Комментарии 10
>Так себе и представляю: подходит время ввода нового пароля, и начинается. Меньше 15 символов нельзя, без спецсимволов нельзя…
Закончится все скорее всего более печально, чем короткие пароли…
Навскидку:
1. пароли на стикерах / в текстовых файлах на рабочем столе / в блокноте в верхнем ящике стола /…
2. Один логин/пароль на все сервисы
3. Постоянное «забыл пароль»…
А самое смешное, когда какой-нибудь левый форум, на который вы зашли через поиск хочет за показ картинок/вложений на форуме регистрацию. И секьюрный пароль…
Закончится все скорее всего более печально, чем короткие пароли…
Навскидку:
1. пароли на стикерах / в текстовых файлах на рабочем столе / в блокноте в верхнем ящике стола /…
2. Один логин/пароль на все сервисы
3. Постоянное «забыл пароль»…
А самое смешное, когда какой-нибудь левый форум, на который вы зашли через поиск хочет за показ картинок/вложений на форуме регистрацию. И секьюрный пароль…
А самое смешное, когда какой-нибудь левый форум, на который вы зашли через поиск хочет за показ картинок/вложений на форуме регистрацию.
Отчасти спасают сервисы, подобные BugMeNot.
лет 5 назад на БашОрге народ пробовал создать систему.
«зашел на сервис — создай пасс баш с логином баш» (сейчас уже не помню точные)
Буквально через пару мес. они оказались на многих сервисах или в запрете создания или в бане…
А так — локальные хранилки паролей рулят (естественно надо делать бэкапы, причем тщательно шифрованные)
Так что реально «один секьюрный пароль на всё», да еще не заставляет себя менять постоянно создать можно.
Но все равно, система, когда ради одного-двух комментов или просмотра картинки/вложения вас просят поделиться е-мейлом — это не самое лучшее.
Помню был сайт митцубиси-клуб. У них еще веселее было, надо было создать не менее 5 постов для просмотра картинок в разделе юмора!
Закономерно что сайт дважды загнулся. 1й раз года 3-4 назад, потом вроде реинкарнация была, на почту приходили приглашения возвращаться, сейчас вроде снова сдох. Т.к. на настолько долбанутый сайт идти повторно было лень.
«зашел на сервис — создай пасс баш с логином баш» (сейчас уже не помню точные)
Буквально через пару мес. они оказались на многих сервисах или в запрете создания или в бане…
А так — локальные хранилки паролей рулят (естественно надо делать бэкапы, причем тщательно шифрованные)
Так что реально «один секьюрный пароль на всё», да еще не заставляет себя менять постоянно создать можно.
Но все равно, система, когда ради одного-двух комментов или просмотра картинки/вложения вас просят поделиться е-мейлом — это не самое лучшее.
Помню был сайт митцубиси-клуб. У них еще веселее было, надо было создать не менее 5 постов для просмотра картинок в разделе юмора!
Закономерно что сайт дважды загнулся. 1й раз года 3-4 назад, потом вроде реинкарнация была, на почту приходили приглашения возвращаться, сейчас вроде снова сдох. Т.к. на настолько долбанутый сайт идти повторно было лень.
Как обычный ленивый юзер могу сказать про требуемую от пользователя сложность пароля так: один пароль на все сервисы — единственное, что приходит в голову. Это реально удобно.
Вначале я со всем вниманием вчитывался в предупреждающие надписи о важности уникальных паролей. И даже создавал их, ВотТакИе0_УнИк@льНыЕ_2П@ролИ. Естественно, я их запомнить не мог, поэтому записывал все в блокнот, который вечно лежал «под рукой» — на полке стола.
Потом мне это надоело, и я начал задавать везде одинаковые пароли. Везде-везде.
Потом понял, что аккаунт на некоторых сайтах не имеет ценности, и взламывать его никто не будет. Так у меня появилась двухуровневая система паролей: для того, что потерять не страшно и для того, что не хотелось бы потерять.
Такие дела.
Вначале я со всем вниманием вчитывался в предупреждающие надписи о важности уникальных паролей. И даже создавал их, ВотТакИе0_УнИк@льНыЕ_2П@ролИ. Естественно, я их запомнить не мог, поэтому записывал все в блокнот, который вечно лежал «под рукой» — на полке стола.
Потом мне это надоело, и я начал задавать везде одинаковые пароли. Везде-везде.
Потом понял, что аккаунт на некоторых сайтах не имеет ценности, и взламывать его никто не будет. Так у меня появилась двухуровневая система паролей: для того, что потерять не страшно и для того, что не хотелось бы потерять.
Такие дела.
>. Так у меня появилась двухуровневая система паролей: для того, что потерять не страшно и для того, что не хотелось бы потерять.
Уже более 5 лет система паролей примерно 3+ уровневая… (часть между 1 и 2)
1. пароли от учетки AD на работе, на менеджер паролей/архивы/почту/скайп/аську/… — что потерять очень не хочется. Их не очень много, часть помню (до 16 симв, больш+малые+цифры)
Иногда меняю(обычно сразу много или все).
В зависимости от того, где используется примерно половина записаны или дома или на работе на бумаге или не записаны совсем нигде…
2. Пароли из менеджера/стикера/текстового файла. Сгенерены хранилкой (с исправлением пары симв.) или собраны из случ. символов. Потерять жалко, но почти не замечу — большинство форумов, несколько одноразовых (создавал ради связи с конкретным человеком, потом использовал редко) мессенджеров, некоторые архивы, вход в учетки тестовых пользователей,…
Не помню ни один. Почти никогда не меняю.
3. Пароли от ресурсов, где они были заведены ради «посмотреть картинку фуллсайз/...» и тп
Обычно хранятся на рабочем столе в текстовике. Хранятся в памяти браузера…
Бэкапы не делаю никогда. Потеряется и фик с ним — еще заведется. Или через почту реснется (почта под такой мусор естественно отдельная, но на ней очень нормальный пароль из 2й группы.)
Для себя решил что категорий паролей много, подмножества пересекаются.
есть пароли которые:
-помнишь/не помнишь,
-меняешь/не меняешь,
-делаешь 3+ бэкапа/не делаешь(1 экз на бумажке или в файле)/не записываешь вообще (хотя тут иногда есть вариант сменить попросив, например, админа AD или реснув через почту, но не всегда...)
-ценные/не ценные (страшна скорее утеря, чем взлом)
-ценные/не ценные (страшна и утеря, и взлом)
А еще есть отдельная папка с мёртвыми логинами/паролями.
От ресурсов, которых больше нет или на которые уже забил.
Не знаю почему никак не удалю…
Уже более 5 лет система паролей примерно 3+ уровневая… (часть между 1 и 2)
1. пароли от учетки AD на работе, на менеджер паролей/архивы/почту/скайп/аську/… — что потерять очень не хочется. Их не очень много, часть помню (до 16 симв, больш+малые+цифры)
Иногда меняю(обычно сразу много или все).
В зависимости от того, где используется примерно половина записаны или дома или на работе на бумаге или не записаны совсем нигде…
2. Пароли из менеджера/стикера/текстового файла. Сгенерены хранилкой (с исправлением пары симв.) или собраны из случ. символов. Потерять жалко, но почти не замечу — большинство форумов, несколько одноразовых (создавал ради связи с конкретным человеком, потом использовал редко) мессенджеров, некоторые архивы, вход в учетки тестовых пользователей,…
Не помню ни один. Почти никогда не меняю.
3. Пароли от ресурсов, где они были заведены ради «посмотреть картинку фуллсайз/...» и тп
Обычно хранятся на рабочем столе в текстовике. Хранятся в памяти браузера…
Бэкапы не делаю никогда. Потеряется и фик с ним — еще заведется. Или через почту реснется (почта под такой мусор естественно отдельная, но на ней очень нормальный пароль из 2й группы.)
Для себя решил что категорий паролей много, подмножества пересекаются.
есть пароли которые:
-помнишь/не помнишь,
-меняешь/не меняешь,
-делаешь 3+ бэкапа/не делаешь(1 экз на бумажке или в файле)/не записываешь вообще (хотя тут иногда есть вариант сменить попросив, например, админа AD или реснув через почту, но не всегда...)
-ценные/не ценные (страшна скорее утеря, чем взлом)
-ценные/не ценные (страшна и утеря, и взлом)
А еще есть отдельная папка с мёртвыми логинами/паролями.
От ресурсов, которых больше нет или на которые уже забил.
Не знаю почему никак не удалю…
Ха! у нас в конторе так и было. Смена пароля каждые 30 дней.
Через месяца три-четыре я поинтересовался у админов, позвонив по поводу сброса пароля, запаслись ли они успокоительным, обрадовав что из 15 человек в отделе, уже никто не способен вести пароль с первой попытки.
Да… даже листки уже не спасали.
В результате, там нервно прокашлялись, сказали «спасибо. подумаем» и сняли требование смены пароля.
Через месяца три-четыре я поинтересовался у админов, позвонив по поводу сброса пароля, запаслись ли они успокоительным, обрадовав что из 15 человек в отделе, уже никто не способен вести пароль с первой попытки.
Да… даже листки уже не спасали.
В результате, там нервно прокашлялись, сказали «спасибо. подумаем» и сняли требование смены пароля.
AD не хранит пароли, поэтому скорее всего будет обновляться некая база хешей взломанных паролей, так что чтобы сделать удобно надо просто предлохить пользователю генератор, но такой что при генерации он сразу сам проверял хеш сегнеренного пароля с базой и только при отсутствии совпадения предлагал случайный пароль пользователю.
НЛО прилетело и опубликовало эту надпись здесь
>Кстати, в корпоративной среде используем именно продукты Лаборатории Касперского
Ну не везде и не всегда, но по тестам для российских реалий он похоже пока лучший…
Минус — способен «положить» даже очень быстрый комп во время проверок и обновлений…
По моему опыту добавляют новый вирус в течении пары суток (отсылал им на почту)
Др-Веб давно уже отстал, а о Ноде у меня кроме мата слов нет.
Последний что бы не тормозить комп последний раз (когда был установлен) проверял файлы по ускоренному алгоритму, «а то комп тормозит, пользователь недоволен будет» (такой ответ был от саппорта вроде, сейчас не вспомню).
А то, что пользователь получит кучу вирей — это мелочи.
Ну не везде и не всегда, но по тестам для российских реалий он похоже пока лучший…
Минус — способен «положить» даже очень быстрый комп во время проверок и обновлений…
По моему опыту добавляют новый вирус в течении пары суток (отсылал им на почту)
Др-Веб давно уже отстал, а о Ноде у меня кроме мата слов нет.
Последний что бы не тормозить комп последний раз (когда был установлен) проверял файлы по ускоренному алгоритму, «а то комп тормозит, пользователь недоволен будет» (такой ответ был от саппорта вроде, сейчас не вспомню).
А то, что пользователь получит кучу вирей — это мелочи.
>> По моему опыту добавляют новый вирус в течении пары суток (отсылал им на почту)
Несколько лет назад занимало часы (у них в базе есть штук 5-10 «моих» вирусов, т.е. которые отловил у пользователей в первых рядах вручную), последние года 3, наверное, отсылаю им, пара дней и тишина, робот ответил «принят в обработку» и всё, потом отсылаешь снова — «вирус уже есть в базе» через день. И не понятно смотрели-ли. У веба и Майкрософт (секьюрити ессеншиалс) добавка происходит быстро, письма приходят понятные и точные. Каспер портится на глазах (а ведь были времена, когд ЕК отвечал в ru.avp и лично на письмо про WIN-CIH, скачанный с ftp Realtek'а).
PS. Тут подумал — а ведь уже давно никому ничего не отсылал, вот что значит сменить компанию и перестать заниматься несвойственными функциями типа ловли блох.
PPS. При этом дома стоит KAV, т.к. всё ещё считаю лучшим по сравнению с веб и с сильным отрывом от всяких NAV, о которых воспоинания не очень…
Несколько лет назад занимало часы (у них в базе есть штук 5-10 «моих» вирусов, т.е. которые отловил у пользователей в первых рядах вручную), последние года 3, наверное, отсылаю им, пара дней и тишина, робот ответил «принят в обработку» и всё, потом отсылаешь снова — «вирус уже есть в базе» через день. И не понятно смотрели-ли. У веба и Майкрософт (секьюрити ессеншиалс) добавка происходит быстро, письма приходят понятные и точные. Каспер портится на глазах (а ведь были времена, когд ЕК отвечал в ru.avp и лично на письмо про WIN-CIH, скачанный с ftp Realtek'а).
PS. Тут подумал — а ведь уже давно никому ничего не отсылал, вот что значит сменить компанию и перестать заниматься несвойственными функциями типа ловли блох.
PPS. При этом дома стоит KAV, т.к. всё ещё считаю лучшим по сравнению с веб и с сильным отрывом от всяких NAV, о которых воспоинания не очень…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon