Comments 143
пойду проверю, не «увели» ли мой аккаунт :)
Мне подумалось что у них могли увести базу пользователей и они решили тихо без шума просто сменить пароли у всех пользователей. Иного оправдания я не вижу.
ох, что-то я на ночь глядя не додумался до такого сценария. Надо сменить пароль по-настоящему, а то еще присвоят портфолио
UFO just landed and posted this here
Требование? Они его уже сменили за Вас ;)
Обратите внимание на то, что система уже сменила ваш старый пароль автоматически, поэтому вы уже не сможете войти на сайт, используя прежний пароль.
Я — система. Я знаю ваш новый пароль. А вы на сайт не войдете, так как свой новый пароль вы не знаете.
Я — гипножаба, подчиняйтесь мне.
Сегодня пришла первая ласточка от взлома базы. На мой Gmail впервые пришел спам: fotki.yandex.ru/users/aikongroup/view/327890/?page=0 Обратите внимание на тему!
Украли просто спамеры :)
Украли просто спамеры :)
В 2009 году они меняли пароли, была новость о DDoS-атаке www.free-lance.ru/news/220309/ с уведомлением о смене паролей, так если они разработали «крутую систему» зачем опять принудиловка!? Про DDoS мне с трудом верится, предполагаю и в этот раз опять у них пароли стянули…
Да-да-да, именно так и было! Впервые о смене пароля вопрос поднялся после вестей о DDoSе. Теперь это ежегодная забава.
У меня единственная мысль по этому поводу… может дело не в безопасности, а в статистике. Финт со сменой пароля даст точное количество активных пользователей, для которых ресурс важен. Хотя… такую статистику можно собрать и без неудобств для пользователей.
/недоумеваю
У меня единственная мысль по этому поводу… может дело не в безопасности, а в статистике. Финт со сменой пароля даст точное количество активных пользователей, для которых ресурс важен. Хотя… такую статистику можно собрать и без неудобств для пользователей.
/недоумеваю
Хаотичные и непродуманные поступки заставляют задумываться только о двух вещах:
1. Руководители проектов далеки от реальности и могут запросто затереть пароль чтобы пользорватель не мог войти и никак конечно не могут подумать о том, что письма иногда теряются и будут сложности у клиентов с восстановлением доступа
2. Банальный взлом и несобранность команды, читаем пункт 1.
1. Руководители проектов далеки от реальности и могут запросто затереть пароль чтобы пользорватель не мог войти и никак конечно не могут подумать о том, что письма иногда теряются и будут сложности у клиентов с восстановлением доступа
2. Банальный взлом и несобранность команды, читаем пункт 1.
Были исследования, доказывающие что смена пароля фактически не влияет на безопасность. Человек всегда охотно жертвует безопасностью в пользу удобству:
1 запоминает пароли в браузере
2 пользуется открытыми Wi-Fi сетями без VPN
3 записывает пароль на стикер и клеит на монитор.
1 запоминает пароли в браузере
2 пользуется открытыми Wi-Fi сетями без VPN
3 записывает пароль на стикер и клеит на монитор.
вот когда амазон попросил сменить пароль потому что я был в утекшей базе gawker — было приятно :)
А я помню хабр когда-то так делал…
Бред или не бред, но лично у нас в таблице с пользователями с некоторых пор есть поле «needPassChange». Пользовались только один раз — когда поняли, что у доброй половины юзеров пароли либо совпадают с логинами, либо подбираются по первым строчкам словаря. Повысили требования к паролям и выставили таким пользователям туда «1» в автоматическом режиме. Пока пароль не сменишь — дальше страницы авторизации не уйдешь. Правда, у нас прямо там же объяснялась причина такого решения: «Ваш пароль слишком простой...» — и желающих поспорить с этим не было. Нет, недовольные, конечно, были («Меня-то ведь почему-то до сих пор не взломали!»), но большинство отреагировали спокойно: поставили себе «a1234567» и «1234567a» и забыли об этом.
Вероятно, я бы перестал у вас регистрироваться и спокойно забыл бы об этом, потому что я ХОЧУ иметь возможность поставить простой пароль:
а) на сервис, потеря учетки в котором мне по барабану
б) при первоначальной регистрации на любом сервисе: в свете следующего комментария про пароли, которые присылают по почте
а) на сервис, потеря учетки в котором мне по барабану
б) при первоначальной регистрации на любом сервисе: в свете следующего комментария про пароли, которые присылают по почте
Так уж получилось, что пользователи достаточно зависимы от нашего ресурса. Подсчитано, что в среднем они проводят на наших серверах по 2 часа в день. Они готовы оплачивать дополнительные услуги, а зачастую и просто жертвовать деньги. Кому-то, конечно, по барабану, но таких не много, и, как бы цинично это ни звучало, если они обидятся и уйдут, мы ничего не потеряем.
Солите хеши!
дык у вас база паролей в открытом виде храниться?
Скажите сайт ))))
В нашем случае это оправданно. Подавляющее большинство пользователей — новички в интернете. У многих их них нет даже электронной почты, чтобы восстановить, в случае чего, пароль. Поэтому удобно работать с ними именно так, индивидуально с каждым. А ещё мы по похожим паролям вычисляем виртуалов. :)
Хранить пароли в открытом виде неоправданно всегда! Если пользователь забыл пароль, генерь ему временный и шли письмо, чтоб он пароль свой восстановил. Сценариев восстановления паролей придумать можно кучу.
Куда сложней придумать что делать, если у тебя пароли в открытом виде и кто-то как-то получил доступ в базу. Хотя что значит сложней придумать, фрилансру особо не парился. Увидели пароли — не беда, юзер придумает новый, щас мы ему сказку напишем
Сайт-то какой :)?
Куда сложней придумать что делать, если у тебя пароли в открытом виде и кто-то как-то получил доступ в базу. Хотя что значит сложней придумать, фрилансру особо не парился. Увидели пароли — не беда, юзер придумает новый, щас мы ему сказку напишем
Сайт-то какой :)?
Куда письмо-то слать, если у половины даже ящиков электронных нет? :) Они не просто не указаны — их действительно нет, мы опрос проводили. Обязательную привязку аккаунта к мобильному делать? Так это не меньшее зло, на мой взгляд. У нас (я в это свято верю) прямой доступ к базе можно получить только из офиса, а клиентские приложения (я опять-таки в это свято верю) в принципе не могут выдать чужие данные.
И неужели вы думаете, что я, назвав два самых популярных пароля, скажу кому-то адрес сайта? Меня генеральный на люстре вздёрнет. :)
И неужели вы думаете, что я, назвав два самых популярных пароля, скажу кому-то адрес сайта? Меня генеральный на люстре вздёрнет. :)
Авторизация по логину? Не самый лучший вариант, лучше авторизовать по email. Причины — уник, есть у всех, есть куда теперь письма слать.
Лучше-то лучше, но… нет, есть он не у всех: проект на мобильные телефоны ориентирован. Аудитория — «чайники». От семилетних детей до пенсионеров. 85% для логина используют только мобильные клиенты, а 30% вообще не имеют дома компьютеров. Если бы мы заставляли желающих зарегистрироваться идти (с телефона!) на какой-нибудь почтовый сервер и возвращаться к нам только с заветным адресом, мы бы распугали всех новых пользователей. В общем, мотивы не полагаться на email и хранить пароли в открытом виде у нас есть.
Бесит когда введенный мной пароль присылают мне на почту…
Чего уж там, люди должны знать своих героев…
Для тех, кому это это ещё не очевидно:
Для тех, кому это это ещё не очевидно:
Администрация Free-lance.ru проводит ежегодную смену паролей пользователей...
Это такая добрая традиция, как и сжигание чучела зимы на Руси.
Ну а серьезно, я не помню больше такого. Паролю 5 лет почти, и тут на тебе.
Ну а серьезно, я не помню больше такого. Паролю 5 лет почти, и тут на тебе.
Описал чуть выше свое мнение, новость на прошлую смену паролей www.free-lance.ru/news/220309/
UFO just landed and posted this here
«Ежегодную», кто-нибудь помнит, а было ли в прошлых годах что-то такое?
Лично я такого не помню. Однако был аналогичный шаг со стороны администрации другого фриланс-ресурса (не менее известного).
Действительно, с чего бы это они предлагали мне сменить пароль, если сменили его сами? Или не сменили?..
Действительно, с чего бы это они предлагали мне сменить пароль, если сменили его сами? Или не сменили?..
Я помню — год или 2 назад было. Сменил пароль на новый.
я помню как-то было такое уже на фрилансе
Забил на все это дело — все равно от них мне мало толку.
Угу, а меня админы фриланса меня сначала забанили, а через неделю попросили поменять пароль :)
Топик увидел и сразу понял кто герой торжества :)
Ежегодную, ну-ну. Три года на фрилансру и вдруг ежегодная смена пароля :)
Ежегодную, ну-ну. Три года на фрилансру и вдруг ежегодная смена пароля :)
Добро пожаловать на ежегодную смену пароля!
Прочитал это сообщение еще на телефоне утром в кровати — сон как рукой сняло.
Прочитал это сообщение еще на телефоне утром в кровати — сон как рукой сняло.
Смотрите скоро на торрентах: «Полная база паролей _sitename_ + новые пароли которые пользователи поставили после просьбы сменить их»
А по существу — печально это, если бы их взломали было бы лучше если бы они сказали прямо, было бы больно и громко, но не долго, а это теперь вонять долго будет…
А по существу — печально это, если бы их взломали было бы лучше если бы они сказали прямо, было бы больно и громко, но не долго, а это теперь вонять долго будет…
Тоже пришло волшебное письмо. Полный бред, как будто если 1234 поменяют на 4321, пароль от этого станет безопасней. Я считаю, за принудительную смену пароля надо отрубать руки (как и за дебильные требования при регистрации, типа «пароль должен содержать как минимум одну букву и одну цифру»).
Когда увидел заголовок, то первое, что пришло в логову — «меня ломают».
Любопытно, что потом от обсуждаемого сайта на e-mail пришло письмо-уведомление о смене пароля, в котором новый пароль был указан прямым текстом. Весьма безопасно :)
+1 Почти ко всем комментам! )
Следующее письмо, которое получим будет «Товарисчи! 20.01.2011 — прошел слух о взломе! Не верьте! Просто пришел „кролик“ и сказал „Хватит просто рубить капусту с пользователей — пора вводить инновации в сервис!“. Вот мы и повелись» )
Следующее письмо, которое получим будет «Товарисчи! 20.01.2011 — прошел слух о взломе! Не верьте! Просто пришел „кролик“ и сказал „Хватит просто рубить капусту с пользователей — пора вводить инновации в сервис!“. Вот мы и повелись» )
Или вас сломали?Нас не ломали, спасибо за заботу.
Какой содержательный ответ, спасибо за реакцию.
Всё, нужно успокоиться и продолжить прерванный пол-дня назад сон :)
А вы почему решили, что нас сломали? Потому что вам пришло письмо от freelance.ru, но причем тут мы?
От кого: Free-lance.ru <no_reply@free-lance.ru>.
Или freelance.ru тоже досталось?
Или freelance.ru тоже досталось?
Если честно, я понятия не имею кто вы и откуда. Вы не представились.
С чего вы вообще взяли, что письмо мне пришло с того сайта, на который вы сейчас сослались? (риторический)
С чего вы вообще взяли, что письмо мне пришло с того сайта, на который вы сейчас сослались? (риторический)
Вы так выделяете «нас» и «мы», будто вы «самизнаетекто» :)
Ладно, подробно.
Открывает любой пользователь хабр, листает топики, видит топик с названием «вас сломали». Какое письмо, какой фриланс? Написно «вас сломали». И вы либо совсем идиот и не разу не слышали освязанности повествования, или намеренно так сделали чтобы как можно больше людей прочли топик и узнали кого там на самом деле сломали.
Открывает любой пользователь хабр, листает топики, видит топик с названием «вас сломали». Какое письмо, какой фриланс? Написно «вас сломали». И вы либо совсем идиот и не разу не слышали освязанности повествования, или намеренно так сделали чтобы как можно больше людей прочли топик и узнали кого там на самом деле сломали.
Так, без личных оскорблений никак нельзя? Выше уже написал что испавил. Третьего варианта, по-вашему, быть не может?
Подробно: заголовок остался с первой редакции, когда заметка была адресована ресурсу напрямую. Потом упоминания в тексте стер, заголовок упустил.
Подробно: заголовок остался с первой редакции, когда заметка была адресована ресурсу напрямую. Потом упоминания в тексте стер, заголовок упустил.
Не могу, к сожалению, парировать в вашей карме, принципы. Так что холивара не будет.
Полный маразм… Зашел на сайт, вышел… Через пять минут понадобилось зайти снова. Не пускает. Давай менять пароль. Установил тот же, что и раньше.
Сейчас вот прочитал статью и тоже нашел оповещение о принудительной смене паролей в спаме.
Кому это было нужно? Зачем?
Вообще непонятны политики безопасности, когда админы выдают пароли, которые НЕВОЗМОЖНО запомнить. Что делать? Лежат себе записанные, дай бог в зашифрованном виде. А то и просто в текстовом файлике. Выиграла ли от этого безопасность? Вряд ли.
Сейчас вот прочитал статью и тоже нашел оповещение о принудительной смене паролей в спаме.
Кому это было нужно? Зачем?
Вообще непонятны политики безопасности, когда админы выдают пароли, которые НЕВОЗМОЖНО запомнить. Что делать? Лежат себе записанные, дай бог в зашифрованном виде. А то и просто в текстовом файлике. Выиграла ли от этого безопасность? Вряд ли.
Недавно (неделю назад) хотел отписаться от спама с этого сайта. Хотел восстановить пароль, так как забыл его. Пароль не пришел, а вот сегодня пришло такое же письмо. Ну хоть так зайду на сайт и удалю свой профиль )
Аналогичное письмо пришло и мне, что самое интересно, у меня, каким-то образом, сменился и логин. В логине появился дефис, которого там никогда не было. Печально.
И мне пришло аналогичное письмо, спустя 2 дня после регистрации на сайте…
Эх… помню как-то раз базой ошибся — и вместо изменения всех паролей на тестовой машине — поменял на боевом сервере. Весёлый тогда день был. Народ техподдержку всю неделю мучил :)
Эта неназванная компания перед Новым годом трубила, что объявила «Новогоднюю амнистию» для пользователей, которые были забанены в течение года за нарушение правил :).
С одной стороны, они делают безопасность, с другой им надо поставленные показатели по зарегистрированным пользователям достигать.
Не удивлюсь, если эта смена паролей направлена на компенсацию посещаемости сайта в Январе — шутка ли, праздники подкосили аудиторию.
А дяди из второй крупной компании, которую условно назовем нн, хотят цифирьки и ножками топают.
С одной стороны, они делают безопасность, с другой им надо поставленные показатели по зарегистрированным пользователям достигать.
Не удивлюсь, если эта смена паролей направлена на компенсацию посещаемости сайта в Январе — шутка ли, праздники подкосили аудиторию.
А дяди из второй крупной компании, которую условно назовем нн, хотят цифирьки и ножками топают.
Они даже дважды меняли…
Шибко разозлили…
Шибко разозлили…
А мне сегодня утром пришло писько которое начинается со строчки — «Пишем вам с вашего профиля на сайте free-lance.» Я уже полумал сразу, что мой акаунт взломали но все нормально пароль поменял.
Это еще что. Один всеми забытый хостер и один всеми не любимый банк при авторизации раз в месяц принудительно заставляют менять пароль, иногда это очень не удобно и не кстати (когда захожу в интернет-банк с телефона, например, чтобы быстренько что-то глянуть). Да еще и повторяться в паролях нельзя… И происходит это внезапно.
Не хватает кнопки «Не присылайте мне больше никаких писем».
Эти дятлы (фриланс) ещё и пароль в открытом виде хранят, так что если база ушла то пароли получены все без проблем
Прощу прощения, если я что-то пропустил, но от куда такая информация?
Они его почтой шлют, это практически 100% что они и хранят его в открытом виде
Если его шлют при регистрации, то это еще ничего не значит.
Почему «практически»? Оставляете надежду, что они шифрованы с помощью пароля, который знает только один человек? При таком количестве паролей это практически в открытом виде… А, ну да, Вы так и написали :).
Что за выводы такие в стиле НТВ?
Пароли и должны слаться почтой (для напоминания пользователям, забывшим их), но это ничего не означает. Система их дешифрует специально для такой корреспонденции.
Пароли и должны слаться почтой (для напоминания пользователям, забывшим их), но это ничего не означает. Система их дешифрует специально для такой корреспонденции.
Хеширование с использованием ключа. Не?
1. Возможно, но маловероятно, насколько я знаю если контора знает пароль (и присылает его почтой), то это обыно значит что они так и хранятся
2. Даже если так то это пародия на безопасность — если утянули базу, то вполне вероятно что и ключ ушёл с ней
3. То что шлют пароли почтой это тоже большой косяк
2. Даже если так то это пародия на безопасность — если утянули базу, то вполне вероятно что и ключ ушёл с ней
3. То что шлют пароли почтой это тоже большой косяк
Это и есть «практически в открытом виде». Прикиньте, сколько там пользователей в базе. Атака по словарю вполне может сработать. И начать стоит с «123456», наверняка у кого-то из всех пользователей есть такой пароль пусть не на основном, а на вспомогательном аккаунте.
мда, че то я не то написал :). Я хотел написать, на самом деле, что когда есть хеши огромного количества паролей, некоторые из которых могут быть очень простыми, у нас облегчается задача взлома общего для всех этих хешей ключа, поскольку алгоритм известен. Это посложнее атаки по словарю, но быстрее брутфорса.
Вряд ли в открытом виде хранятся — менял свои пароли сейчас. Пароль не высылается по почте по запросу, он высылается только при регистрации. Это конечно не очень хорошо, но к хранению в БД уже не относится.
в 20 января 2011 в 11:08 я делал смену пароля и получил на почту пароль в открытом виде, об этом же писали выше в коментах
Предположение? Ответ руководителя разработки
www.free-lance.ru/blogs/view.php?tr=612375&ord=new&b=all&openlevel=6387749&ord=new#o6387749
www.free-lance.ru/blogs/view.php?tr=612375&ord=new&b=all&openlevel=6387749&ord=new#o6387749
Руководитель разработки другого и не мог сказать, я готов извиниться если я вдруг ошибся, но только если получу информацию из независимого источника.
Пока, исходя из опыта я считаю что пароли были в открытом виде — те кто понимают зачем хешировать пароли не шлют их почтой, а те кто шлют — чхали на хеширование
Пока, исходя из опыта я считаю что пароли были в открытом виде — те кто понимают зачем хешировать пароли не шлют их почтой, а те кто шлют — чхали на хеширование
Откуда независимый источник может знать, как хранятся пароли?
Обратите внимание, что вы не можете восстановить свой старый пароль на почту. Вы его можете только изменить. Если бы пароль хранился в открытом виде, то, думаю, не было бы сложность его просто напомнить, а не изменять.
Обратите внимание, что вы не можете восстановить свой старый пароль на почту. Вы его можете только изменить. Если бы пароль хранился в открытом виде, то, думаю, не было бы сложность его просто напомнить, а не изменять.
Считаю вполне нормальной и удобной практикой слать пароль открытым текстом при регистрации/смене, но в базе хранить только его хэш:
— получив дамп базы злоумышленники получат только хэши паролей
— у пользователя есть возможность выбирать хранить пароль у себя в мыле или сразу же удалить. Возможные риски компроментации неудаленного пароля вне моей зоны отвественности.
Конечно, возможен риск перехвата письма при отправке, но, имхо, он пренебрежимо мал по сравнению с удобством пользователей.
— получив дамп базы злоумышленники получат только хэши паролей
— у пользователя есть возможность выбирать хранить пароль у себя в мыле или сразу же удалить. Возможные риски компроментации неудаленного пароля вне моей зоны отвественности.
Конечно, возможен риск перехвата письма при отправке, но, имхо, он пренебрежимо мал по сравнению с удобством пользователей.
А никому не приходили в этот день предложения о сотрудничестве?
Мне пришло письмо следующего содержания:
«Добрый день!
Пишем вам с вашего профиля на сайте САБЖЕВЫЙ-САЙТ. Нашей компании на
постоянное сотрудничество требуется веб-программист для написания
скриптов, оптимизирующих работ предприятия.
...»
Мне пришло письмо следующего содержания:
«Добрый день!
Пишем вам с вашего профиля на сайте САБЖЕВЫЙ-САЙТ. Нашей компании на
постоянное сотрудничество требуется веб-программист для написания
скриптов, оптимизирующих работ предприятия.
...»
Посчитал это очередным способом напомнить об их сайте и отправил письмо в спам.
Лучше бы они напоминали о себе обновлениями и улучшением юзабилити…
заходите на workbreeze.com, создано специально для этого :)
Оооочень «юзабельно», могу посоветовать хороших людей, которые интерфейсами занимаются, да и неплохо было бы сделать личный кабинет, в котором можно забивать пароли от всех бирж и работать через вашу напрямую, и была возможность отвечать на проект не переходя на сторонние биржи. Это как идея, не поймите неправильно :)
А базы на пиратчине будут, как обычно?
Вопрос часа — тэглайн из хэви рейна? :)
UPD1: Читатели сообщают, что теперь письмо с паролем приходит сразу после попытки логина на сайт (удачной). Разница между авторизацией и письмом — меньше минуты. Режим «Паника» сменился на режим «осторожность». Мнение читателя: это не попытка взлома, а просто непродуманные действия администрации.
Я на free-lance.ru не заходил уже больше полугода, тем не менее, письмо я получил даже не заходя на сайт.
Тоже подумал, что фэйк какой-то, но очень быстро это все проверяется: в письме сказано, что мой пароль уже сменили на случайный => идем на сайт, пробуем логиниться — не получается, значит письмо скорее всего не фэйк.
я этим сервисом не пользуюсь, поэтому я ничего и не предпринимал.
Тоже получил письмо, но кликать по ссылке не стал.
UFO just landed and posted this here
Мда… все честно поменял… А сегодня опять не пускает.
Sign up to leave a comment.
Принудительная смена паролей на сайте, или забота о моей безопасности. Или free-lance.ru сломали?