New password

[Marmot]

А вот нафига ты про эти проблемы, пишешь в топике про пароли? Вот поэтому и они так делают...

типа отмазался
Но проблема существует.
И те, кто делают софт то-ли о ней не подозревают, то-ли просто не хотят усложнять написание программы.
А юзеры пускай сами учат, какое меню открыть, и что в нем найти

Кто мешает тебе выдумать порох непромокаемый? (с)

[akela]

а вот кто-нть мне внятно может объяснить, накой пёс вообще затеяна вся эта котовасия с периодической обязательной сменой паролей, да ещё на такие, которые точно никто никогда не запомнит, и которые обязательно будут где-то записаны вместо того, чтобы быть запомненными? какому мудрецу пришло в голову, что это будет секюрней, и с какого бодуна? я уже лет пятнадцать или двадцать ломаю голову над этой загадкой.

есть еще один интересный вопрос:
пароль из 25 букв "А" и пароль из 25 рандомных символов с точки зрения взлома одинаково сложны, или нет?

Несколько десятков тысяч паролей, использованных более чем одним человеком, давно известны и находятся в свободном доступе, перебрать как нефиг делать, при желании...
Я повторюсь, все это кажется идиотизмом, пока ваши данные кто-то не выпотрошил и вас не поимели со всех сторон: ваши юзеры, ваши инвесторы, сами хакеры, правительство, etc...

я не про идиотизм, если что.

алибабаАЛИБАБАаЛиБаБа
45?%)(ПНДТРКВД%:*)_?()_Б

Что сложнее взломать?

Я подозреваю, что одинаково, но я могу быть неправ... тут надо у профессионалов спрашивать...

не профессионал, но скормил обе строки онлайн-калькулятору шенноновской энтропии.
У первой энтропия 2.76, у второй 3.97

[LeeVan]

А вот нафига ты про эти проблемы, пишешь в топике про пароли? Вот поэтому и они так делают...

типа отмазался
Но проблема существует.
И те, кто делают софт то-ли о ней не подозревают, то-ли просто не хотят усложнять написание программы.
А юзеры пускай сами учат, какое меню открыть, и что в нем найти

Кто мешает тебе выдумать порох непромокаемый? (с)

да тут не в непромокаемости дело, а в том, что создатели инструмента очень часто слабо представляют себе как он реально используется.

[LeeVan]

У первой энтропия 2.76, у второй 3.97

дык это понятно и без калькулятора.
Первый пароль - структура повторенная три раза.
Что касается взлома как такового, это еще вопрос, так ли они сильно отличаются.

[Marmot]

А вот нафига ты про эти проблемы, пишешь в топике про пароли? Вот поэтому и они так делают...

типа отмазался
Но проблема существует.
И те, кто делают софт то-ли о ней не подозревают, то-ли просто не хотят усложнять написание программы.
А юзеры пускай сами учат, какое меню открыть, и что в нем найти

Кто мешает тебе выдумать порох непромокаемый? (с)

да тут не в непромокаемости дело, а в том, что создатели инструмента очень часто слабо представляют себе как он реально используется.

а у тебя есть выбор?

[akela]

У первой энтропия 2.76, у второй 3.97

дык это понятно и без калькулятора.
Первый пароль - структура повторенная три раза.
Что касается взлома как такового, это еще вопрос, так ли они сильно отличаются.

если алгоритм ломания совсем тупой, и просто перебирает всё подряд, то не сильно.

Если он начинает с более лёгких для запоминания паролей и затем переходит к более трудным, то строка с меньшей энтропией вероятно будет протестирована раньше.

[LeeVan]

а у тебя есть выбор?

если я создателям софта не буду озвучивать свое мнение, так у меня выбора еще сто лет не будет
А так глядишь, может кто задумается и решит попробовать.

[LeeVan]

У первой энтропия 2.76, у второй 3.97

дык это понятно и без калькулятора.
Первый пароль - структура повторенная три раза.
Что касается взлома как такового, это еще вопрос, так ли они сильно отличаются.

если алгоритм ломания совсем тупой, и просто перебирает всё подряд, то не сильно.

Если он начинает с более лёгких для запоминания паролей и затем переходит к более трудным, то строка с меньшей энтропией вероятно будет протестирована раньше.

я не в курсе, как оно на самом деле.
Просто мысли вслух.

[Waterbyte]

Несколько десятков тысяч паролей, использованных более чем одним человеком, давно известны и находятся в свободном доступе, перебрать как нефиг делать, при желании...
Я повторюсь, все это кажется идиотизмом, пока ваши данные кто-то не выпотрошил и вас не поимели со всех сторон: ваши юзеры, ваши инвесторы, сами хакеры, правительство, etc...

а я готов поспорить, что потрошения и поимения происходят не путём перебора нескольких десятков тысяч паролей из свободного доступа, а через заботливо оставленную кем-то приоткрытой двёрку. можно менять пароли и ужесточать парольную политику хоть до усёра, но если двёрка так и будет приоткрытой, то никакого смысла этот онанизм не имеет. ну, кроме, конечно, того, о котором станислав упомянул.

[LeeVan]

а я готов поспорить, что потрошения и поимения происходят не путём перебора нескольких десятков тысяч паролей из свободного доступа, а через заботливо оставленную кем-то приоткрытой двёрку.

+1

[Marmot]

а я готов поспорить, что потрошения и поимения происходят не путём перебора нескольких десятков тысяч паролей из свободного доступа, а через заботливо оставленную кем-то приоткрытой двёрку. можно менять пароли и ужесточать парольную политику хоть до усёра, но если двёрка так и будет приоткрытой, то никакого смысла этот онанизм не имеет. ну, кроме, конечно, того, о котором станислав упомянул.

Это процесс многослойный, лезут через дверку/дырку, утягивают хеши паролей конкретных юзеров и алгоритмы засолки, ищут/ломают самые простые, из списка, имееют этих юзеров во все дыры, через эти дыры лезут дальше...
Кстати, для хакеров, самая любимая цель на втором этапе, это всякие криптоэксченжи, там проще всего бабло вывести, а если это state actors, так там вообще вынос мозга, все по высшему разряду, следов по минимуму, они точно знают, что им нужно, делают все быстро и четко...
Так что, лучше перебдеть, чем недобдеть...

[akela]

Думаю что если злоумышленник залезет ночью в какую-нибудь контору, и потратит хотя бы полчаса на то чтобы переворачивать клавиатуры, мышки и их коврики во всех подряд кубиклах, то он будет вознаграждён за своё усердие и терпение.

[LeeVan]

Думаю что если злоумышленник залезет ночью в какую-нибудь контору, и потратит хотя бы полчаса на то чтобы переворачивать клавиатуры, мышки и их коврики во всех подряд кубиклах, то он будет вознаграждён за своё усердие и терпение.

можно еще принтер какой-нить повести и на пять рублей канцелярских принадлежностей.
Будет совсем хорошо и всем понятно.
Приходили бомжи, потянули что под руку попалося.

[Marmot]

Думаю что если злоумышленник залезет ночью в какую-нибудь контору, и потратит хотя бы полчаса на то чтобы переворачивать клавиатуры, мышки и их коврики во всех подряд кубиклах, то он будет вознаграждён за своё усердие и терпение.

В конторах, в которые можно залезть ночью, пароли будут не самой главной проблемой...

[LeeVan]

У Сбербанка новая пробоина в безопасности. Продаются новые данные о клиентах банка, впрочем, Сбер сразу же ушел в отказ и категорически всё отрицает. Учитывая, что времени уточнить ситуацию у него, скорее всего, просто не было, опровержение дается в рамках обычной корпоративной установки - отрицать любую плохую новость, а там разберемся.

Как удалось выяснить “Ъ”, на одном из теневых интернет-ресурсов выставлена на продажу база данных клиентов Сбербанка. Кроме полных данных о клиенте продавец также предлагает запись последнего разговора клиента с колл-центром банка.

База формируется с 2015 года и обновляется еженедельно. За последние три недели октября в нее добавилось 19 823 строки. В пресс-службе Сбербанка отрицают новую утечку.

В разговоре с “Ъ” продавец базы сообщил, что выступает перекупщиком и продает одну строку за 30 руб. Данные продаются в любом объеме, при этом покупатель может даже назвать интересующие его критерии, по которым будет сформирована выборка (по региону, сумме на карте или размеру долга). В выгрузке, представленной “Ъ”, оказались данные из десяти территориальных банков (всего их у Сбербанка одиннадцать).

сто пудов никто там пароли не перебирал