Comments 143
пойду проверю, не «увели» ли мой аккаунт :)
+2
Мне подумалось что у них могли увести базу пользователей и они решили тихо без шума просто сменить пароли у всех пользователей. Иного оправдания я не вижу.
+9
ох, что-то я на ночь глядя не додумался до такого сценария. Надо сменить пароль по-настоящему, а то еще присвоят портфолио
+1
UFO just landed and posted this here
Требование? Они его уже сменили за Вас ;)
Обратите внимание на то, что система уже сменила ваш старый пароль автоматически, поэтому вы уже не сможете войти на сайт, используя прежний пароль.
+1
Я — система. Я знаю ваш новый пароль. А вы на сайт не войдете, так как свой новый пароль вы не знаете.
+5
Я — гипножаба, подчиняйтесь мне.
+4
Сегодня пришла первая ласточка от взлома базы. На мой Gmail впервые пришел спам: fotki.yandex.ru/users/aikongroup/view/327890/?page=0 Обратите внимание на тему!
Украли просто спамеры :)
Украли просто спамеры :)
0
В 2009 году они меняли пароли, была новость о DDoS-атаке www.free-lance.ru/news/220309/ с уведомлением о смене паролей, так если они разработали «крутую систему» зачем опять принудиловка!? Про DDoS мне с трудом верится, предполагаю и в этот раз опять у них пароли стянули…
+1
Да-да-да, именно так и было! Впервые о смене пароля вопрос поднялся после вестей о DDoSе. Теперь это ежегодная забава.
У меня единственная мысль по этому поводу… может дело не в безопасности, а в статистике. Финт со сменой пароля даст точное количество активных пользователей, для которых ресурс важен. Хотя… такую статистику можно собрать и без неудобств для пользователей.
/недоумеваю
У меня единственная мысль по этому поводу… может дело не в безопасности, а в статистике. Финт со сменой пароля даст точное количество активных пользователей, для которых ресурс важен. Хотя… такую статистику можно собрать и без неудобств для пользователей.
/недоумеваю
0
Хаотичные и непродуманные поступки заставляют задумываться только о двух вещах:
1. Руководители проектов далеки от реальности и могут запросто затереть пароль чтобы пользорватель не мог войти и никак конечно не могут подумать о том, что письма иногда теряются и будут сложности у клиентов с восстановлением доступа
2. Банальный взлом и несобранность команды, читаем пункт 1.
1. Руководители проектов далеки от реальности и могут запросто затереть пароль чтобы пользорватель не мог войти и никак конечно не могут подумать о том, что письма иногда теряются и будут сложности у клиентов с восстановлением доступа
2. Банальный взлом и несобранность команды, читаем пункт 1.
0
Были исследования, доказывающие что смена пароля фактически не влияет на безопасность. Человек всегда охотно жертвует безопасностью в пользу удобству:
1 запоминает пароли в браузере
2 пользуется открытыми Wi-Fi сетями без VPN
3 записывает пароль на стикер и клеит на монитор.
1 запоминает пароли в браузере
2 пользуется открытыми Wi-Fi сетями без VPN
3 записывает пароль на стикер и клеит на монитор.
+4
вот когда амазон попросил сменить пароль потому что я был в утекшей базе gawker — было приятно :)
0
А я помню хабр когда-то так делал…
+26
Бред или не бред, но лично у нас в таблице с пользователями с некоторых пор есть поле «needPassChange». Пользовались только один раз — когда поняли, что у доброй половины юзеров пароли либо совпадают с логинами, либо подбираются по первым строчкам словаря. Повысили требования к паролям и выставили таким пользователям туда «1» в автоматическом режиме. Пока пароль не сменишь — дальше страницы авторизации не уйдешь. Правда, у нас прямо там же объяснялась причина такого решения: «Ваш пароль слишком простой...» — и желающих поспорить с этим не было. Нет, недовольные, конечно, были («Меня-то ведь почему-то до сих пор не взломали!»), но большинство отреагировали спокойно: поставили себе «a1234567» и «1234567a» и забыли об этом.
0
Вероятно, я бы перестал у вас регистрироваться и спокойно забыл бы об этом, потому что я ХОЧУ иметь возможность поставить простой пароль:
а) на сервис, потеря учетки в котором мне по барабану
б) при первоначальной регистрации на любом сервисе: в свете следующего комментария про пароли, которые присылают по почте
а) на сервис, потеря учетки в котором мне по барабану
б) при первоначальной регистрации на любом сервисе: в свете следующего комментария про пароли, которые присылают по почте
+6
Так уж получилось, что пользователи достаточно зависимы от нашего ресурса. Подсчитано, что в среднем они проводят на наших серверах по 2 часа в день. Они готовы оплачивать дополнительные услуги, а зачастую и просто жертвовать деньги. Кому-то, конечно, по барабану, но таких не много, и, как бы цинично это ни звучало, если они обидятся и уйдут, мы ничего не потеряем.
+1
Солите хеши!
+9
дык у вас база паролей в открытом виде храниться?
+1
Скажите сайт ))))
+1
В нашем случае это оправданно. Подавляющее большинство пользователей — новички в интернете. У многих их них нет даже электронной почты, чтобы восстановить, в случае чего, пароль. Поэтому удобно работать с ними именно так, индивидуально с каждым. А ещё мы по похожим паролям вычисляем виртуалов. :)
0
Хранить пароли в открытом виде неоправданно всегда! Если пользователь забыл пароль, генерь ему временный и шли письмо, чтоб он пароль свой восстановил. Сценариев восстановления паролей придумать можно кучу.
Куда сложней придумать что делать, если у тебя пароли в открытом виде и кто-то как-то получил доступ в базу. Хотя что значит сложней придумать, фрилансру особо не парился. Увидели пароли — не беда, юзер придумает новый, щас мы ему сказку напишем
Сайт-то какой :)?
Куда сложней придумать что делать, если у тебя пароли в открытом виде и кто-то как-то получил доступ в базу. Хотя что значит сложней придумать, фрилансру особо не парился. Увидели пароли — не беда, юзер придумает новый, щас мы ему сказку напишем
Сайт-то какой :)?
+1
Куда письмо-то слать, если у половины даже ящиков электронных нет? :) Они не просто не указаны — их действительно нет, мы опрос проводили. Обязательную привязку аккаунта к мобильному делать? Так это не меньшее зло, на мой взгляд. У нас (я в это свято верю) прямой доступ к базе можно получить только из офиса, а клиентские приложения (я опять-таки в это свято верю) в принципе не могут выдать чужие данные.
И неужели вы думаете, что я, назвав два самых популярных пароля, скажу кому-то адрес сайта? Меня генеральный на люстре вздёрнет. :)
И неужели вы думаете, что я, назвав два самых популярных пароля, скажу кому-то адрес сайта? Меня генеральный на люстре вздёрнет. :)
0
Авторизация по логину? Не самый лучший вариант, лучше авторизовать по email. Причины — уник, есть у всех, есть куда теперь письма слать.
0
Лучше-то лучше, но… нет, есть он не у всех: проект на мобильные телефоны ориентирован. Аудитория — «чайники». От семилетних детей до пенсионеров. 85% для логина используют только мобильные клиенты, а 30% вообще не имеют дома компьютеров. Если бы мы заставляли желающих зарегистрироваться идти (с телефона!) на какой-нибудь почтовый сервер и возвращаться к нам только с заветным адресом, мы бы распугали всех новых пользователей. В общем, мотивы не полагаться на email и хранить пароли в открытом виде у нас есть.
0
Бесит когда введенный мной пароль присылают мне на почту…
+20
Чего уж там, люди должны знать своих героев…
Для тех, кому это это ещё не очевидно:
Для тех, кому это это ещё не очевидно:
Администрация Free-lance.ru проводит ежегодную смену паролей пользователей...
+9
Это такая добрая традиция, как и сжигание чучела зимы на Руси.
Ну а серьезно, я не помню больше такого. Паролю 5 лет почти, и тут на тебе.
Ну а серьезно, я не помню больше такого. Паролю 5 лет почти, и тут на тебе.
+8
Описал чуть выше свое мнение, новость на прошлую смену паролей www.free-lance.ru/news/220309/
+2
UFO just landed and posted this here
«Ежегодную», кто-нибудь помнит, а было ли в прошлых годах что-то такое?
0
Лично я такого не помню. Однако был аналогичный шаг со стороны администрации другого фриланс-ресурса (не менее известного).
Действительно, с чего бы это они предлагали мне сменить пароль, если сменили его сами? Или не сменили?..
Действительно, с чего бы это они предлагали мне сменить пароль, если сменили его сами? Или не сменили?..
0
Я помню — год или 2 назад было. Сменил пароль на новый.
0
я помню как-то было такое уже на фрилансе
0
Забил на все это дело — все равно от них мне мало толку.
+5
Угу, а меня админы фриланса меня сначала забанили, а через неделю попросили поменять пароль :)
+1
Топик увидел и сразу понял кто герой торжества :)
Ежегодную, ну-ну. Три года на фрилансру и вдруг ежегодная смена пароля :)
Ежегодную, ну-ну. Три года на фрилансру и вдруг ежегодная смена пароля :)
+2
Добро пожаловать на ежегодную смену пароля!
Прочитал это сообщение еще на телефоне утром в кровати — сон как рукой сняло.
Прочитал это сообщение еще на телефоне утром в кровати — сон как рукой сняло.
+3
Смотрите скоро на торрентах: «Полная база паролей _sitename_ + новые пароли которые пользователи поставили после просьбы сменить их»
А по существу — печально это, если бы их взломали было бы лучше если бы они сказали прямо, было бы больно и громко, но не долго, а это теперь вонять долго будет…
А по существу — печально это, если бы их взломали было бы лучше если бы они сказали прямо, было бы больно и громко, но не долго, а это теперь вонять долго будет…
+2
Тоже пришло волшебное письмо. Полный бред, как будто если 1234 поменяют на 4321, пароль от этого станет безопасней. Я считаю, за принудительную смену пароля надо отрубать руки (как и за дебильные требования при регистрации, типа «пароль должен содержать как минимум одну букву и одну цифру»).
+3
UFO just landed and posted this here
Т.е. вы предполагаете, что если с подобного ресурса уведут базу, администрация этого может и не заметить?
0
Когда увидел заголовок, то первое, что пришло в логову — «меня ломают».
+3
Любопытно, что потом от обсуждаемого сайта на e-mail пришло письмо-уведомление о смене пароля, в котором новый пароль был указан прямым текстом. Весьма безопасно :)
0
+1 Почти ко всем комментам! )
Следующее письмо, которое получим будет «Товарисчи! 20.01.2011 — прошел слух о взломе! Не верьте! Просто пришел „кролик“ и сказал „Хватит просто рубить капусту с пользователей — пора вводить инновации в сервис!“. Вот мы и повелись» )
Следующее письмо, которое получим будет «Товарисчи! 20.01.2011 — прошел слух о взломе! Не верьте! Просто пришел „кролик“ и сказал „Хватит просто рубить капусту с пользователей — пора вводить инновации в сервис!“. Вот мы и повелись» )
0
Или вас сломали?Нас не ломали, спасибо за заботу.
-2
Какой содержательный ответ, спасибо за реакцию.
+1
Всё, нужно успокоиться и продолжить прерванный пол-дня назад сон :)
+1
А вы почему решили, что нас сломали? Потому что вам пришло письмо от freelance.ru, но причем тут мы?
0
От кого: Free-lance.ru <no_reply@free-lance.ru>.
Или freelance.ru тоже досталось?
Или freelance.ru тоже досталось?
0
Если честно, я понятия не имею кто вы и откуда. Вы не представились.
С чего вы вообще взяли, что письмо мне пришло с того сайта, на который вы сейчас сослались? (риторический)
С чего вы вообще взяли, что письмо мне пришло с того сайта, на который вы сейчас сослались? (риторический)
0
Вы так выделяете «нас» и «мы», будто вы «самизнаетекто» :)
0
Ладно, подробно.
Открывает любой пользователь хабр, листает топики, видит топик с названием «вас сломали». Какое письмо, какой фриланс? Написно «вас сломали». И вы либо совсем идиот и не разу не слышали освязанности повествования, или намеренно так сделали чтобы как можно больше людей прочли топик и узнали кого там на самом деле сломали.
Открывает любой пользователь хабр, листает топики, видит топик с названием «вас сломали». Какое письмо, какой фриланс? Написно «вас сломали». И вы либо совсем идиот и не разу не слышали освязанности повествования, или намеренно так сделали чтобы как можно больше людей прочли топик и узнали кого там на самом деле сломали.
-4
Так, без личных оскорблений никак нельзя? Выше уже написал что испавил. Третьего варианта, по-вашему, быть не может?
Подробно: заголовок остался с первой редакции, когда заметка была адресована ресурсу напрямую. Потом упоминания в тексте стер, заголовок упустил.
Подробно: заголовок остался с первой редакции, когда заметка была адресована ресурсу напрямую. Потом упоминания в тексте стер, заголовок упустил.
+2
Не могу, к сожалению, парировать в вашей карме, принципы. Так что холивара не будет.
0
Вы о чем опять хотите сказать? Какого холивара? И почему вы сожалеете, что его не будет?
Вы же исправили эту логическую ошибку, приведшую к конфузу.
Вы же исправили эту логическую ошибку, приведшую к конфузу.
0
Полный маразм… Зашел на сайт, вышел… Через пять минут понадобилось зайти снова. Не пускает. Давай менять пароль. Установил тот же, что и раньше.
Сейчас вот прочитал статью и тоже нашел оповещение о принудительной смене паролей в спаме.
Кому это было нужно? Зачем?
Вообще непонятны политики безопасности, когда админы выдают пароли, которые НЕВОЗМОЖНО запомнить. Что делать? Лежат себе записанные, дай бог в зашифрованном виде. А то и просто в текстовом файлике. Выиграла ли от этого безопасность? Вряд ли.
Сейчас вот прочитал статью и тоже нашел оповещение о принудительной смене паролей в спаме.
Кому это было нужно? Зачем?
Вообще непонятны политики безопасности, когда админы выдают пароли, которые НЕВОЗМОЖНО запомнить. Что делать? Лежат себе записанные, дай бог в зашифрованном виде. А то и просто в текстовом файлике. Выиграла ли от этого безопасность? Вряд ли.
+3
Недавно (неделю назад) хотел отписаться от спама с этого сайта. Хотел восстановить пароль, так как забыл его. Пароль не пришел, а вот сегодня пришло такое же письмо. Ну хоть так зайду на сайт и удалю свой профиль )
+1
Аналогичное письмо пришло и мне, что самое интересно, у меня, каким-то образом, сменился и логин. В логине появился дефис, которого там никогда не было. Печально.
0
И мне пришло аналогичное письмо, спустя 2 дня после регистрации на сайте…
0
Эх… помню как-то раз базой ошибся — и вместо изменения всех паролей на тестовой машине — поменял на боевом сервере. Весёлый тогда день был. Народ техподдержку всю неделю мучил :)
+2
Эта неназванная компания перед Новым годом трубила, что объявила «Новогоднюю амнистию» для пользователей, которые были забанены в течение года за нарушение правил :).
С одной стороны, они делают безопасность, с другой им надо поставленные показатели по зарегистрированным пользователям достигать.
Не удивлюсь, если эта смена паролей направлена на компенсацию посещаемости сайта в Январе — шутка ли, праздники подкосили аудиторию.
А дяди из второй крупной компании, которую условно назовем нн, хотят цифирьки и ножками топают.
С одной стороны, они делают безопасность, с другой им надо поставленные показатели по зарегистрированным пользователям достигать.
Не удивлюсь, если эта смена паролей направлена на компенсацию посещаемости сайта в Январе — шутка ли, праздники подкосили аудиторию.
А дяди из второй крупной компании, которую условно назовем нн, хотят цифирьки и ножками топают.
+1
Они даже дважды меняли…
Шибко разозлили…
Шибко разозлили…
0
А мне сегодня утром пришло писько которое начинается со строчки — «Пишем вам с вашего профиля на сайте free-lance.» Я уже полумал сразу, что мой акаунт взломали но все нормально пароль поменял.
+1
Это еще что. Один всеми забытый хостер и один всеми не любимый банк при авторизации раз в месяц принудительно заставляют менять пароль, иногда это очень не удобно и не кстати (когда захожу в интернет-банк с телефона, например, чтобы быстренько что-то глянуть). Да еще и повторяться в паролях нельзя… И происходит это внезапно.
0
Не хватает кнопки «Не присылайте мне больше никаких писем».
+1
Эти дятлы (фриланс) ещё и пароль в открытом виде хранят, так что если база ушла то пароли получены все без проблем
0
Прощу прощения, если я что-то пропустил, но от куда такая информация?
+2
Они его почтой шлют, это практически 100% что они и хранят его в открытом виде
+1
Если его шлют при регистрации, то это еще ничего не значит.
+2
Почему «практически»? Оставляете надежду, что они шифрованы с помощью пароля, который знает только один человек? При таком количестве паролей это практически в открытом виде… А, ну да, Вы так и написали :).
-1
Что за выводы такие в стиле НТВ?
Пароли и должны слаться почтой (для напоминания пользователям, забывшим их), но это ничего не означает. Система их дешифрует специально для такой корреспонденции.
Пароли и должны слаться почтой (для напоминания пользователям, забывшим их), но это ничего не означает. Система их дешифрует специально для такой корреспонденции.
-3
Пароли не должны слаться почтой, они должны храниться в хешах. Слаться должны ссылки с кодовыми строками для изменения пароля. Так действительно безопасно.
-2
Хеширование с использованием ключа. Не?
0
1. Возможно, но маловероятно, насколько я знаю если контора знает пароль (и присылает его почтой), то это обыно значит что они так и хранятся
2. Даже если так то это пародия на безопасность — если утянули базу, то вполне вероятно что и ключ ушёл с ней
3. То что шлют пароли почтой это тоже большой косяк
2. Даже если так то это пародия на безопасность — если утянули базу, то вполне вероятно что и ключ ушёл с ней
3. То что шлют пароли почтой это тоже большой косяк
0
Это и есть «практически в открытом виде». Прикиньте, сколько там пользователей в базе. Атака по словарю вполне может сработать. И начать стоит с «123456», наверняка у кого-то из всех пользователей есть такой пароль пусть не на основном, а на вспомогательном аккаунте.
0
мда, че то я не то написал :). Я хотел написать, на самом деле, что когда есть хеши огромного количества паролей, некоторые из которых могут быть очень простыми, у нас облегчается задача взлома общего для всех этих хешей ключа, поскольку алгоритм известен. Это посложнее атаки по словарю, но быстрее брутфорса.
0
Вряд ли в открытом виде хранятся — менял свои пароли сейчас. Пароль не высылается по почте по запросу, он высылается только при регистрации. Это конечно не очень хорошо, но к хранению в БД уже не относится.
0
в 20 января 2011 в 11:08 я делал смену пароля и получил на почту пароль в открытом виде, об этом же писали выше в коментах
0
Это тоже не значит, что пароль хранится в открытом или дешифруемом виде. Например, в сеттере пароля может стоять отсылка письма — записывается в базу хэш, отсылается в оригинальном виде, скрипт завершает работу и оригинальный пароль остаётся только у вас на мыле (ну и по маршруту могли перехватить)
0
Предположение? Ответ руководителя разработки
www.free-lance.ru/blogs/view.php?tr=612375&ord=new&b=all&openlevel=6387749&ord=new#o6387749
www.free-lance.ru/blogs/view.php?tr=612375&ord=new&b=all&openlevel=6387749&ord=new#o6387749
+2
Руководитель разработки другого и не мог сказать, я готов извиниться если я вдруг ошибся, но только если получу информацию из независимого источника.
Пока, исходя из опыта я считаю что пароли были в открытом виде — те кто понимают зачем хешировать пароли не шлют их почтой, а те кто шлют — чхали на хеширование
Пока, исходя из опыта я считаю что пароли были в открытом виде — те кто понимают зачем хешировать пароли не шлют их почтой, а те кто шлют — чхали на хеширование
0
Откуда независимый источник может знать, как хранятся пароли?
Обратите внимание, что вы не можете восстановить свой старый пароль на почту. Вы его можете только изменить. Если бы пароль хранился в открытом виде, то, думаю, не было бы сложность его просто напомнить, а не изменять.
Обратите внимание, что вы не можете восстановить свой старый пароль на почту. Вы его можете только изменить. Если бы пароль хранился в открытом виде, то, думаю, не было бы сложность его просто напомнить, а не изменять.
0
> Откуда независимый источник может знать, как хранятся пароли?
например бывший разработчик
Восстановление пароля это важный показательн, но гарантии не даёт, пока мой предыдущий комент в силе — отправка паролей это слишком халатное отношение
например бывший разработчик
Восстановление пароля это важный показательн, но гарантии не даёт, пока мой предыдущий комент в силе — отправка паролей это слишком халатное отношение
0
Считаю вполне нормальной и удобной практикой слать пароль открытым текстом при регистрации/смене, но в базе хранить только его хэш:
— получив дамп базы злоумышленники получат только хэши паролей
— у пользователя есть возможность выбирать хранить пароль у себя в мыле или сразу же удалить. Возможные риски компроментации неудаленного пароля вне моей зоны отвественности.
Конечно, возможен риск перехвата письма при отправке, но, имхо, он пренебрежимо мал по сравнению с удобством пользователей.
— получив дамп базы злоумышленники получат только хэши паролей
— у пользователя есть возможность выбирать хранить пароль у себя в мыле или сразу же удалить. Возможные риски компроментации неудаленного пароля вне моей зоны отвественности.
Конечно, возможен риск перехвата письма при отправке, но, имхо, он пренебрежимо мал по сравнению с удобством пользователей.
0
Ваше право, у меня конторы, которые шлют открытый пароль вызывают отвращение, слать открытый пароль это как не соблюдать правила гигиены исходя из того риск заболеть пренебрежимо мал
0
А никому не приходили в этот день предложения о сотрудничестве?
Мне пришло письмо следующего содержания:
«Добрый день!
Пишем вам с вашего профиля на сайте САБЖЕВЫЙ-САЙТ. Нашей компании на
постоянное сотрудничество требуется веб-программист для написания
скриптов, оптимизирующих работ предприятия.
...»
Мне пришло письмо следующего содержания:
«Добрый день!
Пишем вам с вашего профиля на сайте САБЖЕВЫЙ-САЙТ. Нашей компании на
постоянное сотрудничество требуется веб-программист для написания
скриптов, оптимизирующих работ предприятия.
...»
+3
Посчитал это очередным способом напомнить об их сайте и отправил письмо в спам.
+2
Лучше бы они напоминали о себе обновлениями и улучшением юзабилити…
+1
заходите на workbreeze.com, создано специально для этого :)
-1
Оооочень «юзабельно», могу посоветовать хороших людей, которые интерфейсами занимаются, да и неплохо было бы сделать личный кабинет, в котором можно забивать пароли от всех бирж и работать через вашу напрямую, и была возможность отвечать на проект не переходя на сторонние биржи. Это как идея, не поймите неправильно :)
0
А базы на пиратчине будут, как обычно?
+1
Вопрос часа — тэглайн из хэви рейна? :)
0
UPD1: Читатели сообщают, что теперь письмо с паролем приходит сразу после попытки логина на сайт (удачной). Разница между авторизацией и письмом — меньше минуты. Режим «Паника» сменился на режим «осторожность». Мнение читателя: это не попытка взлома, а просто непродуманные действия администрации.
Я на free-lance.ru не заходил уже больше полугода, тем не менее, письмо я получил даже не заходя на сайт.
0
Тоже подумал, что фэйк какой-то, но очень быстро это все проверяется: в письме сказано, что мой пароль уже сменили на случайный => идем на сайт, пробуем логиниться — не получается, значит письмо скорее всего не фэйк.
+1
я этим сервисом не пользуюсь, поэтому я ничего и не предпринимал.
0
Тоже получил письмо, но кликать по ссылке не стал.
0
UFO just landed and posted this here
Мда… все честно поменял… А сегодня опять не пускает.
0
Sign up to leave a comment.
Принудительная смена паролей на сайте, или забота о моей безопасности. Или free-lance.ru сломали?