Pull to refresh

Comments 54

Вывод: методы пропаганды не работают!

Да сколько можно напоминать то? Если аккаунт имеет хоть какую-то ценность для его владельца — он сам позаботится о сложном пароле. А если у него логин и пароль совпадают, тут уж сам виноват.
Выходит, что взлом — лучшая пропаганда :)
Имхо, если повторить эксперимент через месяц, то количество уязвимых аккаунтов не сильно уменьшится. К сожалению.
Ну это потому, что ничего плохого от имени этих аккаунтов не сделано.

На самом деле, имхо, это удар по твиттеру — ведь у них есть большой список запрещенных для регистрации паролей. Теперь придется добавить строчку, не разрешающую пароль==логин.
Да, когда опубликовали этот список я удивился, что там не было запрета на пароль==логин. Теперь будет, я уверен.
Будем ждать официальных комментариев администрации Твиттера.
» Если аккаунт имеет хоть какую-то ценность

Обычно человек регистрируется из любопытства, а ценность возникает в процессе пользования. Поскольку всё уже привычно работает, о пароле не вспоминаешь. Так и получается.
Вопрос надо не привязывать к „имеет ценность“, а к в принципе привычке любой пароль делать нормальным, а не 123 или логином.
Честное слово — у меня и мысли в голову не могли придти, что кто мог пароль равный логину.
Меня удивило, что твиттер вообще позволяет регистрировать такие аккаунты.
А какой портал не разрешит подобный пароль? В лучшем случае просто единожды предупредит, что пароль простой и замолчит навсегда.
А вот я чаще встречаю ситуацию, когда веб-сервис старается контролировать секурность пароля на минимальном уровне: если пароль слишком короткий или совпадает с логином или мылом пользователя, регистрация не проходит.
Я так делаю на левых сайтах, типа: qweqwe:qweqwe, asdzxc:asdzxc и т.д.
Очень удобно для неважных, но требующих регистрации сайтов.

Вводите везде OpenID, и проблема слабых паролей уйдёт в прошлое.
на всеми нами любимом твиттере

Говорите за себя…
Это фигура речи, я полагаю.

Кто любит твиттер — мысленно согласится, а кто не любит — почувствует сарказм.
Посты в тематический блог Твиттера публикуются раз в 3-5 дней и собирают намало комментов.
Фразу «всеми любимый» Вы можете понять как «любимая тема для обсуждения на Хабре». В этом есть что-то плохое? Многие здесь либо уже есть на твиттере, либо активно против него. Да и где, как не на Хабре, в среде программистов и гиков обсуждать такое явление, как Тви?
Мне лично твиттер безразличен, просто в последнее время все больше складывается впечатление, что замороченных на твиттере уже не меньше чем офисного планктона, замороченного на вконтактиках и одноклассниках
Даже не верится что владельцы твиттера не удосужились при регистрации/смене пароля добавить дополнительную проверку на то чтобы логин и пароль не совпадали друг с другом.
Должна же быть защита от дураков, тем более от таких :).
Скорей защита для дураков. Взломщики — не дураки :).
Вывод: методы пропаганды не работают!

Почему-то мне кажется, что основная часть русскоязычного твиттер-сообщества, вообще не подозревает о существовании хабра.
Пропаганда идет не только на Хабре. На многих сайтах и форумах запрещают простые пароли, крупно пишут об этом. Меняют политику паролей и заставляют менять их пользователей, у которых простой пароль был поставлен давно. Я думаю, что многие, кто хотя бы немного «живёт в Сети», уже сталкивался и замечал эту тенденцию.
кто-то учится на своих ошибках, кто-то на чужих, а кто-то после пинка.
Как говорится, спасение утопающих -дело рук самих утопающих. Надо было владельцам таких паролей думать головой, случаи таких «взломов» нередки.
>большинство пользователей даже такого сервиса как Твиттер
омг. почему _даже_?
Потому что всем известно, что Твиттером пользуются только «программисты» :)
Ну по крайней мере в России — да. Аудитория Тви, возможно и не полностью «гикнутая», но уж точно не такой «офисный планктон», как пользователи Одноглазников, например.
у мя он ассоциируется только с эштоном катчером, который весьма известный программист, да.
В качестве эксперемента на одном своем домашнем торренте в городской локалке, запустил брут по хешам md5, результаты были для меня удивительны:

Количество пар логин-пароль: 3500,
Подобраны исходя из того что пароль из цифр: 40%,
Подобраны по словарю в 3000 слов: 15%,
Подобраны за счет изменений по заданным правилам слов в словаре 3000 слов: 5%,
Подобраны за счет комбинации словарей 1500 слов и 3000 слов: 5%

Итого 65% за полчаса, причем у администрации как оказались тоже пароли неахти, пример конечно не сравним с твитером, но тенденция очевидна. Как решить проблему неясно…
то есть, помимо совпадающих пар, были пароли, которые относительно легко подбирались по заданным критериям?
Подобраны за счет изменений по заданным правилам слов в словаре 3000 слов
Это как, можно по-подробнее?
Например можно задать шаблоны:
: Ничего не делать с исходным словом
l Перевести в нижний регистр
u Перевести в верхний регистр
c Перевести первый символ в верхний регистр,
остальные — в нижний
C Перевести первый символ в нижний регистр,
остальные — в верхний
t Инвертировать регистр всех символов в слове
TN Инвертировать регистр символа в позиции N
Примечание: N = 0...9 для позиции от 0 до 9,
N = A...Z для позиции от 10 до 35
r Обратить: «Fred» -> «derF»
d Дублировать: «Fred» -> «FredFred»
f Отразить: «Fred» -> «FredderF»
{ Сдвинуть слово влево на 1 символ: «jsmith» -> «smithj»
} Сдвинуть слово вправо на 1 символ: «smithj» -> «jsmith»
$X Добавить в конце слова символ X
^X Добавить в начале слова символ X
UFO landed and left these words here
Блин, кто-то за меня статьи на хабре все это время писал… методы пропаганды действительно не работают )
Если говорить про пропаганду твиттера, то да — не работают ;)
Не удивлюсь, если найдутся такие пользователи, которые пойдут менять… логин :)
UFO landed and left these words here
на самом деле так и есть. шевелиться будут только после этого!
«Пока гром не грянет, мужик не перекрестится»
Спасибо, я не знал, что это мем. Дописал в топик с ссылкой на Вас.
есть многие патчи для программ и систем безопастности, существуют правила и алгоритмы…

только на человеческую тупость патча не придумали
большинство пользователей даже такого сервиса как Твиттер, не прислушиваются к советам и не соблюдают элементарную политику безопасности.

Насколько понимаю, в твиттере полно музыкантов, домохозяек и прочих личностей, которые понятия не имеют о безопасности. Так что удивляться! Или я не прав?
Возможно, Вы правы. Вычеркнул это смущающее всех «даже».
Первым делом при взломе нужно проверить пароль, такой же как логин. Это же прописная истина!

Когда-то во время учебы в колледже, именно таким образом мы получили доступ к учетной записи одной немного станной учительницы по информатике.
Тут недавно с другом думали как защитить хорошим паролем. Мысль была либо поставить слишком легкий либо слишком сложный. Легкий как правило обычно отсеивается если человек серьезен и продвинут. Ну а сложный хотели например пароль и его в MD5) Запомнить правда сложно, но в случае если забудешь то восстановишь просто зная исходный пароль а защита хороша — подбором не подберешь)
«И проверьте свой пароль на Хабре ;-)»

Вы думаете у хабравчан пароли совпадают с логинами?
Скорее всего пользователи, которые в качестве пароля используют свой логин или часть логина могут подумать: «да кому надо взламывать мою учетку?» вот и не заморачиваются
Вообще, запретить равенство логина и пароля можно в скриптах твиттера. И это сделать проще простого.

Если твиттер ориентируется на массовую аудиторию — то это их недочет, имхо.
Зашёл и проверил, при попытке сделать пароль, равный логину, твиттер выплёвывает Too obvious и не даёт регистрироваться. Так что про скрипты твиттера и про проблемы в безопасности, вы это зря :)
Думаю, что защиту от подобного просто сделали не очень давно (включая список простых паролей), а т.к. посчитали что смотреть на пароли пользователей немного неприлично, старых пользователей не пинали. Вот и получилось, так как получилось.
Знал бы ты, как мама ругается, когда я ставлю ей сложные пароли. :)
Only those users with full accounts are able to leave comments. Log in, please.