Как стать автором
Обновить

Комментарии 270

Я пользователь.
Я хочу свободно заходить на этот сайт не задумываясь над паролем.
Я не введу никогда сюда свои персональные данные или номер банковской карты.

Почему. Мне. Нельзя. Использовать. Простой. Словарный. Пароль?

На самом деле вопрос должен звучать так:


Почему. Мне. Вообще. Нужно. Придумывать. Пароль?


Вход на сайт через социальные сети рулит. Если, конечно же, это не единственный способ входа.

Не уверен насчет входа через соцсеть. Единый вход для всего — да, я бы обеими руками за. Пока приходится радоваться, если можно прицепить гугл-аккаунт.

Ну, Google+ — тоже какбысоцсеть. В общем-то, про него в первую очередь и писал.

Но на сколько я знаю G+ не самый популярный способ логина, практически везде только либо FB. Либо FB + 1 любой альтернативный способ. Либо твитер, либо G+, либо тот же Vk.

Было бы неплохо наверно сделать что-то похожее на сервисы, которые выдают сертификаты для HTTPS. Типа стандарт общий (да да я знаю про OAuth). То есть ты заходишь на сайт и говоришь, что вот такой-то провайдер знает меня под ID таким-то. А у провайдера подтверждать свою личность через несколько степеней защиты, типа биометрии. Эх… Мечты мечты…
Но на сколько я знаю G+ не самый популярный способ логина

В случае телефонов на Android приложения используют сервис гугля как основной способ авторизации.

Ну приложения-то да, а вот с сайтами все не так здорово.
OpenID, же

Раньше почти все его поддерживали например яндекс. Но через какое-то время решили делать свое Яндекс.Паспорт

Такой стандарт есть, OpenID называется (не путать с OpenID Connect, который есть дальнейшее развитие OAuth 2), да как-то не получил распространения. Основная проблема — требуется помнить свой URL-идентификатор (например мой — это https://me.yahoo.com/envek для Yahoo (в форму можно вводить просто me.yahoo.com — будет работать), а для гугла его вообще не запомнить никогда)

OpenID Connect — это соединение механизма OAuth2 с идеей OpenID


Основное отличие OpenID Connect от OpenID с точки зрения пользователя — вы говорите не "такой-то провайдер знает меня под ID таким-то", а просто "такой-то провайдер знает меня".

С соцсетями есть тонкий момент — если заблокируют ваш аккаунт (facebook) или всю соцсеть (linkedin), вы останетесь без логина. Не страшно для проходного сайта, но есть реальные истории, как люди теряли деньги из-за блокировки того же facebook.
С тем же успехом могут и почтовый аккаунт заблокировать на gmail из-за левой пятки третьего алгоритма, а у вас на почту подтверждение приходит (2FA).
Поэтому есть смысл регать свой домен и юзать почтовый ящик на нём, с помощью google mail или yandex mail. При блокировке сервиса, просто делегируем MX записи на другой сервис.

И как это поможет, если авторизация по гугл-аккаунту?

Если мы для регистрации использовали email на своём домене, привязанный к gmail и потом этот gmail-акк был забанен, то просто привязываем домен к новому gmail или любому другому почтовому сервису и получаем 2FA-токен на старый майл.
Осталось разобраться с паролем для управления доменом… :)

А в соцсети как входить? Просто перекладываем свои проблемы на них? :)


Да и в целом, по-моему, массовых атак типа фишинговых на популярные соцсети и подобные сервисы больше, чем на какой-то сервис, у которого максимум миллион пользователей. Да и к аккаунтам соцсетей в целом у пользователей менее серьёзное отношение, чем, скажем, к финансовым, где их деньги лежат и очень возмущаются, когда им хотят "пришить" ответственность за действия, совершенные с помощью их аккаунта соцсети, заметно больше, чем за независимый аккаунт с паролем. Так и говорят: "да минимум 10 человек знают мой пароль от контактика, а я этого не делал".


То есть я как раз бы не доверял соцсетям (собственно и не доверяю), если даже индивидуальная разовая ложноположительная аутентификация может стоить заметную для прибыли/оборотов сумму.

Во-первых, если человек использует вход на важный сайт через соцсети — он и к паролю в соцсети отнесется внимательнее.


Во-вторых, напомню — речь шла о случае "Я не введу никогда сюда свои персональные данные или номер банковской карты" и вход через соцсеть я рассматривал как альтернативу простому словарному паролю.


В-третьих, обратите внимание на вот это уточнение:


Вход на сайт через социальные сети рулит. Если, конечно же, это не единственный способ входа.
Во-первых, если человек использует вход на важный сайт через соцсети — он и к паролю в соцсети отнесется внимательнее.
Это работает только в том случае, если человек не совсем полный клинический идиот и в состоянии вывести следствие одной сущности из другой. Обычно это слишком уж оптимистичные ожидания. Либо ему нужно об этом постоянно напоминать так, чтобы он это понял, не пропустил, задумался, поработал головой и принял решение, исходя из всего вышеперечисленного. И всё это ещё надо на нескольких уровнях несколько раз проконтролировать. Тогда ещё можно утверждать, что человек, в теории, возможно, если его прямо направить, вероятно, таки сможет оказаться в числе тех 10%, которые лишь чуть-чуть более внимательно обратят внимания на что-то (при этом, не важно на что — на анимированный логотип, гавкающую собачку за углом и на пролитый на брюки горячий чай).
Вход на сайт через социальные сети рулит

"Брелок: маленькая штуковина, которая предоставляет Вам возможность потерять ключи от всех Ваших дверей одновременно."

Да ещё с подписью, какой ключ откуда.

Пожалуйста, прочитайте эту ветку комментариев сначала.

Дошли бы ваши слова до всех авторов сайтов…
Уже с полгода ловлю себя на мысли, что на паре параноидальных сайтов, на которые приходится заходить примерно 1 раз в месяц я чаще пользуюсь кнопкой «восстановить пароль», чем обычным входом на сайт с первого раза.
Как же бесит при этом требование «новый пароль не должен совпадать ни с одним предыдущим». Первые 4-5 раз обязательно высветиться, потом со словами «горите в аду» начинаешь придумывать действительно новый пароль.
При чем даже не стараешься запомнить — все-равно в следующий раз новый сгенерировать легче. Они б лучше одноразовый пароль на емейл высылали.

Пользуюсь сто лет уже статическими генераторами (т.е. ни запоминать ни записывать не нужно от слова вовсе).
Не сочтите за рекламу к примеру вот мой самописный плагин под лиса

Тоже самое, уже не делаю свой пароль, оставляю тот что пришлют, через месяц сброшу, устал заводить кучу разных паролей от всего на свете.
Розовые розы
— Извините, ваш пароль используется уже более 30 дней, необходимо выбрать новый!
— Розы.
— Извините, в вашем новом пароле слишком мало символов!
— Розовые розы.
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза.
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза.
— Извините, необходимо использовать, как минимум, 10 различных символов в пароле!
— 1гребанаярозоваяроза.
— Извините, необходимо использовать, как минимум, одну заглавную букву в пароле!
— 1ГРЕБАНАЯрозоваяроза.
— Извините, не допускается использовать несколько заглавных букв, следующих подряд!
— 1ГребанаяРозоваяРоза.
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГребанаяРозоваяРозаБудетТорчатьИзТвоейЗадницыЕслиТыНе ДашьМнеДоступПрямоБлядьСейчас!
— Извините, но этот пароль уже занят!
Вы только что описали мой сценарий входа на Пикабу! И вот интересный момент — зачем так параноить сайту со смешными историями?
Ой, это не Пикабу, это dirty паранойей страдает)
Есть сайты, которые не позволяют установить простой пароль или даже вообще придумать свой. Там я просто всегда восстанавливаю пароль для входа.
Почему. Мне. Нельзя. Использовать. Простой. Словарный. Пароль?

Неплохой пароль и Вы его уже запомнили xD

Увы, он длиннее 20 символов...

и уже занят :)
Вопрос скорее всего риторический, но если нет, то. Потому что есть куча пользователей, которые введут туда персональные данные или номер банковской карты.
Да какие проблемы, можете вообще не использовать пароль!!!
стоит ли считать «верно лошадь батарейка скрепка» примером
Взяли бы тогда уж перевод комикса для статьи-перевода

Кстати, KeePass считает, что в пароле «Tr0ub4dor&3» на самом деле 63 бита энтропии. А в «correcthorsebatterystaple» — 81 бит.

Я думаю, в комиксе учтены факторы: "в основе нераспространенное осмысленное слово" и "четыре случайных обычных слова". А KeePass считает энтропию как-будто это бессмысленные наборы символов.

Злоумышленник будет подбирать по словарю, с учётом вероятности слов, начиная с паролей в одно распространённое слово («the», «he» и т.д.), затем комбинация двух распространённых слов, затем одно менее распространённое слово, и т.д. по мере уменьшения вероятности. Если игнорировать регистр, цифры и спецсимволы, то можно узнать, какое минимальное количество паролей потребуется перебрать, чтобы подобрать заданный пароль. Если грубо, то можно перемножить rank всех слов пароля: 1508*1332*5881*14189=1.68e14, или примерно 47 бит.
Автор живет в мире космических единорогов, где юникод поддерживается всеми устройствами и вводится в любые поля прямо из воображения.
На самом деле, ввести что-то, кроме 7-битного ASCII до сих пор очень сложно на абсолютном большинстве сайтов, устройств и всего остального, и добавлять с свои пароли юникод означает практически гарантированно остаться без возможности входа на любой хоть немного нестандартной/несовременной системе.

Ещё хуже. Автор не представляет себе что такое юникод на самом деле и то, что в его примере получилось, что длина "символа" равна двум — это не проблема юникода, а проблема того языка программирования, которым он воспользовался. Даже если все наши устройства поддерживают юникод и мы придумали способ ввести нужный символ (ну, хоть копипастой из программы управления паролями) остаётся нехилая проблема множественности вариантов представления одинаковых юникодных глифов в отсутствие контроля со стороны пользователя за этим. Мы не знаем в каком из вариантов будет представлен один и тот же юникодный символ в том или ином браузере/устройстве/операционке и не изменится ли эта ситуация со сменой версии.

А еще веселее, что в некоторых системах кол-во введенных символов не всегда равно кол-ву звездочек, а в консоли Linux так и вообще звездочки не отображаются.
иногда это фича, специально реализованная, подсматривающий за вводом пароля не узнает количество символов!
Помнится, в клиенте Лотуса число крестиков в поле пароля было случайным, а для контроля рядом рисовались весёлые иероглифы:

image
Потому что под видом кодировки зачем-то изобрели новый язык разметки, по сложности стремительно догоняющий HTML.

Ну, зачем изобрели — понятно. Помните времена, когда только общераспространённых кодировок кириллицы было пять штук? ;). И ещё несколько чуть более редких. А половина программ работала при этом так, словно в мире сушествует только 7-и битный ascii. На самом деле в рамках уникода предусмотрено решение всех этих проблем. Проблема, как обычно, в головах разработчиков. Как тогда считали, что все в мире тексты в 7-и битном ascii, так и сейчас считают… Да так же ничего не считают, как-то работает — херак, херак и в продакшн.

Мы не знаем в каком из вариантов будет представлен один и тот же юникодный символ в том или ином браузере/устройстве/операционке и не изменится ли эта ситуация со сменой версии.

Та какая разница? Вы получаете просто массив байт, который сразу же отдаете в хеш-функцию. Пусть они там хоть член анси-артом рисуют. Главное, чтобы ваш сайт не мешал пользователям рисовать все, что они хотят, об этом автор и говорит. Потому что задрали сайты дибилов, которые ставят ограничение «меньше 8 символов» и обязательно большая буква. А я не хочу большую букву, я хочу 20 символов кириллицей.

Так пользователь будет наезжать, что на компе под виндой он вводит "ЁЁЁЁЁЁ" и всё работает, а на айфоне то же самое не работает.

Вы правы, спасибо.

Потому что сегодня глиф "й" ваша версия браузера пошлёт одной двубайтовой последовательностью и у вас будет один хэш, а завтра версия браузера сменится или апдейт операционки произойдёт и этот глиф пошлётся как "и", плюс отдельная кратка. Четыре (или больше) совершенно других байта. И ваш пароль перестанет работать. И вы обвините в этом владельца сервиса. Есть варианты с нормализацией/канонизацией, но там всё сложно и есть куча подводных граблей на которые разработчик обязательно наступит.
Почему про "й" вспомнил, недавно на медузе в некоторых браузерах на некоторых операционных системах в одной из статей кратки отделились от своих "и". Выглядело психоделично. Просто потому, что программа, в которой текст набирали, решила, что именно такой вариант представления буквы "й" будет лучшим. И она была права, так тоже можно. А то, что некоторые растеризаторы в некоторых операционках глупые...

Так нельзя. У нас есть буква Й и это никак не И с каким-то знаком (как минимум из-за того, что она согласная, а не гласная).

Так можно и именно такова реальность. Правильная работа с юникодом — дело очень не простое, я об этом и говорю. Поэтому, в такой тонкой сфере, как аутентификация, самое разумное — придерживаться проверенных простых решений.

И в ворде выравнивание можно делать пробелами и табами. И новую страницу начинать при помощи пустых строк. И о от o визуально ничем не отличается. Не всё что с перьями, на двух ногах и крякает является уткой.

При чём здесь это??? Вы нажимаете на клавиатуре "й", а в файле получаете любой из допустимых способов представления этого глифа. Они все равноправны и все допустимы в рамках спецификации. И этому есть объективные причины. Программа обработки должна обрабатывать все возможные варианты приблизительно одинаковым способом (но, поскольку, тема крайне сложная, а людей, как и вы, совершенно не понимающих как там всё устроено, тоже много, ошибок хватает и будет хватать ещё долго). Давайте вы сначала хоть немного почитаете чего-нибудь на эту тему, тогда мне не придётся отвечать на вопросы не имеющие ничего общего с темой.

При том, что i украинское и i английское это две разные буквы, хотя графически ничем не отличаются. И если кто-то сделал для й представление через два раздельных знака, то это не означает что он был прав, но нам теперь придётся с этим жить. Это примерно как заменять ё на йо — звуки-то одинаковые, или на е — не маленький, должен знать где какой звук. Хотя ё вполне себе самостоятельная буква, а не е с умляутом.
Не надо мне читать, я уже это знаю, но со спецификацией не согласен.
И если кто-то сделал для й представление через два раздельных знака, то это не означает что он был прав

С чего вы взяли?


Это примерно как заменять ё на йо — звуки-то одинаковые, или на е — не маленький, должен знать где какой звук.

Вы опять какую-то ересь несёте. Какое отношение звуки имеют к глифам? Мы про глифы говорим, а про звуки. Юникод не предназначен для представления звуков.


Хотя ё вполне себе самостоятельная буква, а не е с умляутом.

Разницы нет.


Не надо мне читать, я уже это знаю

Зачем тогда то ворд с пробелами приплетаете, то звуки?


но со спецификацией не согласен

(пожимая плечами) вы просто не умеете её готовить.

У Yahoo запрещено иметь в пароле имя или фамилию пользователя. Т. е. когда я представился Enver O — уже не могу использовать букву О в пароле :(
Что там про сливы данных, в т.ч. паролей у Яхи?
Я тоже считаю, что ограничения, когда надо использовать одну заглавную, одну строчную, цифру и ещё какой-нибудь специальный знак — это полная чушь. Если пароль нельзя надёжно запомнить, это резко снижает безопасность, потому что твою бумашку либо текстовый файл, где этот пароль будет записан вместо головы подсмотрят или скачаются с компьютера, причём, без каких-либо проблем. Нужна большая надёжность? Двухфакторная авториазция нас спасёт, а пароль должен запоминаться, и все люди в этом плане уникальны, так что чем меньше ограничений, тем лучше, разьве что длинну надо контролировать.

Не стоит забывать про принцип неуловимого Джо. Для хранения паролей можно использовать менеджеры паролей.

если следовать правилу неповторения паролей, то запомнить около сотни длинных паролей (даже если легко запоминающихся по отдельности) в сочетании с сайтами и сервисами к которым они относятся, да еще и с различными логинами туда… В общем, ну его нафик.
А двухфакторная авторизация хороша дома. И очень напрягает при путешествиях по миру.
Это не говоря о том, что в принципе невероятно напрягает необходимость кому-ни-попадя давать номер своего мобильника. Потом спамеры звонят по 8 раз в сутки :(
Напомнило:

— Пароль у меня такой… мама сшила мне штаны из березовой коры
— Молодой человек, кто вас такие пароли учил делать?.. Набирать также?
— Хакер один знакомый. Да, также… Только вместо символов нижнего
подчеркивания ничего не ставьте.
— Вы ошибаетесь — пробелов в пароле быть не может.
— А пробелы и не надо — все слитно пишется.
...

Напомнило классику:


сорок тысяч обезьян в жопу сунули банан

© Чингиз (из «Фальшивых зеркал»)

Точно, точно :) Как я мог забыть…
А мне до сих пор интересен пароль Падлы. Вроде даже конкрус устраивали на этот счёт, кто-нибудь знает чем дело кончилось? :)
А как же «гарцующие гениталии»? :)

Shocking nonsense is unlikely to be duplicated anywhere because it does not describe a matter-of-fact that could be accidentally rediscovered by anyone else and the emotional evocation makes it difficult for the creator to forget. A mild example of such shocking nonsense might be: «mollusks peck my galloping genitals» (...) Even relatively short phrases offer acceptable entropy because the far larger «alphabet» pool of word symbols that may be chosen than the 26 characters that form the Roman alphabet. Even choosing from a vocabulary of a few thousand words a five word phrase might have on the order of 58 to 60 bits of entropy

alt.security.pgp — Passphrase FAQ, Grady Ward, 2/10/1993
Неправильный пароль:
Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка.
[sarcasm]Ага, и на телефоне очень удобно вводить где раскладки надо переключать чтобы увидеть буквы другого языка, а количетство клавиш и соответствие может различаться.[/sarcasm]

А можно просто генерить случайный пароль, выдавать пользователю и не трахать мозг. Если надо присылать новый пароль на email и ссылку для одноразовой авторизации.


Именно так будто делать для https://DebtsTracker.io

А еще лучше — вход через oauth/openid. Тот же google+...


Ну и для тех у кого нет google+ — "присылать новый пароль на email и ссылку для одноразовой авторизации"

Пользователь будет ужасно рад набирать этот пароль на мобильном.
А копировать пароль через clipboard на мобильном — это не есть хорошо

Ну кому хочется записать — запишет как захочет. А кто нет может воспользоваться сбросом и одноразовой ссылкой?

Зачем вам тогда вообще пароль? Просто присылайте одноразовую ссылку при каждом логине. Например, Medium так делает.

Ну почему бы и нет если кому то так удобнее? Одно другому не мешает?

Отправлять пароли в e-mail не безопасно.
«просто присылайте одноразовую ссылку»
Почему не безопасно?
Потому что даже если ваш сервер использует безопасное соединение, то при пересылке адресату могут использоваться промежуточные сервера с нешифрованным протоколом, все равно что выложить его в открытый доступ. Одноразовая и короткоживущая ссылка более безопасна, но опять же не 100% в виду вышесказанного. Еще безопаснее ответ на секретный вопрос (легко забыть или взломать ч-з соц.хак) или же код через смс.
и таким образом у тебя всё вообще защищено единственным паролем от почты. Потерял почту — потерял вообще всё, мессенджеры, банки, социальные сети, гос. структуры…
не, я не согласная :)

Требование на наличие спецсимволов и букв в разных регистрах я считаю идиотским. Причина простая: удобство набора, особенно на мобильных устройствах.


12-символьный пароль, содержащий только строчные буквы и цифры, набирать быстрее, чем традиционный 8-символьный пароль. При этом надёжность такого 12-символьного пароля все равно будет выше.


Ну и прочий идиотизм: ограничение на максмиальную длину пароля (где-то 8 символов — это максимум), запрет на использование ASCII спецсимволов.

Бесят сайты, которые требуют букву, БУКВУ, с&мвол, ц1фру, но, блин, зн@к нельзя, а ещё первым символом должна быть буква. И при вводе пароля ведь никак не подсказывают какие же символы тут запрещены. И ты восстанавливаешь пароль, а при смене видишь подсказку и вспоминаешь какой же всё-таки был пароль. Но «введённый пароль совпадает с предыдущим».
есть каноническая форма записи:
пользователь: пароль@ресурс
кто-то её учитывает, а то потом внезапно окажется, что всё работает, кроме отдельного приложения чата и т.п.
Это не обязательно @, кто-то ещё % _? не любят. Всё зависит от степени кривизны рук разработчиков.
это должно происходить в рамках проверки данных после ввода, а не в соответствии с предварительно разъясненным правилом.

Вот это точно вредный совет. Все ошибки должны подсвечиваться сразу же при вводе пароля, а не после отправки. И если сайт имеет правила (как в статье написано – совсем без правил не получится), то они должны быть доступны пользователю сразу где-нибудь в форме ввода (тултип, whatever).

Только обучение общей грамотности в области безопасности спасёт пользователей. На подавляющем большинстве сайтов я использую пароль qwerty. Это те сайты, компрометация аккаунтов на которых меня вообще не волнует. Сложные пароли нужны для банкинга и сайтов которые представляют хоть какую-то ценность.
Ещё одно забавное явление — восстановление пароля часто спасает меня на тех сайтах где в пароле было необходимо придерживаться множества правил. Вводишь новый соблюдая все парвила и, невероятно, оказывается что это и был пароль.
Я могу понять любые правила для паролей, кроме идиотского ограничения максимальной длины.
Какого черта до сих пор встречается максимальная длина в 16 или 20 символов?! Они там что, в открытом виде хранятся? В массивах константной длины?
Они там что, в открытом виде хранятся? В массивах константной длины?

Вы не поверите ...


Даже Яндекс хранил пароли в открытом виде. Иначе как объяснить факт, что при запросе забытого пароля от сайта на народе мне его просто прислали.

Я вот только что проверил, paypal не дает при регистрации указать пароль длинее 20 символов. Вы же не хотите сказать…

Иное объяснение: хранят зашифрованным и не теряют ключ дешифрации. Возможно даже ассиметричное шифрование — шифруют публичным ключом автоматически, а дешифруют закрытым вручную. Ну или, по крайней мере на другой машине.

Ого. Что не так?

Нет никакого смысла так извращаться — хранить хеши в базе попросту проще.

Если есть требование иметь возможность получить пароль в чистом виде, то хеши не подходят.

Если есть требование хранения паролей в открытом (или восстановимом) виде, то слать всех куда подальше.

то, что вы подменили пароль хэшем защищает ДРУГИЕ сервисы от одной единственной ситуации: у вас слили БД

во всех прочих случаях, такая подмена ни на что не повлияет

И эта единственная ситуация является крайне важной.
Люди обычно используют одинаковые логины-пароли для разных сервисов.
Взломали один — взломали все.

При таком подходе данные авторизации гуляют внутри организации в явном виде, и их можно собирать используя уязвимости периферийных служб. Если же в БД пароль хранится явно, можно его ещё на клиенте захэшировать с уникальной для сессии солью, и слив транзитных данных ничего не даст злоумышленнику.
НЛО прилетело и опубликовало эту надпись здесь

Почему не хранить зашифрованным? не хэшированным, а именно зашифрованным и расшифровывать когда надо?

НЛО прилетело и опубликовало эту надпись здесь

Здесь-то как раз объяснение простое — народ не всегда принадлежал яндексу

LiveInternet до сих пор так делает. На состояние лета 2016 года ничего не изменилось. Хотя статья то аж 2011 года.
Чем длиннее пароль, тем больше ресурсов нужно, чтобы построить его хэш. При желании, можно сильно нагрузить бэкэнд, заставляя его генерировать хеши для длинных паролей.
Конечно, какой-то разумный предел сверху нужен, не надо позволять делать пароли в килобайт длиной, но 20 символов — это, все-таки, перебор. Даже отдельные слова бывают длиннее.

Вот, скажем, 255 символов — вполне разумный предел.
Зависит от реализации конечно, но подозреваю, что 255 символов будут хешироваться несколько секунд. Нет возможности проверить, но это уже много.
golang + sha512 = 10мс (сугубо ненаучно)

Похоже, что много… потому что 1 итерация даже в Ruby около 20 микросекунд занимает.
Вот bcrypt уже гораздо медленнее, аж 70 милисекунд для 255 символов занимает.

У меня хэш гигабайтного файла за несколько секунд получается))
Речь шла о чем-то вроде bcrypt, если мы говорим о паролях. А то ведь можно и crc32 в пример поставить :)
У распространённых хэш-функций размер блока хэширования — 64 байта.
В канадском банке BMO.COM не больше 8 символов, никаких спецсимволов.
Скорее всего это из-за использования какого-то старого программного обеспечения. В Канаде с этим довольно плохо. (Вернее я бы сказал так, что тут работает то, что создано лет 20 назад. А зачем переделывать и тратить деньги на то, что работает?!).

В Беларусбанке — максимум 12 символов. Разработчики пару лет назад обещали обратить внимание, но воз и ныне там.

Интересно, какие ограничения на длину паролей у самих браузеров (наверняка же есть)?

Для браузера — пароль это обычное поле, которое надо чуть по особенному показывать пользователю. Так что очень большое.

В мире, может, и есть юникод и смайлики, а вот на клавиатуре — не всегда

Ужас-то какой, жить без юникода на клавиатуре.
Alt-код

Пара советов абсолютно бредовая.

1. Юникод? Серьёзно? Автор слышал про понятие «standard by implementation»? Единственный вид паролей, который гарантированно поддерживается всеми системами авторизации, это ASCII — так сложилось исторически. Автору может это не нравиться и он может разглагольствовать про «двинутых американцев», но факт остаётся фактом.

2. У среднестатического пользователя есть аккаунты на 15 и больше ресурсах. Типовые правила безопасности советуют иметь по 1 уникальному паролю на ресурс. И чем же 15+ паролей из скрепок и смайлов лучше, чем то же число нормальных случайных ASCII паролей скажем втрое большей длины, при том, что их запоминанием всё равно займётся скорее всего менеджер паролей?

> Прикиньте, рандомный пароль может и не содержать в себе цифры или символа
Прикиньте, есть генераторы рандомных паролей, от которых можно это условие явно потребовать.

Потребовать-то можно — но запомнить такой пароль это не сильно поможет.

Запоминание — уже другой вопрос. Как я уже написал, его можно решить менеджером паролей.

Проблема изначально была в том, что автор говорит «рандомный пароль может не содержать цифры». Ну и чо дальше?)) Автору как будто лень сгенерировать пароль ещё несколько раз до достижения нужного результата (вряд ли многие генераторы паролей создадут пароль без цифр много раз подряд) или использовать/написать другой генератор паролей, который гарантирует наличие нужных ему символов в пароле.

Менеджер паролей это плохо — нужно как минимум дополнительно думать над бекапом, над защитой от утечки данных менеджера.

Лучше забыть пароль, ага

Лучше его забыть, чем отдать, очевидно.

Если вы думаете о безопасности, то вы и так делаете бэкап данных и защищаете их безопасность.

Большинство пользователей ни о чём таком не думают и не хотят думать.
Значит их не волнует безопасность и «дополнительно думать над бекапом, над защитой от утечки данных менеджера» они не будут.

Думать и делать — разные вещи.
Банально может не хватать денег/времени на реализацию нормальной процедуры бекапа. В такой ситуации бекапятся только самые критичные данные исключительно способом избыточного копирования на внешние носители.
Насчёт защиты от утечек — всё ещё печальнее, т.к. существует множество дополнительных точек отказа.

Я для себя решил эту проблему раз и навсегда:

1. Генерирую случайный пароль каким-нибудь pwgen
2. Сохраняю его в Keepass
3. Всегда копирую его с Keepass

Сильно много телодвижений
В чём смысл первого пункта? Во всех более-менее популярных имплементациях KeePass (KeePass 1x и 2x, KeePassX, MacPass, Keepass2Android) есть генераторы паролей.
Пользуюсь KeePass под Windows, Android (KeePassDroid) и Linux (KeePassX). Для macOS никому клиента, симпатичнее KeePassX, случаем, не попадалось? Желательно, с поддержкой *.kdbx.
MacPass же. Релизов давненько не было, и текущая версия не поддерживает ChaCha20, недавно добавленный в KeePass и Keepass2Android, а так отлично работает и выглядит более «родным» для macOS.
Я на Андроиде пользуюсь этим https://play.google.com/store/apps/details?id=keepass2android.keepass2android&hl=uk, поприятней будет.
Keeweb от хабраюзера Antelle попробуйте. Пользуюсь на винде, по всем параметрам удовлетворяет.
Дело привычки. Но вообще да.
Как дела у Keepass с приложениями для смартфонов Андроид\iOS и синхронизацией?
На адроиде точно всё хорошо.

Я использую Keepass2Android — прекрасно всё работает.
Синхронизирую через Google.Drive

Я тоже его юзаю. Прекрасное приложение, невероятно удобное, особенно если разобраться с клавиатурой и ее специальными функциями.

По поводу статьи — единственный баттхёрт, который по поводу паролей у меня возникает — это когда я пытаюсь зайти на сайт, на котором я регился до начала использования Keepass.
п.1: генерировать пароль в keepass
А теперь скопируйте пароль для авторизации на мобильном девайсе… как минимум, должен быть компьютер рядом с программой Keepass и базой паролей. При этом компьютер не может быть произвольным по соображениям безопасности.
Менеджер паролей хорош только когда пароль применяется локально и только на одном девайсе, а когда авторизацию надо проводить на разношерстных девайсах… начинается ад. Конечно, можно поставить галочку «запомнить авторизацию» и сайты не будут переспрашивать каждый раз пароль, но рано или поздно кукисы протухнут в самый неподходящий момент и потребуется ввести пароль а до компьютера с менеджером паролей 2 часа езды…
К слову сказать, есть ещё и аппаратные менеджеры в виде эмулятора USB-клавиатуры, но и у них есть недостаток — физическое воплощение девайса делает возможным украсть все пароли одним махом поскольку физическая защита носителя как правило страдает, а надёжная защита приводит к значительному неудобству использования. Да и проблема бэкапов, внезапного выхода из строя и т.д.
НЛО прилетело и опубликовало эту надпись здесь
Однако сами слова являются стандартными единицами языка, которых в лексиконе человека не так уж много и вместо того, чтобы производить только посимвольный перебор программа-подборщик пароля может использовать словарик и производить перебор уже не только символов, но слов и их комбинаций.
В том же примере про лошадку всего 4 обычных распространённых слова.

Словарь в 1000 слов — это уже 10 бит энтропии на слово. 4 слова — 40 бит.

"слова являются стандартными единицами языка, которых в лексиконе человека не так уж много".


Не.
Так.
Уж.
Много.
))))))))))

Подтверждаю. Как-то баловался с анализом частоты использования слов в чатиках… слова с частотой использования больше 2-х(по статистике за 2 недели) встречаются в первой 1000. Причем наиболее частые слова из топ-10 это слова не более 4 символов.
Исключения могут составлять лишь авторы газетных статей, писатели, рерайтеры и т.д. но их мало. В целом, словарный набор типичного пользователя не такой уж большой, не думаю что люди будут заглядывать в энциклопедии чтобы придумать стойкий пароль — слишком уж они ленивы и используют слова из повседневного лексикона.

На всякий случай уточню, что слово из всего четырех букв имеет 16 вариантов написания:


  1. хабр
  2. Хабр
  3. хАбр
  4. хаБр
  5. хабР
  6. ХАбр
  7. … (продолжите сами) :)
И что же заставит всех пользователей использовать рандомные варианты написания и ЗАПОМИНАТЬ какой именно вариант они выбрали? Так-то вообще стойкий пароль можно придумать из рандомного набора символов. Но попробуй его запомнить.

"Заставит" — ничто. Но Запомнить, Что Каждое Слово Начинается С Большой Буквы Не Так Уж И Сложно.


или нАпример, человек выбрАл вАриАнт, когдА большие все буквы "А". :)

Это всё делает бесполезным остальные варианты, т.к. в реальности чаще всего будет использоваться только один вариант написания.
Довольно показательно, что статья именно от разработчика форумного движка.
Ведь именно на форумах обычно больше всего абсолютно бесполезных регистраций. Зарегистрируйтесь чтобы посмотреть картинку в сообщении, чтобы скачать вложение, чтобы посмотреть все ответы в теме (очень надеюсь, что всё это осталось в прошлом). И всё это на узкоспециализированных форумах, на которые уже никогда не вернёшься.
Что если я хочу пароль из трёх символов для этого аккаунта? Или вообще не хочу ни пароля ни аккаунта, а «просто спросить»? Что если ваш сайт (о божечки) не центр вселенной?
Полностью согласен. Также раздражает обязательные регистрации для того, чтобы один раз картинку глянуть и больше никогда не возвращаться.

Не в прошлом.
А "повторите адрес почты"?

Привязка к соцсетям относительно безопасна, если там есть двухфакторная авторизация. Однако большинство соцсетей настолько несерьезны по содержанию, что не хочется привязывать их к рабочим или конфиденциальным данным — социальная инженерия и последующий терморектальный криптоанализ рулят.
Раздражающие правила по паролям приходится обходить с помощью браузера, который запоминается все внесенные пароли, которые потом можно посмотреть (maxthon). А кому от этого легче? Это та же бумажка с паролем, приклеенная к монитору.

Можно использовать защищенный менеджер паролей.

1. Сделать красивый сайт с «генератором рандомных паролей».
2. Вывести его в топ поиска гугла.
3. Сохранять все сгенерированные пароли,
4. ????
5. PROFIT
Сегодня обнаружил в «chrome://flags» такую опцию:



Пока не было нужды проверять, но идея хорошая.
Потом в этой штуке будет найдена уязвимость. (Как обычно.)

А потом эту фичу Гугл вырежет ввиду её низкой популярности, как он частенько поступает в последнее время)

Safari уже давно предлагает генерить пароли, сохраняет в Keychain Mac OS'а.
Недавно восстанавливал пароль на сайте одного из банков (сбер или банк москвы, не помню), там было очень интересное требование к паролю, помимо прочих. Звучало оно примерно так: «не более 4 символов с одного ряда клавиатуры», при этом, как я понял, порядок этих символов в пароле не имел значения. Все мои «стандартные» пароли не прошли, пришлось придумывать новый, точно его уже не помню…

То есть пароль из 12-16 символов, где есть 4 цифры, уже не проходит. Оригинально.

На сбере зато не имеет разницы в каком регистре пароль, всё приводят к одному в итоге. Видать было много обращений из-за капслока)

На сбере гораздо более весёлый прикол есть. Потерял листочек с паролем, получил новый, всё ок. Потом нашёл старый листочек и о ужас, пароль с него по-прежнему работал.

Из Сбербанк Онлайна вход по паролям с бумажек выпилили. Совсем. Недавно ломался телефон — без него туда попасть уже нельзя совсем никак.

Речь-то не про одноразовые бумажки с 20 паролями. А про самый главный, который в банкомате получаешь.
Не знал, спасибо) Надо будет сбертех потроллить, благо есть «засланные казачки» )))
Сбербанк Онлайн вообще штука занятная. Там нельзя сменить пароль на тот, который тебе нравится, новый пароль генерится сбером и присылается смской. И он всегда состоит из 2 цифр и 6 больших букв)) Сбер заботится о моих сбережениях)
странно, пару месяцев назад все работало…
и установка своего логина и своего пароля из веб версии сбербанк-онлайна.
Согласна. И даже если ты забыл свой пароль в Сбербанк Онлайн, можно заново зарегистрировать карту даже с тем же логином и паролем. И тащить свои кости в офис для этого не надо. Нужно просто телефон и карту под рукой иметь.
Мне Facebook при логине слал TOTP сразу на оба привязанных номера телефона, при этом я пользуюсь оффлайновым генератором в смартфоне. И любой из трёх подходил. Сейчас вроде больше так не делает.

Господа программисты, вот объясните мне тупому. Почему в 2017 году крупнейший интернет магазин РФ, Юлмарт требует после ввода пароля, 2 раза распознать графическую капчу, а потом ещё и подтвердится по СМС?? но не позволяет использовать кириллические пароли ??
почему практически ни один вебсайт в РФ, от банков до форумов кулхакеров и крутых вебдизайнеров для супер дружелюбной OSX, не позволяют использовать кириллический пароль который сразу вам даёт ДОПОЛНИТЕЛЬНО 33 символа! но требуют цифры и буквы в 2-х регистрах ??
Даю идею которую можете запатентовать — при вводе пароля при вводе кириллических символов звёздочки д.б. красными, а при вводе символов вероятного противника из богомерзкого НАТО — синими, при вводе кракозябров (иероглифов катаканы и т.п.) из Азии — Жёлтыми (хер с ней с полит корректностью).
так почему ?? Почти ВСЕ сайты мира разрешают только латиницу в 2-х регистрах, цифры и спецсимволы, но не позволяют остальных символов Юникод ?? основные библиотеки под лицензией GPL/BSD и т.п. "что мешает ?"(с) продавцов пылесосов Кирби? Или все фрилансеры-программисты агенты АНБ/ЦРУ которые готовы сдать Э.Сноудена как стеклотару за гринкарту ?

А мне интересно: почему ни один из сайтов не принимает пароль, набранный в ошибочной раскладке? Казалось бы: если в паролях запрещена кириллица, а пользователь ввёл кириллицу, да преобразовать раскладку и всё. Но нет, в лучшем случае будет предупреждение о неверной раскладке.


Запрет же на не ASCII символы в паролях имеет давнюю историю, когда был зоопарк кодировок. Да и сейчас этот зоопарк никуда не делся.

Потому, что раскладки разные.

Если сайт рассчитан на русскоязычную аудиторию, то в 99% случаев у пользователей будет обычная QWERTY/ЙЦУКЕН клавиатура. А оставшийся процент с другими раскладками просто будет, как и раньше, получать ошибку о неверном пароле.

Может потому что в основной части мира используется только одна раскладка?

«Почти ВСЕ сайты мира разрешают только латиницу в 2-х регистрах» — не потому ли, что две и более раскладок клавиатуры встречаются не так часто, как некоторым кажется? Попробуйте набрать ä, ü, ö или ß имея лишь стандартную кириллическую и английскую раскладки.

зачем в российским интернет магазине, который настолько печётся о безопасности что насилует пользователей капчёй 2 раза а потом ещё и СМС кой, использовать ä, ü, ö или ß? да и если пользователь из Германии купит чтото своей маме в Ростове, в чём проблема ?? проверяй что всё в уникод, при необходимости конвертируй и бери от пароля хеш. Я честно говоря невижу ТЕХНИЧЕСКОЙ проблемы. 1 кириллическая Ж и Ё и Й по моему автоматически седлают бесполезными 99,9% ботов из КНР.

вы знаете сколькими способами в юникоде можно записать букву "Ё"? И хэши будут разные.

А ещё есть такие «забавные» случаи как альтернативные раскладки, ставшие стандартом (QWERTZ).

Нормализацию можно делать. Типа ä -> а, й -> и -> i. Правда, не всем такое понравится — некоторые пароли могут стать слишком слабыми.

Используется же обычно один какой-то вариант.

При смене устройства могут быть сюрпризы.

Есть прецеденты?

Угу. В пароле на Gmail использовал символ подчеркивания до тех пор пока не купил смарт на Андройде. Там такой пароль ну никак не проходил, пришлось менять пароль.
Не один год использую пароли для Google со всякими спецсимволами, в том числе и с подчёркиванием, ни разу не видел претензий андроида по этому поводу.
Столкнулся с этим на Android 1.6 Сам был этим удивлен, причину выявлять не стал, просто сменил пароль
Ну, это были лихие нулевые, писали парсеры как могли :)
«зачем в российским интернет магазине» — Думаю, имеет смысл задать этот вопрос представителям упомянутого магазина :)
Вы так говорите про юникод, как будто это что-то хорошее. Юникод, на самом деле — это как регэкспы. Если вы решаете проблему с помощью регэкспов, то на самом деле, вы себе, зачастую, создаете больше проблем. С Юникодом то же самое. Там очень много неочевидных тонкостей.
Вы ей сами (не на телефоне) часто пользуетесь? Удобно?

Тоже самое относится к заучиванию кодов Unicode. Да, я знаю как набрать «,»,– и — не пользуясь таблицей символов, уверен многим из читателей знакомы коды символов, необходимых в работе. Но это исключение из правила.

Если символы елочек часто используются в работе, то имеет смысл сделать самому или использовать раскладку их содержащую.

У меня они на дополнительных кнопках мыши (G700s) «висят» — хоть какая-то польза от оных. Набрать Alt+0171 и Alt+0187 тоже не велика проблема, в общем-то.

Выдыхайте, идеи не патентуются.

НЛО прилетело и опубликовало эту надпись здесь
Злобный хакер вполне может заказать на себя что угодно за бонусы, придти и забрать безо всяких проблем — не знаю, как сейчас, давно уже ничего у них не покупал, но раньше бонусами оплачивались любая часть покупки от 1 до 100% и на любую сумму; при этом никакой дополнительной аутентификации не требовалось — напечатать​ накладную мог любой человек, знающий пароль от личного кабинета. Видимо, в Юлмарте решили, что так будет проще, чем разбираться с пострадавшими любителями паролей из приведенного в статье ТОП-25 либо самим становиться героями этой статьи и усложнять требования к паролю.
НЛО прилетело и опубликовало эту надпись здесь
Пару месяцев назад покупал у них абсолютно бесплатно.
Это «распределённая высоконагруженная и двукратно кластеризованная веб-платформа», ей можно как угодно унижать пользователя.
Господа программисты, вот объясните мне тупому. Почему в 2017 году крупнейший интернет магазин РФ, Юлмарт требует после ввода пароля, 2 раза распознать графическую капчу, а потом ещё и подтвердится по СМС?? но не позволяет использовать кириллические пароли ??

Потому что Юлмарт, как и большинство, не понимает принципа «Защита должна быть адекватной секретности, критичности и уровню важности защищаемой информации»

Когда надо иметь тысячу паролей, все эти рассуждения о их длине кажутся ерундой. KeePass и пароли в -дцать символов из случайных букв.

Вспомнился баян "самые надежные пароли — у неграмотныз людей".
(Я про "несловарность", не про простоту)

Это «метод советских партизан»: намеренные ошибки в словах сделали шифровки очень криптостойкими.

Есть ли что-то плохое в ограничении попыток ввода пароля в количестве — 1 попытка?


  • пользователь знает и вводит свой пароль — ок
  • пользователь допустил ошибку при вводе пароля — требуется капча
  • пользователь допустил 5 ошибок — извините, только восстановление
    • пользователю отправляется рандомный пароль

Ведь если сложность пароля нужна для предотвращения подбора, то


  • угадать с одной попытки — лотерея
  • распознать капчу — дополнительные ресурсы на атакующе стороне
  • 5 неправильных попыток — это точно брутфорс?
    • количество попыток храним в базе
      • обнуляем при успешной авторизации
      • обнуляем через сутки
Тогда неугодному пользователю можно не давать заходить на сайт, «подбирая» его пароль.

Был практически уверен, что получу такой контр аргумент..


  • По факту, в большинстве сайтов пользователь ВХОДИТ сразу после регистрации
  • Стоит провести большое исследование на предмет "повторного входа" пользователя, если сайт для него не является первоочередным (блог/новости/рецепты).
    • То есть, я считаю, что вероятность того, что пользователю вообще понадобится входить повторно на "ваш" сайт будет минимальна со стремлением к нулю.

Когда же ему нужен повторный вход?


  • Пользователь ВЫШЕЛ с сайта сам
    • Теоретически подвержен атаке "восстановите пароль"
  • Истекло время жизни куки
    • На большинстве известных сайтов это время больше или равно месяцу
      • При активном использовании ресурса, время жизни постоянно продлевается

Тогда дальше, как часто пользователи ВЫХОДЯТ сами с вашего сайта?


  • Если их процент низкий, например 1-5 человек из 100 — атака "восстановите пароль" будет потенциально успешной в крайне низком количестве учетных записей
  • Здесь же, оцените вероятность того, что данный вид атаки будет интересен, когда заведомо не известно, авторизована ли жертва в данный момент

В заключении, существуют системы защиты от атак с одного IP, COOKIE, secret_key — тогда ваш ресурс должен быть очень "интересен" для атакующего чтобы он задействовал распределенную систему "умных" ботов. Также атакующему обязательно должен быть известен ЛОГИН жертвы. И пожалуйста, не упускайте всей той информации о "вероятности" перечисленной выше.


  • Противостоять атаке "блокировка авторизации" на много проще чем заставить тысячи и или миллионы пользователей использовать сложные пароли.
  • Пожертвовать 5% пользователей, которым ВОЗМОЖНО придется восстановить пароль (сделать на одно действие больше) в угоду НЕВОЗМОЖНОСТИ взломать пароли типа "123q"… вы серьёзно?

Ложная дилемма. На самом деле, неправильны оба варианта.


Для "проходного" сайта — регистрация через соцсети. Для важного сайта — 2FA (только сделанная по уму, а не как обычно). Если сайт может выступать в разных ролях для разных пользователей — предлагать выбор самому пользователю.

Я вот на Хабру вхожу примерно каждые 2 недели, хотя никогда не выхожу.
Интересная тема, кстати. Я заметил это когда пользовался рядом интернет банков, в точности и в других странах.
При 5 попытках ввода пароля аккаунт блокировался и требовалось физическое посещение банка.
А логин был инкрементальной айдишкой.
Короче говоря пройтись простым скриптом и парализовать работу целого крупного банка это показывает охренительность такого решения, да.
Много где так. Бывает, логин в интернет-банк по номеру телефона, человек ошибается цифрой и не может понять почему пароль неверный, а чей-то чужой логин блокируется по попыткам ввода неверного пароля.

А если забыл пароль и подбираешь потому что не хочешь менять?

В современных техниках подбора мы давно не используем простой перебор всех символов по очереди.
— Приоритет ставится как раз словам и числам сграбленным с информации о вас в соц. профилях и.т.д. Начиная с популярных банальных паролей мы далее перебираем все запоминающиеся слова или ассоциации с вашей профессией и.т.д до простого перебора слов из словаря в разном порядке — так проходим по большинству аккаунтов ежедневно делая разрешенные несколько попыток.
Дело в том, что как и раньше у большинства даже очень продвинутых пользователей пароль это все так же просто слова или комбинации слов. Средний словарный запас у вас около 80000 слов. Даже учитывая ваши уловки с нулями и прочими спец.символами которые в большинстве своем предсказуемы, количество вариаций с использованием интеллектуального самообучаемого метода на простенькой нейросети падает минимум в три раза. В этом плане пароль не имеющий под собой заложенных слов более сложен для данного метода. И именно поэтому большие компании вас просят использовать такие сложные пароли для запоминания.
— Для проблем с запоминанием придумали lastpass и им подобные. Самые популярные боты для подбора к ним даже не суются… В основном потому что тот кто хранит свои пароли в lastpass с него как раз взять то и нечего)))
Не знаю написали ли про это среди комментариев, может я пропустил, извиняюсь.

80000 слов — это более 16 бит энтропии. Два словарных слова и цифра — это уже 35 бит энтропии, что более чем достаточно для форумов. А 4 словарных слова — это 64 бита энтропии, что достаточно для любых применений.

Больше всего раздражают не пароли, а наличие секретных вопросов и ответов для восстановления доступа к аккаунту и, часто их бывает сразу ТРИ! Писать правду в них — не лучшая идея, благодаря социальной инженерии и большому количеству информации о нас в открытых источниках ответить на такие вопросы не так уж сложно для постороннего человека, а если писать случайный поток букв и цифр — то их очень сложно запомнить.
> благодаря социальной инженерии и большому количеству информации о нас в открытых источниках ответить на такие вопросы не так уж сложно

Ну, назовите мне отчество бабушки моего лучшего школьного друга в третьем классе.
12345678
Популярных имен не так много, отчеств — десятки, даже сотни не наберется. Перебрать их все — дело секунд.

А оно в транслите. Или матом

Как по мне, так важна не сколько сложность пароля, сколько политика его использования. Если частоту смены пароля еще можно как-то проконтролировать, то как убедиться в том, что пароль не будет использован для других сервисов или что пользователь не будет хранить его открытым текстом на своем компьютере?

Думаю, надо отходить от концепции использования паролей как таковой. Или, по крайней мере, использовать другие методы аутентификации там, где безопасность важнее юзабилити.

А что взамен паролей? Как аутенфицировать человека так, чтобы аутенфицирующая информация с одной стороны была всегда с человеком, а с другой, не могла быть легко воспроизведена другим человеком или программой?

Первая ласточка — Twitter Digits. Он считает что пользователь — это телефон.
В целом нужна аппаратная отвечалка на вопрос сервера, которую нельзя оторвать от пользователя.
Вмонтировать её в жопу и пользователь, садясь на стул, сразу вводит пароль :)

Моя личная текущая практика показала, что "пользователь — это телефон" не работает, как минимум, в отношении близких людей. Внук берёт у бабушки телефон и аутентифицируется от её имени, а потом бабушку судят.

Поэтому мне нравиться последний мак про.
Сканер отпечатков — круть. Прикоснулся и зашел в OS.
Думаю будет удобно использовать это систему для авторизации на сайтах.
Нажимаешь авторизироваться тебе — прикосьнитесь к сенсору.
И все ты зашел на сайт. Все пароли генеряться и хранятся в аппаратном крипто чипе в ноуте или отдельном устройстве.
На телефонах проще. У многих есть сканер. Только надо как-то сделать чтобы эту систему можно использовать на всех сайтах. Как в браузерах которые запоминают пароль.

Вы доверите все свои банковские аккаунты (включая возможность брать кредит) такому сканеру?

Только в случае утечки данных пароль можно сменить, а отпечаток — нет.

До 9 раз можно сменить[/sarcasm]

Даже до 19 на крайний случай.
21, нос и мочки ушей учесть надо. Локти, в принципе, тоже посчитать можно.
9, 19, 21 а можно узнать подробности этих цифр? Левый указательный палец руки имеет другой отпечаток и отличается от правого? Как использовать локти в качестве слепка? Я просто не в курсе ограничений таких сканеров и слабо знаком с их работой.

Можно использовать любой участок кожи где есть, собственно, узор кожи. Да, он у разных пальцев отличается.

НЛО прилетело и опубликовало эту надпись здесь
Тюкнул аккуратно по голове киянкой и даже упрашивать ввести пароль не надо.
Не обязательно — было уже малая лет 7 пока мама спала разблокировала iPhone отпечатком
и накупила в игрушке себе много всего полезного
пока у мамы деньги на карте не закончились
У самсунга в настройках сканера есть опция 'использовать для сайтов' правда непонятно как работающая.
LastPass умеет использовать сканер отпечатков на Android И автозаполнять в том числе — на сайтах в Chrome и в приложениях. Да, для этого нужно дать ему соответствующие доступы. И вопрос доверия становится еще более критическим.
А как доставляют сайты на которых нельзя использовать в паролях спец символы или длина пароля ограничена. Вроде и пароль сложный и длина хорошая, но «кхе-кхе… звиняйте, этот пароль не подойдёт». Так и живём, через месяц -> «Восстановить пароль».
А ещё есть ресурсы с «памятью», когда хранят данные о предыдущих паролях и не дают менять на ранее использованный, причём порой помнят в неприлично больших количествах.
Уж лучше двух факторная авторизация для таких параноиков.
Взять например QIWI они насильно заставляют менять пароль через некоторый период и ещё не разрешают использовать старый + приходится ещё извращаться с регистром и и цифрами, в следствие чего пароль забывается, и когда нужно что нибудь оплатить всегда приходится восстанавливать.

Мне кажется, в этом контексте просто нужно упомянуть QWERTYCard.

Чем больше ограничений на вводимый пароль, тем проще организовать брутфорс, т.к. заранее известен его формат, поддерживаемые символы и длина)
А я выиграл войну с паролями.
У меня был мой любимый пароль (ну как был — он до сих пор жив и здравствует, просто нигде не используется). Но каждый умный сервис хочет, чтобы этот пароль был сложнее. То я не могу имя использовать в пароле, то спецсимвол нужен, то еще какая-то галиматья. Умножаем это на то, что пароль надо менять каждые три месяца — и вот у него уже итеративно меняются последние цифры. А потом и буквы, потому что пароль не должен быть «похожим» на прошлый…

Я христом богом молил админов убрать это. Я даже сбрасывал пароль своего коллеги по телефону в саппорт центре, чтобы показать, что процесс восстановления пароля — самое опасное, что можно придумать. Ничего не помогло. Аргумент был непобедим: я что, считаю себя умнее разработчиков Active Directory?

Ну я не смог доказать обратного — видимо потому, что я не умнее. Я просто распечатал пароль и повесил на монитор. Все, теперь секьюрно! Теперь сложно!
С Active Directory все на самом деле просто решается смарт картами. Я своего пароля не знаю (т.е. он где-то в труднодоступном месте записан и я им никогда не пользуюсь). Вхожу по смарт карте, на которой не надо пароль менять. При наличии TPM на компьютере, можно виртуальную смарт карту сделать.
Я практически не знаю Windows. Не готов изучать целый набор новых технологий только ради пароля :-)
ставить пароль в 8 символов или короче — все равно что вообще его не ставить

Почему все так зациклены на атаке на хеш? Да, современными вычислительными средствами можно подбирать пароли. Но ведь если злоумышленник заполучил хеш вашего пароля, то скорее всего он получил и все остальные ваши данные, а в такой ситуации стойкость пароля это уже не самая большая проблема.

Я считаю, что стойкий пароль в 8 символов — это нормально. API аутентификации должен предотвращать брут форс.
https://www.stihi.ru/reg.html Зарегистрируйся попробуй здесь!)))
Мне тут ВТБ Онлайн предложил создать пароль от 8 до 20 цифр (да-да, никаких букв и упаси Ктулху спецсимволов), да чтоб не было двух одинаковых подряд. Восхитительная безопасность.
В один прекрасный день надоело уже 100500-ый раз создавать регистрацию на очередном сайте и всё это в тетрадь беречь, что решил как-то облегчить себе жизнь. Сделал двух факторную аутентификацию во всех основных сервисах. Где возможно, захожу через соц. сеть. В других местах пользуюсь KeePass, который защищен длинным хорошим паролем и ключ файлом на флешке. Так, теперь во всех сайтах если нужен пароль могу хоть 100 знаков туда сгенерировать, так как запоминать нет надобности, в случае чего с легкостью можно вернуть доступ. И того, из н-того количества сайтов нужно запомнить всего-то штук 5. Всё остальное делается в пару кликов. На этом проблему для себя закрыл. Жду когда можно будет пройти авторизацию путём отпечатка. Хотя подозреваю, что и это может когда-нить подвести.
Только вот аффтар пошел по тому же пути, по которому все разработчики до него. Вот я не понимаю, почему меня должны ограничивать по максимальной длине пароля? И зачем ограничивать подряд идущие последовательности? И адрес пользователя? Вот хочется мне в качестве пароля каждый раз набрать весь русский, а потом и весь английский алфавит подряд кроме обеих «а», а потом еще и емейл. Да, символы идут подряд, зато эти 56 символов не подбираются ни перебором, ни словарём просто потому, что никому в голову не придёт что я реально их столько указываю. Ничего надежнее вы все равно не придумаете. А запоминать — легче легкого. И кстати в наш век утилит для хранения паролей 95% времени этот пароль может автоматически вводиться откуда-нибудь с е-токена.
Резюме: нужно считать сложность и взломостойкость пароля на этапе регистрации в баллах. За определенную узнаваемую последовательность добавлять определенное же количество баллов. Одна буква или цифра — тоже определенное количество баллов. И разрешать к регистрации пароли, набравшие нужное количество баллов. Алгоритм конечно же будет сложнее, зато эффекта больше.
Пацаны и девчата, я вообще не вкуриваю о чем речь, но мне кажется ВСЕ всё пере усложняют. Неужели нельзя сделать ОПЕН СОРС с авторизацией, тупо одна авторизация. Где ты регистрируешься, а потом как через социалку входишь на любой сайт. Как было в Ucos, как сейчас граватарар через WordPress blog.
Зачем люди придумывают тысячи реализаций выполняющих одну и ту же функцию. Никого же не парит яндекс uid на всех сайтах. Так почему бы не сделать общую авторизацию, открытую систему. На таких сайтах обычно больше комментирования и опросников, подписонов дальше не идет. Я считаю это неплохой старт для публичных централизованных методов авторизаций.

Кто будет контролировать эту единую авторизацию, вернее аутентификацию? Могу ли я ему доверять как пользователь? А как владелец сервиса?

Кто владелец блокировщиков рекламы, могу ли я ему доверять как пользователь и он не будет сливать переписки с соц.сетей к себе?
А если серьёзно, то рано или поздно мы все к этому придём, сейчас больше проблема самого стандарта аутентификации и/или завышенные требования к ним. Для простых сайтов использующих данный виджет не нужно делать регистрацию по паспорту, мобиле. Взгляни на сервис комментирования disqus, встраивается двумя строчками кода, а красота какая. Сделать к примеру, что если в месяц меньше 10 тысяч обращений в систему авторизации, то бесплатно, иначе "… пошли тарифы".

Блокировщик рекламы даже близко не стоит по важности с единым центром(сетью) авторизации. Если вдруг подобный центр появится и все сервисы перейдут на него, то во власти этого центра полностью заблокировать активную сетевую жизнь пользователя. Ни тебе доступа к банковским счетам, ни к госуслугам, ни к социальным сетям со множеством контактов, ни к почте и мессенджерам, ни к играм, в развитии аккаунта которых ты годы положил, вообще ни к чему, где хранится твоя нужная и конфиденциальная информация, обнуление заработанной репутации.


Это даже не касаясь возможности утечек и не авторизованного доступа.

Кто владелец блокировщиков рекламы, могу ли я ему доверять как пользователь и он не будет сливать переписки с соц.сетей к себе?

Блокировщиков — много.
Почти все они — opensource и можно посмотреть код. Или свой написать, того или иного качества, попробовать если паранойя совсем замучила или по каким то другим причинам хочется. И пишут ведь люди — тот же Adhell для Samsung'ов который без рута (и прокси) блокирует во всех приложенияхю (статья на хабре есть).
Сами блокировщики и списки по которым они работают — вполне могут делаться (и делаются) разными людьми.

А (почти) единая аутентификация уже есть как бы — называется 'Войти через Facebook'. Более миллиардов потенциальных пользователей кто уже имеет аккаунт и может войти сайт одной кнопкой.
Вот только всякие нехорошие пользователи жалуются (особенно в Европе) что Facebook сам факт наличия кнопок 'войти' — использует для слежки за пользователями.

Обычно делаю так:
1. при регистрации пользователя не даю вводить пароль, но программирую автоматическую генерацию пароля и отправляю данные аутентификации на почту пользователя;
2. в личном кабинете пользователь может изменить пароль на свой, но при этом обязательно привожу несколько предложений о безопасности в виде предупреждения о персональной ответственности.
о да. Ваш котёл уже почищен, разогрет и ожидает вас
Благодарю за аргументированный ответ. Хотелось бы конструктивный диалог, но Ваше красноречие выше любой диалектики.
  1. Отправляете пароль открытым текстом по почте
  2. "Может изменить", а не "должен".

Если и отправлять по почте пароль, то исключительно одноразовый. Но тогда проще и удобнее отправлять одноразовую ссылку, по которой пользователь должен задать пароль.

Согласен на счёт «одноразовости» как пароля, так и ссылки.
Хотите аргументированный? хорошо:
отправляю данные аутентификации на почту пользователя;

Хранить пароль в почте не безопасно по определению, если это не одноразовый пароль/ссылка

в личном кабинете пользователь может изменить пароль на свой

А может и не заменить. А может опять поставить «123упячка321» как и собирался изначально.

Согласен на счёт «одноразовости» как пароля, так и ссылки.

Тогда зачем вы его генерируете при регистрации? и сообщение выше показывает то, что он не одноразовый

Получается, что вы заставляете сделать лишние телодвижения, результатом которых, в лучшем случае, защита останется на том же уровне, а в худшем ещё и сильно уменьшится
Сложный пароль это, конечно, хорошо. Но вот беречь систему с этим сложным паролем — это куда важнее.
Брутфорс ограничивается рейтами сервера и настройками плюшек безопасности, которые там работают, но вот шутка про 550 лет побора при 1000 в секунду… на новых тесла от nvidia там около 9 миллиардов в секунду.

Вам ни один сервер не позволит настолько часто вводить пароль. Ну а если утекла база с хэшами, там уже без разницы становится.

Для этого и указан акцент про сохранность. Читайте внимательно.

А вот факт утечки — его еще надо установить.
— Вы должны поставить пароль. От 8 до 20 символов, с 5ью буквами набранные не в разных раскладках, без спецсимволов. Не совпадающих с предыдущими паролями и паролями от других аккаунтов. Не сопротивляйся, ты же знаешь, что я заставлю тебя сделать э…
— qwerty1234?
— Да.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий