Comments 61
На работе блокирую ПК, когда отхожу. Монитор гаснет через минуту, наверное.
Возвращаюсь, клацаю «энтер», ввожу пароль, ещё раз «энтер». Жду несколько секунд, монитор наконец то включается, а там сообщение о неверном пароле.
Недавно наконец то разобрался с проблемой — первые несколько нажатий почему то не обрабатываются, что для ввода пароля критично, ясное дело. Такой проблемы не было на Windows7, такой проблемы нет на домашнем ПК (Win10), где требуется ввод пинкода, а не пароля. Чем провинился рабочий комп с Windows10, я не знаю, но нервы треплет изрядно, потому что привычке очень много лет.
В общем, нефиг тут на клавиатурах строчить, господа айтишники. Ишь какие, больше всех им надо! Делайте, как обычные пользователи, не дёргайтесь, терпеливо ждите, вводите буковки одним пальцем по штуке в несколько секунд, и будет вам счастье.
А решения проблемы не нашли, кроме как подождать? Пару секунд подождать, конечно, можно, но непривычно и как то глупо — у меня тут мощный проц и SSD, чего я жду то =_=
С ужасом ожидаю того дня, когда у меня не останется возможности использовать Семёрку на своём основном десктопе из-за неподдерживаемых драйверов или нужных мне программ. :-(
Что только не придумают авторы менеджеров паролей лишь бы не сделать их удобными в использовании и надёжными как в плане защиты от несанкционированного доступа, так и в плане восстановления утраченного доступа.
Вон пару лет назад была утечка паролей из майла. В дампе открытым текстом был мой пароль от почты к которой успешно был привязан вход на крипто биржу с парой битков на ней. Злоумышленик зашел на почту закинул биржу в игнор и поменял пароль к бирже.Ему оставалось подождать сутки и мои битки перешли бы к нему Хорошо что я заметил подозрительную активность и сменил все что можно на почте и на бирже. Но утекший пароль который до сих пор висит в сети повредил только почте а не 25-30% аккаунтов в сети.
это переписать его на бумажку, а потом с бумажки вводить.
Распечатать на штрих-код, а потом считывать сканером, подключённым в разрыв клавиатурного шнура.
Бесит, когда ограничивают набор символов, процент или решётку использовать не дают…
Требование к наличию спецсимволов я ещё могу как-то объяснить с точки зрения увеличения количества комбинаций при одной длине, а вот запрет на них даже не знаю как.
Вообще, энтропию пароля уменьшает любое заранее известное правило его формирования. Например, если заранее известно, что в пароле присутствуют спецсимволы, это значительно уменьшает поле поиска при брутфорсе.
Например, при длине пароля в 1 (один) символ и разрешении на символы в пароле — любые в кодировке UTF16, количество возможных комбинаций 1 112 064, а при наложении правила, которое меня бесит — всего 10. Есть разница?
Может быть они там пароли в открытом виде хранят и в SQL запросы подставляют? Чем еще им там могут проценты помешать? Или еще вариант: какой-нибудь студент смастерил собственную функцию "хеширования" пароля каким-нибудь мегасекьюрным XOR-ом. Решетка у него там, к примеру, зарезервирована как символ-разделитель соли. Бывают такие уникумы, которые слышат звон, а потом городят какую-то ересь.
Натуральный Карго культ какой-то.
Товарищи майоры из гугля-майлру-яндекса-тд горячо одобряэ!
У нас пароль нужно менять каждые 2 месяца, заменить «пароль» на «пароль1» нельзя, проверка на повторяемость паролей — 8 последних, ещё и какие-то требования к содержанию пароля (благо дело, что мои стандартные пароли им удовлетворяют). В результате я стал понимать людей, которые записывают пароль на листочек. При этом поддержка постоянно долбит мозг безопасникам, что такая парольная политика только уменьшает защищённость, но у тех видимо развита болезнь «Безопасник головного мозга».
благо дело, что мои стандартные пароли им удовлетворяют
Сколько же их у вас, если каждые 2 месяца надо менять?
Я помню был выбешен QIWI, которые требовали менять пароли раз в полгода и нельзя было использовать ни один из ранее использованных. Это реально ухудшает безопасность. Сейчас поправили, можно старые вводить
стандартный_пароль_один, стандартный_пароль_два
заменить «пароль» на «пароль1» нельзя
Ну правда, каким образом можно определить, что пароль сделан из предыдущего, при условии что предыдущий надёжно зашифрован. Скорее всего хэш для самых простых форм вроде «пароль1» сохраняют, а пароль_один нет. Если не подойдёт можно пароль_uno, пароль_адын и т.п…
парольдва
просто если и это нельзя — то, кажется, у вас там большие проблемы.
Пожалуй, уточню: имеется в виду случай, когда нужно задать пароль. Хотя и ввести, как правило, тоже.
И да, пароли на листочке или даже хуже.
Очень бесит верхнее ограничение длины пароля. Недавно столкнулся с таким в Origin.
Или когда запрещают использовать спец.символы
Skype: Введите новый пароль
Я: пароль
Skype: Пароль должен содержать цифры
Я: пароль123
Skype: Пароль должен содержать хотя бы одну заглавную
Я: Пароль123
Skype: Пароль похож на предыдущий пароль, придумайте уникальный
Я: П@роль123
Skype: Пароль не должен содержать спецсимволы
Я: ДаЕшкинКотДайЖеМнеПарольПоменять123
Skype: Слишком длинный пароль…
Занавес
Психанул и взял обычный пароль, взял для него кастомный алфавит шифра Цезаря дописав в него спец символы, а дальше 1 и тот же пароль со смещением при каждой итерации. Единственное облегчение при этом — всегда знаешь изначальный пароль, главное помнить итерацию и, соответственно, смешение.
Свой стандартный пароль я могу отбарабанить на клаве ну секунды за 2, его версию модифицированную в соответствие с правилами +2 секунды, его версию после «шифрования» ещё + пару секунд ибо уже дикая тарабарщина получается с раскидыванием знаков по всей клаве. По итогу получается так, что шанс того, что у меня физически(то есть не применяя методы взлома, а тупо подсмотрят) уведут пароль выше как раз таки с «шифрованным» паролем, чем с оригинальным, тупо из-за затраченного времени вода, а соответственно, и времени для того что бы кто-то с достаточно хорошей памятью смогу его запомнить. Но увы и ах — безопасность должна быть безопасной и парятся они только о возможности взлома, а не того что пароль будет утерен или банально подсмотрен-_-
Как выразился 1 мой коллега по этому поводу — не сисадмин, а специалист по вводу паролей какой-то.
А те кто могут без рут прав их получить так таким даже наличие учётки на серваке не нужно-_-
«Эти глупые правила, которые всех раздражают»: обсуждение практик работы с полями для ввода паролей