Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Почему все считают что смена пароля увеличивает безопасность |
<<Назад Вперед>> | Страницы: 1 2 3 | Печать |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Ну, если я его давно не менял, значит у меня всё нормально! Есть какие-то научные данные показывающие зависимость между сроком пользования паролем и вероятностью его взлома? Мы обратили внимание, что вы давно не меняли пароль от своей учетной записи на ХХХ. В целях безопасности просим вас изменить пароль. |
Igor Michailov
Advanced Member
Откуда: Екатеринбург Всего сообщений: 1132 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 авг. 2012 |
Взлома или утечки? |
Arseny
Advanced Member
,,,=^..^=,,, Откуда: Bryansk, Russia Всего сообщений: 1722 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 окт. 2005 |
Вот тебе моя история... Я давно не менял пароль на одном из резервных мыльников. Какой-то чудак на букву М подобрал/украл пароль от него и зарегистрировался с него в онлайн игре. Угадай - как узнал об этом? Очень просто - мне на глаза случайно попалось (видно совпало что полез зачем-то в мыльник) сообщение что я временно заблокирован в игре за оскорбления и нецензурную брань. Думаю, варианты нехорошего использования чужого почтового ящика, ты и сам можешь прикинуть. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Igor Michailov написал: Завладения аккаунтом. Не важно как. Взлома или утечки? Arseny написал: Да истории я и сам могу порасказывать ;-) Вот тебе моя история... Arseny написал: Что доказывает, что есть связь между первым и вторым? Есть доказательства того, что если бы ты его сменил 15 минут назад аккаунт не был бы уведён? Я давно не менял пароль на одном из резервных мыльников. Какой-то чудак на букву М подобрал/украл пароль |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
Мне тоже это приходило с авито. CodeMaster написал: Думаю, они просто проверяют актуальность продавцов, заодно напоминают о себе. Мы обратили внимание, что вы давно не меняли пароль от своей учетной записи на ХХХ. В целях безопасности просим вас изменить пароль. Ну или, как вариант, у них произошла утечка паролей, либо есть подозрение в этой утечке. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: Да этот текст с Авито, но этим занимаются не только они. В том же Qiwi пароль больше чем на год установить нельзя. Учитывая, что они ещё и требования к паролям постоянно ужесточают, я уже не могу запомнить эти постоянно меняющиеся пароли. eBay за последний год на одном из аккаунтов трижды пароль сбрасывал. Мне тоже это приходило с авито. Rio444 написал: Да кули её проверять и напоминать? У меня 15 объявлений на Авито и я их через день поднимаю, только олигофрены не заметят такую активность. Думаю, они просто проверяют актуальность продавцов, заодно напоминают о себе. Rio444 написал: Я, вообще, не понимаю какой профит от аккаунта на Авито, что его надо так защищать, там ни денег, ни ника, ни репутации, вообще ни хрена нет, да к тому же он практически привязан к мобиле :-/ Ну или, как вариант, у них произошла утечка паролей, либо есть подозрение в этой утечке. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
CodeMaster написал: За Вами персонально они не следят. Рассылают всем. Да кули её проверять и напоминать? У меня 15 объявлений на Авито и я их через день поднимаю, только олигофрены не заметят такую активность. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: На ещё одном аккаунте (кстати, редко используемом) пароль не сбросили. Рассылают всем. Но, вопрос остаётся: зачем это делать? Для эффекта плацебо, типа мы сделали для защиты безопасности всё, что могли? |
unterwulf
Администратор
Откуда: Санкт-Петербург Всего сообщений: 110 Рейтинг пользователя: 1 Ссылка Дата регистрации на форуме: 11 авг. 2014 |
Регулярная смена пароля может помочь в ситуации, когда злоумышленник пароль уже подобрал, но виду не подаёт, тихонько сливая, что ему нужно. Отсюда можно нафантазировать, что сервис, отмечая, например, заходы с географически удалённых от обычного мест, может предположить, что имеет место такая неприятная ситуация и попросить пользователя сменить пароль. (Это в пордяке балабольства. Как в реальности дело обстоит знать не могу.) На авито, насколько я понимаю, есть платные аккаунты магазинов и кошелёк. Опять же цены конкуренту в объявлениях подкорректировать можно :-) |
MsDemonid
Newbie
Откуда: Пенза Всего сообщений: 100 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 окт. 2015 |
CodeMaster написал: Пароли не взламывают, а в 999 случаях из 1000 их просто уводят с компа юзера, т.к. многие любят хранить пассворды в браузере, чтобы не набирать их каждый раз. Или троян тупо подсматривает, что набирается на клавиатуре. Поэтому возможна ситуёвина, когда аккаунт не взломан, но, набирая новый пассворд юзер услужливо делится им с хозяином трояна. Любая защита имеет как плюсы, так и минуса Есть какие-то научные данные показывающие зависимость между сроком пользования паролем и вероятностью его взлома? Научных данных не встречал. Попадалась только работа из Microsoft Researchs, по подсчету соотношения стоимости времени пользователя и выгоды от смены пассворда. Из запомнившегося, если каждый клиент банков будет тратить в день по две минуты на смену пассворда (рабочих минут, оплачиваемых работадателем!), то за год потери работадателей в десятки раз превысят ущерб от "взлома" пасвордов. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
unterwulf написал: Не вижу в этом смысла, если только ты не подобрал пароль от Госдепа или Пентагона. Регулярная смена пароля может помочь в ситуации, когда злоумышленник пароль уже подобрал, но виду не подаёт, тихонько сливая, что ему нужно. MsDemonid написал: Т.е. типа кто-то заслал мне трояна и через Авито просит сменить пароль, что бы его узнать ;-) Поэтому возможна ситуёвина, когда аккаунт не взломан, но, набирая новый пассворд юзер услужливо делится им с хозяином трояна. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
CodeMaster написал: Похоже, Вы ответы не дочитываете: Не вижу в этом смысла, если только ты не подобрал пароль от Госдепа или Пентагона. unterwulf написал: Ещё можно объявления от чужого имени размещать. Для чего? Тут уже масса вариантов, подсказывать не буду. На авито, насколько я понимаю, есть платные аккаунты магазинов и кошелёк. Опять же цены конкуренту в объявлениях подкорректировать можно :-) |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: Дочитываю. У меня не магазин, на кошельке рубля не было и таких аккаунтов на Авито - 99% Похоже, Вы ответы не дочитываете: Например на PayPal у меня (как россиянина) то же денег нет, но есть привязанная карта с копейками на балансе. Однако PayPal за 10 лет ни разу не сбрасывал пароль принудительно. Да и eBay раньше так не делали, это видимо общее поветрие от невежества пошло (или есть какой-то замысел, но с безопасностью он явно не связан) Rio444 написал: А было бы интересно. За два дня ничего путного не придумал. На сайте Госдепа хоть можно объявление "Русские захватили Вашингтон!" разместить. А тут, ну самое вредное - удалить об'явления. Ну, так их и само Авито может заблокировать вообще без об'яснения причин. Ещё можно объявления от чужого имени размещать. Для чего? Тут уже масса вариантов, подсказывать не буду. |
MsDemonid
Newbie
Откуда: Пенза Всего сообщений: 100 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 окт. 2015 |
CodeMaster написал: Зачем просить? Он просто мониторит все набранное в браузере и терпеливо ждет пока rambler, avito или yandex сами не попросят сменить пассворд. А эти сволочи регулярно просят, правда пока еще им можно отказать. Т.е. типа кто-то заслал мне трояна и через Авито просит сменить пароль, что бы его узнать ;-) CodeMaster написал: На самом деле причин использовать чужой аккаунт много. Например, я могу воспользоваться чьим то аккаунтом в соц. сетях для распространения только что написанного трояна (а значит он пока еще не детектится антивирусом), так как люди гораздо доверчивее кликают по присланным им ссылкам от друзей, чем от незнакомцев. Они же не знаю, что аккаунт их друга был взломан Посадив им трояна можно вытянуть из компов немало интересного. А было бы интересно. За два дня ничего путного не придумал. На сайте Госдепа хоть можно объявление "Русские захватили Вашингтон!" разместить. А тут, ну самое вредное - удалить об'явления. Ну, так их и само Авито может заблокировать вообще без об'яснения причин. Собственно соц. сети и являются самым огромным рассадником различной заразы. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 22 мая 2016 15:34 Сообщение отредактировано: 22 мая 2016 15:34
MsDemonid написал: Как? Они не просят, они просто сбрасывают старый. А эти сволочи регулярно просят, правда пока еще им можно отказать. MsDemonid написал: Я конкретно про Авито. Например, я могу воспользоваться чьим то аккаунтом в соц. сетях |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
В очередной раз столкнулся с тупостью связанной с паролями, на этот раз на сайте госуслуг. Требования в паролю состоят из 5 пунктов, которые требуют длину более 8 символов и использование всех вариантов латинских символов и знаков препинания. При этом пароль Nnnnnn1. который по оценке https://password.kaspersky.com/ru/ требует на подбор 4 часа подходит, а пароль nhfyrdbkbpfnjh с оценкой времени подбора в 3270 лет нет. Ну, не маразм ли это? |
xCat
Advanced Member
Откуда: Новосибирск Всего сообщений: 436 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 2 дек. 2016 |
Мне кажется от частоты смены паролей сервисов не зависит вероятность их утечки. Это миф который придумали для того чтобы оправдать низкую защиту своих серверов и повсеместный слив данных третьим лицам. Проще простого всегда сказать, а это не мы, это у Вас вирус какойто наверное и в прошлом месяце Вы не меняли пароль, но мы же говорили. Вы же не меняете все замки от дверей квартиры, гаража, дачи каждый год, на всякий случай. А вот если Вы будете регулярно давать эти ключи то ремонтникам, то еще кому, малознакомым людям, то от ежегодной смены замков вероятность взлома квартиры не уменьшиться)) В данном случае малознакомые люди это сам онлайн сервис просящий Вас сменить пароль)))) |
sanders
Advanced Member
Профессионал Откуда: Санкт-Петербург Всего сообщений: 6434 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 мар. 2008 |
Мне кажется, что требование смены пароля проистекает не от периодичности, а от изменения требований конкретного ресурса к паролям пользователей. Сменились требования - меняй пароль. После того, как я много(!) лет назад "изобрел" пароль (по требованию molotok.ru, кстати), который на латинской раскладке (на экране) выглядит абракадаброй, но при этом на русской раскладке он выглядит вполне приятным словом и легко мной запоминлся таким образом, ни один из сайтов (Госуслуг, Сбер.онлайн, Мешок, всяческие xАукционы, Авито, Ali, Ebay и т.д., и т.п.) ни единого раза не попросил сменить пароль. Вот уже несколько(!) лет. Кстати, Ваш, CodeMaster, пример со словом "nhfyrdbkbpfnjh", сразу же натолкнул меня на мысль проверить его, глядя на русскую раскладку. И я не ошибся в подозрении. Так что я бы не оценивал его взломоустойчивость в 3270 лет. Так, минуты-часы, максимум, если работать по словарю, а не перебором. Пусть меня заметят в Касперском, поменяю работу :-) |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
sanders написал: Вы не путайте. На этих сайтах вполне вменяемые администраторы. Ebay так вообще для меня пример. Быстро грузится, нормально работает даже на устаревших браузерах. Пароль просит только когда реально надо. Авито, Ali, Ebay |
EJSanYo
Advanced Member
Всего сообщений: 318 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 28 дек. 2007 |
Я лично из-за этих "смен пароля" до сих пор имел только проблемы. В частности, на работе админы выставили в домене обязаловку менять пароль каждый месяц. И пару раз было, пароль сменил, автологин себе поставил...а записать забыл. Или записал с ошибкой. И через месяц я его уже, само собой, не помню, поскольку доменные правила наших параноиков ещё и не дают поставить что-то простое и запоминающееся! Приходилось самому себе хакать винду, добывать свой же пароль из дампа памяти. У колеги тоже однажды такая ситуация случилась, "помогал" ему таким же образом. Другой раз, помню, только пароль сменил, как тут на всём предприятии свет вырубился, а там на серваке, видать, что-то не синхронизировалось. И всё, комп из домена вывалился, поскольку пароли не совпадают, и сменить их уже никак. Идём на поклон к админу. И что? Всё равно однажды какой-то Petya-подобный троян невесть откуда прилетел и на половине компов юзерские папки зашифровал. Несмотря на все старания. PS А ещё пару почтовых аккаунтов потерял было дело, неловко сменив пароль. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
xCat написал: Всё больше в этом уверен. Но мне сейчас больше интересен не вопрос смены паролей, а неадекватных требований к ним и их использованию. Такое очучение, что это политику разрабатывают не специалисты по безопасности, а какие-то маркетологи-креативщики. Это миф который придумали для того чтобы оправдать низкую защиту своих серверов и повсеместный слив данных третьим лицам. sanders написал: Не, с таким не сталкивался, наоборот у меня был аккаунт на eBay с бородатым паролем, который бы уже давно не проходил по их современным требованиям, пока eBay его не сбросил (но по другим причинам). Мне кажется, что требование смены пароля проистекает не от периодичности, а от изменения требований конкретного ресурса к паролям пользователей. Сменились требования - меняй пароль. sanders написал: Зависит от того как ими пользоваться или не пользоваться, но на Qiwi например пароль более года установить нельзя. ни один из сайтов (Госуслуг, Сбер.онлайн, Мешок, всяческие xАукционы, Авито, Ali, Ebay и т.д., и т.п.) ни единого раза не попросил сменить пароль. Rio444 написал: Задрали только экспериментами с интерфейсом и сохранённые поиски как пару лет назад покорёжило, так с косяками и работают. Но это лирическое отступление. А кто реально пример для меня, так это PayPal (хотя иксперименты с интерфейсом ради икспириментов тоже в наличии), несмотря на то, что держат лапу на бабках, требования к паролям простые, менять не требуют и проблем никогда не было. Ebay так вообще для меня пример. Быстро грузится, нормально работает даже на устаревших браузерах. EJSanYo написал: Или записал и приклеил к монитору ;-) а записать забыл. Или записал с ошибкой. |
ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
CodeMaster написал: А что им, живут на проценты, больше операций - больше дохода. И не важно, легальные операции или нелегальные. несмотря на то, что держат лапу на бабках, требования к паролям простые, менять не требуют и проблем никогда не было. |
Rio444
Гость
Откуда: Ростов-на-Дону Всего сообщений: 8632 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 сен. 2014 |
CodeMaster написал: Последний раз так и не смог найти, как конвертировать в рубли средствами PayPal. А кто реально пример для меня, так это PayPal Сняли с карты в каких-то австрийских тугриках. Благо сумма небольшая. |
xCat
Advanced Member
Откуда: Новосибирск Всего сообщений: 436 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 2 дек. 2016 |
Rio444 написал: А это зависит от того какая карта и режим конвертации можно выбирать, или на стороне ebay или на стороне банка выпустившего карту. В австралийских долларах могут снять при покупке из Австралии. Иногда товар продается из одной страны, а склад и шипинг производится из другой. Последний раз так и не смог найти, как конвертировать в рубли средствами PayPal. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Rio444 написал: Это типа не по теме ;-) Я не говорю, что к ним нет вопросов вообще, но нет вопросов в плане политики использования паролей. Последний раз так и не смог найти, как конвертировать в рубли средствами PayPal. |
<<Назад Вперед>> | Страницы: 1 2 3 | Печать |
Полигон-2 » Технический флейм » Почему все считают что смена пароля увеличивает безопасность |
0 посетителей просмотрели эту тему за последние 15 минут |
В том числе: 0 гостей, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |