Комментарии 6
Не знаю как у других, но у меня есть мусорный почтовый ящик. У него пароль на 100% совпадает с кучей паролей от разнообразных сайтов сомнительной ценности где логином указан этот почтовый ящик. Там стоит простой пароль из слова существующего в словаре и трех цифр.
И существует все это просто потому что, иногда, нужно добраться до архива/картинки/комментария, которые требуют авторизации. Указывать основную почту для «легального спама» смысла не вижу. В той почте нет приватной информации, привязки с сервисам, где есть деньги или ресурсы.
Аналогично существует логин фейсбука для авторизации через фейсбук.
Так вот. Ценность этого почтового ящика и учетки фейсбука для меня равна нулю. Если кто то чего то нашел, и «взломал», ну дык пускай считает себя кулхацкером. Почти одноразовая почта для почти всегда одноразовых регистраций на всяких непонятных сайтах. Пропадёт доступ, я даже ответ на секретный вопрос не вспомню.
И сдается мне, что весомый процент таких совпадений, аналогичные «мертвые» души.
И существует все это просто потому что, иногда, нужно добраться до архива/картинки/комментария, которые требуют авторизации. Указывать основную почту для «легального спама» смысла не вижу. В той почте нет приватной информации, привязки с сервисам, где есть деньги или ресурсы.
Аналогично существует логин фейсбука для авторизации через фейсбук.
Так вот. Ценность этого почтового ящика и учетки фейсбука для меня равна нулю. Если кто то чего то нашел, и «взломал», ну дык пускай считает себя кулхацкером. Почти одноразовая почта для почти всегда одноразовых регистраций на всяких непонятных сайтах. Пропадёт доступ, я даже ответ на секретный вопрос не вспомню.
И сдается мне, что весомый процент таких совпадений, аналогичные «мертвые» души.
bugmenot.com довольно часто помогает в таких случаях.
И mailinator.com также (хотя про него сервисы иногда в курсе).
Да, вполне может быть и так.
Но подойдём к этому по научному. Как проверить данную гипотезу? Для этого надо:
1. Найти сайт, который не будет «разнообразным сайтом сомнительной ценности». Например, Хабр.
2. Получить список логинов для этого сайта. Найти пересечения логинов с имеющимися у меня.
3. Через прокси проверить валидность паролей для такого пересечения.
4. Предупредить тех людей, у которых пароли совпадают.
5. Написать ещё один пост на Хабр по результатам.
Интересно, что скажут на это админы Хабра?
Но подойдём к этому по научному. Как проверить данную гипотезу? Для этого надо:
1. Найти сайт, который не будет «разнообразным сайтом сомнительной ценности». Например, Хабр.
2. Получить список логинов для этого сайта. Найти пересечения логинов с имеющимися у меня.
3. Через прокси проверить валидность паролей для такого пересечения.
4. Предупредить тех людей, у которых пароли совпадают.
5. Написать ещё один пост на Хабр по результатам.
Интересно, что скажут на это админы Хабра?
Уже в первой половине второго пункта все плохо.
2. Отдать почта/пароль админам хабра в обмен на обещание возврата статистики.
3. Админы Хабра сверяют почта/пароль с хэшами в базе.
4. Админы Хабра пердупреждают владельцев уязвимых аккаунтов. Кто не пошевелился, тот мертвая душа.
5. Вы получаете какой процент логинов был уязвим без какой либо конкретики.
6. Статья с результатами.
+ Легально
+ Нет проблем с законом
— полностью зависимо от доброй воли админов.
Впрочем будучи админом такого большого и серьезного ресурса… я бы сразу бы анализировал все утекшие базы на предмет валидности паролей превентивно. Возможно, это уже даже сделано, поэтому по-моему сейчас проверка почти бесполезна, хотя и вызывает интерес.
Отмечу так же что у меня есть пара друзей, у которых есть здесь аккаунты, но они покинули сферу ИТ достаточно давно. Те самые мертвые души.
2. Отдать почта/пароль админам хабра в обмен на обещание возврата статистики.
3. Админы Хабра сверяют почта/пароль с хэшами в базе.
4. Админы Хабра пердупреждают владельцев уязвимых аккаунтов. Кто не пошевелился, тот мертвая душа.
5. Вы получаете какой процент логинов был уязвим без какой либо конкретики.
6. Статья с результатами.
+ Легально
+ Нет проблем с законом
— полностью зависимо от доброй воли админов.
Впрочем будучи админом такого большого и серьезного ресурса… я бы сразу бы анализировал все утекшие базы на предмет валидности паролей превентивно. Возможно, это уже даже сделано, поэтому по-моему сейчас проверка почти бесполезна, хотя и вызывает интерес.
Отмечу так же что у меня есть пара друзей, у которых есть здесь аккаунты, но они покинули сферу ИТ достаточно давно. Те самые мертвые души.
Написал админам через feedback, жду ответа =)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Чёрная археология датамайнинга: насколько опасны «сливы» больших данных