Здравствуйте, Nik_1, Вы писали:

N_>Тебя удевляет что среди чиновников встречаются тупые, которые принимают тупые законы? Ну ты прям как не в России живешь

Меня удивляет, что ты даже не поинтересовался, чем является PCI DSS и какое он имеет отношение к российским чиновникам, а спорить продолжил

KV>>>>и банк ответственности за его действия в части, касающейся нарушения конфиденциальности его пароля, нести уже не должен.
N_>>>Ага, у банка слямзили базу паролей с серверов, а он ответственность нести не должен лол!

KV>>Откуда взялось выделенное допущение?
N_>Ты сам рассматриваешь случай когда у сервиса базу слямзили

В этой ветке — ни слова об этом не упоминал Разве кража базы пользователей с сервера — единственный возможный канал утечки пароля?

Здравствуйте, kochetkov.vladimir, Вы писали:
N_>>а не над пользователями измываться заставляя их каждый месяц зазубривать очередные '#lenOchka720'.

KV>Приходи к нам в отрасль — покажешь, как надо
Да мне как-то и в моей неплохо платят Уверен что сможете заинтересвать чтоб туда перебрался?

N_>>А слабым звеном тут какраз являются сервера сервиса, а не пользователь.

KV>Пользователь всегда является слабым звеном, хотя бы потому что он неконтролируем владельцем системы, а его поведение недетерминировано и не может быть сформулировано сколь-нибудь формально.

Точно так же можно сказать : админы сервиса всегда является слабым звеном, хотя бы потому что он неконтролируем пользователем системы, а его поведение недетерминировано и не может быть сформулировано сколь-нибудь формально.

N_>>Если нормально защищать свои сервера от взлома и брутфорса, то даже примитивный пароль "lenochka" фиг сломаешь.

KV>Мне хотелось услышать хоть какие-то аргументы в пользу этого утверждения.
При атаке по словарю для подобного пароля будет использоваться словарь где-нить на миллион вариантов, а при наличии в сервисе защиты от брутфорса наврятли злоумышленнику удастся сделать столько попыток.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, Nik_1, Вы писали:

N_>>Тебя удевляет что среди чиновников встречаются тупые, которые принимают тупые законы? Ну ты прям как не в России живешь

KV>Меня удивляет, что ты даже не поинтересовался, чем является PCI DSS и какое он имеет отношение к российским чиновникам, а спорить продолжил
Да мне пофиг кто именно написал, сути это не меняет
KV>>>>>и банк ответственности за его действия в части, касающейся нарушения конфиденциальности его пароля, нести уже не должен.
N_>>>>Ага, у банка слямзили базу паролей с серверов, а он ответственность нести не должен лол!

KV>>>Откуда взялось выделенное допущение?
N_>>Ты сам рассматриваешь случай когда у сервиса базу слямзили

KV>В этой ветке — ни слова об этом не упоминал Разве кража базы пользователей с сервера — единственный возможный канал утечки пароля?
ну и для защиты от какого канала утечки требуется требование менять каждый месяц пароли и делать его вида Luz1XSQc0s? Я тебе писал про те уезвимости которые ты сам упоминал в э той ветке

Здравствуйте, Nik_1, Вы писали:

N_>>>Если нормально защищать свои сервера от взлома и брутфорса, то даже примитивный пароль "lenochka" фиг сломаешь.

KV>>Мне хотелось услышать хоть какие-то аргументы в пользу этого утверждения.
N_>При атаке по словарю для подобного пароля будет использоваться словарь где-нить на миллион вариантов, а при наличии в сервисе защиты от брутфорса наврятли злоумышленнику удастся сделать столько попыток.

А если злоумышленники знают жертву и ее привычки, то начнут с перебора самых простых вариантов и где-нибудь на 3-й попытке откроют аккаунт паролем, совпадающим с именем любимой девушки

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, mrTwister, Вы писали:

T>>А вот интересно, много ли есть людей, которие при принудительной смене пароля новый получают не из старого путем замены одного символа (password1, password2 и т.д.)? Защищенность очень сильно повысились, гемор пользователям добавили не зря!

KV>Есть системы, где подобные меры закрывают слишком мало рисков, чтобы их вводить (да вот, RSDN, например). Есть системы, где их владельцы несут перед пользователями некоторую ответственность, например банки. И банки обязаны вводить подобные меры, как из соображений здравого смысла, так и в соответствии с требованиями стандартнов (PCIDSS, к примеру, если речь идет о процессинге платежных карт). И если пользователь изменяет лишь один символ, хотя его предупреждают о том, что пароль должен быть не похож на предыдущие, то он ССЗБ и банк ответственности за его действия в части, касающейся нарушения конфиденциальности его пароля, нести уже не должен.

То есть ССЗБ ка к был без принудительной смены пароля, так и с ней остался. И чем принудительность от ССЗБ спасает? Буратин столько же, но теперь с геморроем.

Здравствуйте, Working Class Hero, Вы писали:

WCH>Здравствуйте, Nik_1, Вы писали:

N_>>>>Если нормально защищать свои сервера от взлома и брутфорса, то даже примитивный пароль "lenochka" фиг сломаешь.

KV>>>Мне хотелось услышать хоть какие-то аргументы в пользу этого утверждения.
N_>>При атаке по словарю для подобного пароля будет использоваться словарь где-нить на миллион вариантов, а при наличии в сервисе защиты от брутфорса наврятли злоумышленнику удастся сделать столько попыток.

WCH>А если злоумышленники знают жертву и ее привычки, то начнут с перебора самых простых вариантов и где-нибудь на 3-й попытке откроют аккаунт паролем, совпадающим с именем любимой девушки
От социального инжиниринга требование каждый месяц запоминать новый пароль вида Luz1XSQc0s неспасет, ибо он будет записываться где-нибуть, а не запоминаться.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Я повторю еще раз: существует стандарт, который предписывает всем банкам, обеспечивающим процессинг платежных карт, вводить меры по обеспечению безопасности, в т.ч. (я цитирую стандарт http://pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf):

Я спрашивал не с точки зрения стандартов, а с точки зрения здравого смысла. А стандарты могут быть любыми.

Здравствуйте, Nik_1, Вы писали:

WCH>>А если злоумышленники знают жертву и ее привычки, то начнут с перебора самых простых вариантов и где-нибудь на 3-й попытке откроют аккаунт паролем, совпадающим с именем любимой девушки
N_>От социального инжиниринга требование каждый месяц запоминать новый пароль вида Luz1XSQc0s неспасет, ибо он будет записываться где-нибуть, а не запоминаться.

Ну, влезть в квартиру с целью украсть бумажку с паролем — дело несколько более хлопотное, шумное и грязное (в прямом смысле этого слова), чем угадать пароль, имея некоторые вводные данные.

Здравствуйте, Working Class Hero, Вы писали:

WCH>Здравствуйте, Nik_1, Вы писали:

WCH>>>А если злоумышленники знают жертву и ее привычки, то начнут с перебора самых простых вариантов и где-нибудь на 3-й попытке откроют аккаунт паролем, совпадающим с именем любимой девушки
N_>>От социального инжиниринга требование каждый месяц запоминать новый пароль вида Luz1XSQc0s неспасет, ибо он будет записываться где-нибуть, а не запоминаться.

WCH>Ну, влезть в квартиру с целью украсть бумажку с паролем — дело несколько более хлопотное, шумное и грязное (в прямом смысле этого слова), чем угадать пароль, имея некоторые вводные данные.
Зачем влезать Ты ж сам пишешь что хорошо знает человека, и тогда вполне вероятно временами бывает унего дома.

Здравствуйте, Nik_1, Вы писали:

WCH>>Ну, влезть в квартиру с целью украсть бумажку с паролем — дело несколько более хлопотное, шумное и грязное (в прямом смысле этого слова), чем угадать пароль, имея некоторые вводные данные.
N_>Зачем влезать Ты ж сам пишешь что хорошо знает человека, и тогда вполне вероятно временами бывает унего дома.

Хорошо знает != знает, где лежит бумажка.

Здравствуйте, Nik_1, Вы писали:

KV>>Меня удивляет, что ты даже не поинтересовался, чем является PCI DSS и какое он имеет отношение к российским чиновникам, а спорить продолжил
N_>Да мне пофиг кто именно написал, сути это не меняет

По сути — это обязательный для российских банков стандарт, который оны обязаны выполнять, чтобы обслуживать карты Visa на территории РФ. Ты об этой сути или о какой-то другой?

KV>>В этой ветке — ни слова об этом не упоминал Разве кража базы пользователей с сервера — единственный возможный канал утечки пароля?
N_>ну и для защиты от какого канала утечки требуется требование менять каждый месяц пароли

Не каждый месяц, а не реже чем раз в 90 дней, как я написал выше. И я разве где-то сказал, что это мера по устранению канала утечки? Требования периодической смены паролей вводится для:

1. ограничения времени, доступного атакующему, владеющему какой-либо информацией, которая может способствовать воссозданию или подбору пароля.
2. ограничения времени, в течении которого атакующий может использовать скомпрометированный пароль.

N_> и делать его вида Luz1XSQc0s?

это требование вводится для того, чтобы увеличить время, необходимое атакующему для компрометации пароля и сделать его заведомо большим, чем доступное ему, с учетом ограничений, упомянутых выше.

Здравствуйте, mrTwister, Вы писали:

T>То есть ССЗБ ка к был без принудительной смены пароля, так и с ней остался.

Ну, поэтому он и ССЗБ. Не был бы им, не остался бы без принудительной смены пароля.

T>И чем принудительность от ССЗБ спасает?

Кого спасает? Их самих?

T>Буратин столько же, но теперь с геморроем.

И ответственностью за этот гемморой уже на их стороне.

Здравствуйте, Nik_1, Вы писали:

WCH>>А если злоумышленники знают жертву и ее привычки, то начнут с перебора самых простых вариантов и где-нибудь на 3-й попытке откроют аккаунт паролем, совпадающим с именем любимой девушки
N_>От социального инжиниринга требование каждый месяц запоминать новый пароль вида Luz1XSQc0s неспасет, ибо он будет записываться где-нибуть, а не запоминаться.

Тебе дать базу keepassx с записанными в ней паролями?

Здравствуйте, Nik_1, Вы писали:

N_>Здравствуйте, kochetkov.vladimir, Вы писали:
N_>>>а не над пользователями измываться заставляя их каждый месяц зазубривать очередные '#lenOchka720'.

KV>>Приходи к нам в отрасль — покажешь, как надо
N_>Да мне как-то и в моей неплохо платят Уверен что сможете заинтересвать чтоб туда перебрался?

Я это говорил к тому, что легко давать советы, не находясь внутри всего этого, не зная всей "кухни" и даже десятой части тех критериев, на основе которых принимается то или иное решение в рамках выработки контрмер.

N_>Точно так же можно сказать : админы сервиса всегда является слабым звеном,

Админы сервиса тоже его пользователи, только с расширенными правами и...

N_>хотя бы потому что он неконтролируем пользователем системы, а его поведение недетерминировано и не может быть сформулировано сколь-нибудь формально.

... частично контролируемые владельцем системы за счет принятия на себя письменных обязательств в рамках трудового договора, более жесткого регламетирования их деятельности (в т.ч. техническими мерами), грамотного разделения их полномочий и контроля в т.ч. за соблюдением ими парольных политик.

N_>>>Если нормально защищать свои сервера от взлома и брутфорса, то даже примитивный пароль "lenochka" фиг сломаешь. KV>>Мне хотелось услышать хоть какие-то аргументы в пользу этого утверждения.
N_>При атаке по словарю для подобного пароля будет использоваться словарь где-нить на миллион вариантов,

скажи, а вот про миллион, ты сделал вывод на основании каких-то аргументов или так, с потолка взял? Например, в словаре паролей от Грея (http://letitbit.net/download/1525508/33428.316e864f00e53485996577047a85/dic-from-Grey.txt.html
) на 429439 слов, этот пароль находится на 189261 строке

N_>а при наличии в сервисе защиты от брутфорса наврятли злоумышленнику удастся сделать столько попыток.

Как уже сказали, ему вполне может быть известна информация о владельце, которая позволит сделать допущение, что этот пароль нужно попробовать одним из первых. И социальная инженерия тут не всегда нужна, пользователя могут банально звать Леной и это вполне может быть общедоступная информация.

Здравствуйте, Working Class Hero, Вы писали:

WCH>Здравствуйте, Nik_1, Вы писали:

WCH>>>Ну, влезть в квартиру с целью украсть бумажку с паролем — дело несколько более хлопотное, шумное и грязное (в прямом смысле этого слова), чем угадать пароль, имея некоторые вводные данные.
N_>>Зачем влезать Ты ж сам пишешь что хорошо знает человека, и тогда вполне вероятно временами бывает унего дома.

WCH>Хорошо знает != знает, где лежит бумажка.

Хорошо знает != знает какой пароль поставил.

Здравствуйте, мыщъх, Вы писали:

М>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Здравствуйте, mrTwister, Вы писали:

T>>>А вот интересно, много ли есть людей, которие при принудительной смене пароля новый получают не из старого путем замены одного символа (password1, password2 и т.д.)? Защищенность очень сильно повысились, гемор пользователям добавили не зря!

KV>>Есть системы, где подобные меры закрывают слишком мало рисков, чтобы их вводить (да вот, RSDN, например).

М>вообще с паролями ситуация интересная. длинный пароль, состоящий из комбинации букв и цифр -- хрен запомнишь, особенно если не пользуешься им постоянно. вот сейчас у меня возникла необходимость запонить опросник на одном из внутренних ресурсов нашей компании, который меня "проробатывал" года полтора тому назад. для входа нужен пароль. отсылка пароля на мыло не предусмотрена и для его сброса нужно писать прошение в саппорт. интересно, а есть тут на форуме люди, которые вспомнят пароль, который они использовали ровно один раз полтора года тому назад? (при условии, что пароль не записывали и что на разные ресурсы, а их больше десятка, разные пароли, т.к. у них разные требования к паролю и разные требования к смене пароля).

М>ЗЫ. последнее время я в 90% случаев при заходе на ресурс (которым не пользуюсь каждый день) просто тупо сбрасываю пароль, т.к. у меня голова не дом советов. а записывать пароли на папирусе это против правил

Тоже не запомню. Но обязательно занесу новый пароль в базу Password Commander (или KeePass, если пароль рабочий), ибо! А мастер-пароли от баз я не забываю.

Здравствуйте, mrTwister, Вы писали:

T>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Я повторю еще раз: существует стандарт, который предписывает всем банкам, обеспечивающим процессинг платежных карт, вводить меры по обеспечению безопасности, в т.ч. (я цитирую стандарт http://pcidss.ru/files/pub/pdf/pcidss_v2.0_russian.pdf):

T>Я спрашивал не с точки зрения стандартов, а с точки зрения здравого смысла. А стандарты могут быть любыми.

С т.з. здравого смысла, чтобы эта процедура действительно работала, нужно идти до конца и генерировать случайные пароли пользователю без его участия при каждом истечении срока жизни пароля. Процедура смены пароля должна быть реализована точно также.

В любом другом случае, периодическая смена паролей зависима от человеческого фактора и, со стороны владельца системы, является скорее механизмом передачи ответственности на сторону пользователя и, возможно, выполнением требований обязательного стандарта, не более того.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, Nik_1, Вы писали:

WCH>>>А если злоумышленники знают жертву и ее привычки, то начнут с перебора самых простых вариантов и где-нибудь на 3-й попытке откроют аккаунт паролем, совпадающим с именем любимой девушки
N_>>От социального инжиниринга требование каждый месяц запоминать новый пароль вида Luz1XSQc0s неспасет, ибо он будет записываться где-нибуть, а не запоминаться.

KV>Тебе дать базу keepassx с записанными в ней паролями?

Мы тут вроде блондинку обсуждаем, поставившую простой пароль, а не продвинутого пользователя, использующего keepassx Что ты сам там выше по треду говорил про типичного пользователя? Иль когда тебе выгодно, он сразу становится "нетипичным" и весьма продвинутым Толсто...

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, Nik_1, Вы писали:

N_>>Здравствуйте, kochetkov.vladimir, Вы писали:
N_>>>>а не над пользователями измываться заставляя их каждый месяц зазубривать очередные '#lenOchka720'.

KV>>>Приходи к нам в отрасль — покажешь, как надо
N_>>Да мне как-то и в моей неплохо платят Уверен что сможете заинтересвать чтоб туда перебрался?

KV>Я это говорил к тому, что легко давать советы, не находясь внутри всего этого, не зная всей "кухни" и даже десятой части тех критериев, на основе которых принимается то или иное решение в рамках выработки контрмер.
Т.е. проще говоря приминил стандартный прием демагога "сначало добейся".

Здравствуйте, kochetkov.vladimir, Вы писали:
KV>скажи, а вот про миллион, ты сделал вывод на основании каких-то аргументов или так, с потолка взял? Например, в словаре паролей от Грея (http://letitbit.net/download/1525508/33428.316e864f00e53485996577047a85/dic-from-Grey.txt.html
KV>) на 429439 слов, этот пароль находится на 189261 строке

Ну и к чему ты это написал?? По порядку величины я не ошибся, уровень сложности вполне нормально оценил. Чем принципиально при брутфорсе 400к отличается от 1000к