Бред редкосный, такое действительно только в хумор.
Например, вместо того чтоб сделать нормальную защиту от брутфорса, иметь пользователям мозг со сложножностью пароля.
N_>Бред редкосный, такое действительно только в хумор. N_>Например, вместо того чтоб сделать нормальную защиту от брутфорса, иметь пользователям мозг со сложножностью пароля.
Помимо защиты от брутфорса подумайте вот о чем: вы же не можете запретить глупому (считаем по умолчанию) юзеру использовать имя своей кошечки-собачки-любимой девушки-мальчика в качестве пароля. А ведь будут ставить. Так пусть хоть он будет не столь тривиальным, не 'lenochka', а '#lenOchka720' — уже лучше, злоумышленника из числа хорошо знающих данного человека людей это может остановить.
Re[3]: Разработчикам систем парольной аутентификации
N_>>Бред редкосный, такое действительно только в хумор. N_>>Например, вместо того чтоб сделать нормальную защиту от брутфорса, иметь пользователям мозг со сложножностью пароля.
WCH>Помимо защиты от брутфорса подумайте вот о чем: вы же не можете запретить глупому (считаем по умолчанию) юзеру использовать имя своей кошечки-собачки-любимой девушки-мальчика в качестве пароля. А ведь будут ставить. Так пусть хоть он будет не столь тривиальным, не 'lenochka', а '#lenOchka720' — уже лучше, злоумышленника из числа хорошо знающих данного человека людей это может остановить.
А почему из-за пары дураков нормальные пользователи должны страдать? Да и никто не мешает поставить проверку по словарю популярных паролей( который при подборах используют). При этом не ограничивая сложность в виде подобных извращений : '#lenOchka720'. Потому что такой пароль большинство не запомнят, а потому будут записывать, что снижает защищенность.
Да и зачем требовать 20 символов, когда 8 символов если поставить задержку между попытками хотябы минуту за всю жизнь не подберут(даже если там будут только латинские символы в одном регистре).
Re[3]: Разработчикам систем парольной аутентификации
WCH>Так пусть хоть он будет не столь тривиальным, не 'lenochka', а '#lenOchka720' — уже лучше, злоумышленника из числа хорошо знающих данного человека людей это может остановить.
Здравствуйте, Nik_1, Вы писали:
N_>А почему из-за пары дураков нормальные пользователи должны страдать? Да и никто не мешает поставить проверку по словарю популярных паролей( который при подборах используют). При этом не ограничивая сложность в виде подобных извращений : '#lenOchka720'. Потому что такой пароль большинство не запомнят, а потому будут записывать, что снижает защищенность.
Ну конечно, палка о двух концах. Ну сами себе злобные Буратины, если записывают, что поделаешь.
N_>Да и зачем требовать 20 символов, когда 8 символов если поставить задержку между попытками хотябы минуту за всю жизнь не подберут(даже если там будут только латинские символы в одном регистре).
А если квалифицированный хакер сможет действовать непосредственно на сервере и обойти участок кода, отвечающий за задержку? Это же возможно. И сразу же ставим под удар данные пользователей. Кстати, не забывайте про недобросовестных инсайдеров — им ваша схема сильно облегчит задачу. А ведь защита должна предусматривать и такой сценарий.
Ну и плюс задержка — банально снижение юзабилити.
Re[5]: Разработчикам систем парольной аутентификации
Здравствуйте, Working Class Hero, Вы писали:
WCH>А если квалифицированный хакер сможет действовать непосредственно на сервере и обойти участок кода, отвечающий за задержку? Это же возможно. И сразу же ставим под удар данные пользователей. Кстати, не забывайте про недобросовестных инсайдеров — им ваша схема сильно облегчит задачу. А ведь защита должна предусматривать и такой сценарий.
Если у кого-то есть доступ к серверу, то итак уже есть доступ к пользовательским данным. Никтобольшинство сервисов их не шифрует, так что если есть доступ к базам, то и ко всем данным. WCH>Ну и плюс задержка — банально снижение юзабилити.
Для пользователя знающего пароль никакой задержки не будет. А если уж, например, умудрился 10 раз подряд неправильно ввести пароль, то ничего страшного что подождет минуту до следующей попытки.
Разумеется, ваши сервера не халявная рапидшара и нечего позволять пользователям засорять место на жестких дисках своими ублюдскими 20-символьными паролями. 8 символов хватит всем! Это в конце 90-ых всем доступно объяснил Microsoft, если кто не помнит.
Если честно, даже не припомню сайтов с требованием минимальной длины пароля более 8 символов. Не могли бы вы привести примеры таких сайтов?
Re[2]: Разработчикам систем парольной аутентификации
Здравствуйте, Working Class Hero, Вы писали:
WCH>А если квалифицированный хакер сможет действовать непосредственно на сервере и обойти участок кода, отвечающий за задержку? Это же возможно.
Можно (и нужно) сделать так, чтобы это было в принципе невозможно.
Требование слишком длинного пароля крайне неудобно для пользователей и вполне может снижать безопасность системы (будут записывать где ни попадя)
Re[3]: Разработчикам систем парольной аутентификации
Здравствуйте, keenn, Вы писали:
D>>Если честно, даже не припомню сайтов с требованием минимальной длины пароля более 8 символов. Не могли бы вы привести примеры таких сайтов?
K>тут же вроде имеется в виду ограничение на максимальную длину
Темболее, ограничения сверху я еще реже встречал, чем ограничения снизу
Re[4]: Разработчикам систем парольной аутентификации
Здравствуйте, Nik_1, Вы писали:
N_>Бред редкосный, такое действительно только в хумор.
Я тебя тоже искренне рад видеть
N_>Например, вместо того чтоб сделать нормальную защиту от брутфорса, иметь пользователям мозг со сложножностью пароля.
В чем должна заключаться такая защита? Чем она поможет пользователям в случае компрометации сервера, когда у атакующего на руках будут и хэши пароль и значение, используемое в качестве соли?
Здравствуйте, Nik_1, Вы писали:
N_>А почему из-за пары дураков нормальные пользователи должны страдать?
Ты оцениваешь пользовательскую массу, исходя из того, что считаешь себя попадающим по критерии среднестатистического пользователя. Можешь взять любую из утекших в этом году баз пользовательских данных и убедиться в том, что тут речь идет "паре умных" и всех остальных, а не наоборот.
Здравствуйте, Domanser, Вы писали:
D>Если честно, даже не припомню сайтов с требованием минимальной длины пароля более 8 символов. Не могли бы вы привести примеры таких сайтов?
Речь шла об ограничении максимальной длины. Около года назад, когда я писал исходный пост, примерами были сервис заказа билетов РЖД и интернет-банк Альфа-банка, хотя бы. И помимо ограничения длины пароля сверху там было еще и ограничение на используемый алфавит (нельзя было использовать символы, только буквы в обоих регистрах и цифры).
Здравствуйте, keenn, Вы писали:
КВ>>Советы разработчикам систем парольной аутентификации
K>кстати по поводу гуидов как сессионных ключей, чем они особо плохи кроме вероятности вычислять след значение?
Ну, например, у нас, этого в общем-то достаточно, чтобы приложение не было принято в продакшн Криптографическая нестойкость GUID — их единственный недостаток (AFAIK), для использования в качестве ключей сессий. Но он легко устраняется, достаточно подсунуть в конструктор Guid'а в качестве seed'а годную псевдослучайную последовательность, сгенеренную например RNGCryptoServiceProvider'ом.
