают невозможным конструктивное продолжение дискуссии.

Ты про пользу так и не рассказал. Может, я что-то не учитываю, поэтому очень интересно узнать твоё видение насчёт пользы.

2010-10-16 в 20:12 

quirischa
администратор
(с капибарой на аватарке)
Trotil
на моей старой работе, в интернет-провайдере, пользовательские пароли хранились в открытом виде в базе, и никто ничего не украл.

если привлечь на мою сторону еще и историю от Арле, то счет выходит 2:2 :)

2010-10-16 в 20:15 

quirischa
администратор
(с капибарой на аватарке)
Trotil Ты про пользу так и не рассказал.
и не расскажу, потому что эта информация имеет отношение к администрированию

2010-10-16 в 20:19 

Trotil
Вот ты и сознался в том, что администраторы используют данные о паролях в служебных целях. :)
Хотя технически можно реализовать заход под другим пользователем, используя повышенные привилегии своего аккаунта.

2010-10-22 в 13:20 

Выкинь тапки! Сохрани мир!
не может содержать специальные символы из списка: " ' % * < >

А у меня с самого начала был пароль с символом ", но такого, чтоб я под этим паролем не смогла войти, никогда не было. Странно.

2010-10-31 в 11:36 

Reuniko
Уважаемые администраторы, знатоки веб-программирования.
Быть может мне напомнить вам что случилось прошлым летом?

До этого события никто даже и не подозревал, что пароли у вас на сервере лежат в открытом виде. Естественно верно, что основная угроза исходит от незащищеных емейлов пользователей. Но и дополнительную угрозу нельзя исключать, в том числе даже такую, что баба Ася, уборщица датацентра, придет ночью и сольет всю вашу базу паролей. Один раз вы уже погорели на этой ошибке. Какие шаги предприняты по ее предотвращению? Заставили пользователей сменить все пароли. Получили кучу шишек. Пароли закрытыми так и не сделали, до сих пор.

Ни в одной уважающей себя и своих пользователей CSM - ни в одной пароли не хранятся в открытом виде.
Технической пользы от пароля в открытом виде - никакой. Все что нужно администратору для решения всех проблем связанных с паролями пользователей - это механизм 1) проверки подходит текущий пароль или нет 2) смены пароля на новый, и эти механизмы есть в системе с зашифрованными паролями.

Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

@Дневники: секреты, тонкости и хитрости

главная