Почему все считают что смена пароля увеличивает безопасность

Все, что не подходит под определение "старого софта и железа", обсуждается здесь
Аватара пользователя
Rio444
Почётный пользователь
Сообщения: 26861
Зарегистрирован: 14.09.2014,19:11
Откуда: Ростов-на-Дону

Вклад в сообщество

Сообщение Rio444 » 22.05.2016,09:47

CodeMaster писал(а):Не вижу в этом смысла, если только ты не подобрал пароль от Госдепа или Пентагона.
Похоже, Вы ответы не дочитываете:
unterwulf писал(а):На авито, насколько я понимаю, есть платные аккаунты магазинов и кошелёк. Опять же цены конкуренту в объявлениях подкорректировать можно :-)
Ещё можно объявления от чужого имени размещать. Для чего? Тут уже масса вариантов, подсказывать не буду.
Электронка: Изображение копия Изображение

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 22.05.2016,10:00

Rio444 писал(а):Похоже, Вы ответы не дочитываете:
Дочитываю. У меня не магазин, на кошельке рубля не было и таких аккаунтов на Авито - 99%

Например на PayPal у меня (как россиянина) то же денег нет, но есть привязанная карта с копейками на балансе. Однако PayPal за 10 лет ни разу не сбрасывал пароль принудительно. Да и eBay раньше так не делали, это видимо общее поветрие от невежества пошло (или есть какой-то замысел, но с безопасностью он явно не связан)
Rio444 писал(а):Ещё можно объявления от чужого имени размещать. Для чего? Тут уже масса вариантов, подсказывать не буду.
А было бы интересно. За два дня ничего путного не придумал. На сайте Госдепа хоть можно объявление "Русские захватили Вашингтон!" разместить. А тут, ну самое вредное - удалить об'явления. Ну, так их и само Авито может заблокировать вообще без об'яснения причин.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

MsDemonid
Member
Сообщения: 197
Зарегистрирован: 13.10.2015,08:33
Откуда: Пенза

Сообщение MsDemonid » 22.05.2016,11:06

CodeMaster писал(а):Т.е. типа кто-то заслал мне трояна и через Авито просит сменить пароль, что бы его узнать ;-)
Зачем просить? Он просто мониторит все набранное в браузере и терпеливо ждет пока rambler, avito или yandex сами не попросят сменить пассворд. А эти сволочи регулярно просят, правда пока еще им можно отказать.
CodeMaster писал(а):А было бы интересно. За два дня ничего путного не придумал. На сайте Госдепа хоть можно объявление "Русские захватили Вашингтон!" разместить. А тут, ну самое вредное - удалить об'явления. Ну, так их и само Авито может заблокировать вообще без об'яснения причин.
На самом деле причин использовать чужой аккаунт много. Например, я могу воспользоваться чьим то аккаунтом в соц. сетях для распространения только что написанного трояна (а значит он пока еще не детектится антивирусом), так как люди гораздо доверчивее кликают по присланным им ссылкам от друзей, чем от незнакомцев. Они же не знаю, что аккаунт их друга был взломан ;) Посадив им трояна можно вытянуть из компов немало интересного.
Собственно соц. сети и являются самым огромным рассадником различной заразы.

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 22.05.2016,15:34

MsDemonid писал(а):А эти сволочи регулярно просят, правда пока еще им можно отказать.
Как? Они не просят, они просто сбрасывают старый.
MsDemonid писал(а):Например, я могу воспользоваться чьим то аккаунтом в соц. сетях
Я конкретно про Авито.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 31.08.2018,06:22

В очередной раз столкнулся с тупостью связанной с паролями, на этот раз на сайте госуслуг. Требования в паролю состоят из 5 пунктов, которые требуют длину более 8 символов и использование всех вариантов латинских символов и знаков препинания. При этом пароль Nnnnnn1. который по оценке https://password.kaspersky.com/ru/ требует на подбор 4 часа подходит, а пароль nhfyrdbkbpfnjh с оценкой времени подбора в 3270 лет нет. Ну, не маразм ли это?
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
xCat
Advanced Member
Сообщения: 869
Зарегистрирован: 02.12.2016,20:47
Откуда: Nsk

Сообщение xCat » 03.09.2018,22:53

Мне кажется от частоты смены паролей сервисов не зависит вероятность их утечки. Это миф который придумали для того чтобы оправдать низкую защиту своих серверов и повсеместный слив данных третьим лицам. Проще простого всегда сказать, а это не мы, это у Вас вирус какойто наверное и в прошлом месяце Вы не меняли пароль, но мы же говорили.
Вы же не меняете все замки от дверей квартиры, гаража, дачи каждый год, на всякий случай. А вот если Вы будете регулярно давать эти ключи то ремонтникам, то еще кому, малознакомым людям, то от ежегодной смены замков вероятность взлома квартиры не уменьшиться)) В данном случае малознакомые люди это сам онлайн сервис просящий Вас сменить пароль))))

Аватара пользователя
sanders
Advanced Member
Сообщения: 9361
Зарегистрирован: 26.03.2008,14:47
Откуда: Санкт-Петербург

Вклад в сообщество

Сообщение sanders » 03.09.2018,23:32

Мне кажется, что требование смены пароля проистекает не от периодичности, а от изменения требований конкретного ресурса к паролям пользователей. Сменились требования - меняй пароль. После того, как я много(!) лет назад "изобрел" пароль (по требованию molotok.ru, кстати), который на латинской раскладке (на экране) выглядит абракадаброй, но при этом на русской раскладке он выглядит вполне приятным словом и легко мной запоминлся таким образом, ни один из сайтов (Госуслуг, Сбер.онлайн, Мешок, всяческие xАукционы, Авито, Ali, Ebay и т.д., и т.п.) ни единого раза не попросил сменить пароль. Вот уже несколько(!) лет.

Кстати, Ваш, CodeMaster, пример со словом "nhfyrdbkbpfnjh", сразу же натолкнул меня на мысль проверить его, глядя на русскую раскладку. И я не ошибся в подозрении. Так что я бы не оценивал его взломоустойчивость в 3270 лет. Так, минуты-часы, максимум, если работать по словарю, а не перебором. Пусть меня заметят в Касперском, поменяю работу :-)

Аватара пользователя
Rio444
Почётный пользователь
Сообщения: 26861
Зарегистрирован: 14.09.2014,19:11
Откуда: Ростов-на-Дону

Вклад в сообщество

Сообщение Rio444 » 04.09.2018,08:04

sanders писал(а):Авито, Ali, Ebay
Вы не путайте. На этих сайтах вполне вменяемые администраторы. Ebay так вообще для меня пример. Быстро грузится, нормально работает даже на устаревших браузерах. Пароль просит только когда реально надо.
Электронка: Изображение копия Изображение

Аватара пользователя
EJSanYo
Advanced Member
Сообщения: 414
Зарегистрирован: 27.12.2007,23:55

Вклад в сообщество

Сообщение EJSanYo » 27.09.2018,01:25

Я лично из-за этих "смен пароля" до сих пор имел только проблемы. В частности, на работе админы выставили в домене обязаловку менять пароль каждый месяц. И пару раз было, пароль сменил, автологин себе поставил...а записать забыл. Или записал с ошибкой. И через месяц я его уже, само собой, не помню, поскольку доменные правила наших параноиков ещё и не дают поставить что-то простое и запоминающееся! Приходилось самому себе хакать винду, добывать свой же пароль из дампа памяти. :mad: У колеги тоже однажды такая ситуация случилась, "помогал" ему таким же образом.
Другой раз, помню, только пароль сменил, как тут на всём предприятии свет вырубился, а там на серваке, видать, что-то не синхронизировалось. И всё, комп из домена вывалился, поскольку пароли не совпадают, и сменить их уже никак. Идём на поклон к админу. :08:
И что? Всё равно однажды какой-то Petya-подобный троян невесть откуда прилетел и на половине компов юзерские папки зашифровал. Несмотря на все старания.
PS А ещё пару почтовых аккаунтов потерял было дело, неловко сменив пароль.
Хорошо иметь DOOM-ик в деревне!

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Сообщение CodeMaster » 27.09.2018,12:14

xCat писал(а):Это миф который придумали для того чтобы оправдать низкую защиту своих серверов и повсеместный слив данных третьим лицам.
Всё больше в этом уверен. Но мне сейчас больше интересен не вопрос смены паролей, а неадекватных требований к ним и их использованию. Такое очучение, что это политику разрабатывают не специалисты по безопасности, а какие-то маркетологи-креативщики.
sanders писал(а):Мне кажется, что требование смены пароля проистекает не от периодичности, а от изменения требований конкретного ресурса к паролям пользователей. Сменились требования - меняй пароль.
Не, с таким не сталкивался, наоборот у меня был аккаунт на eBay с бородатым паролем, который бы уже давно не проходил по их современным требованиям, пока eBay его не сбросил (но по другим причинам).
sanders писал(а):ни один из сайтов (Госуслуг, Сбер.онлайн, Мешок, всяческие xАукционы, Авито, Ali, Ebay и т.д., и т.п.) ни единого раза не попросил сменить пароль.
Зависит от того как ими пользоваться или не пользоваться, но на Qiwi например пароль более года установить нельзя.
Rio444 писал(а):Ebay так вообще для меня пример. Быстро грузится, нормально работает даже на устаревших браузерах.
Задрали только экспериментами с интерфейсом и сохранённые поиски как пару лет назад покорёжило, так с косяками и работают. Но это лирическое отступление. А кто реально пример для меня, так это PayPal (хотя иксперименты с интерфейсом ради икспириментов тоже в наличии), несмотря на то, что держат лапу на бабках, требования к паролям простые, менять не требуют и проблем никогда не было.
EJSanYo писал(а):а записать забыл. Или записал с ошибкой.
Или записал и приклеил к монитору ;-)
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5527
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 27.09.2018,12:24

CodeMaster писал(а):несмотря на то, что держат лапу на бабках, требования к паролям простые, менять не требуют и проблем никогда не было.
А что им, живут на проценты, больше операций - больше дохода. :) И не важно, легальные операции или нелегальные.

Ответить