Почему все считают что смена пароля увеличивает безопасность

Все, что не подходит под определение "старого софта и железа", обсуждается здесь
Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Почему все считают что смена пароля увеличивает безопасность

Сообщение CodeMaster » 10.12.2019,23:03

Изображение
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
misha_weba
Advanced Member
Сообщения: 332
Зарегистрирован: 14.04.2017,11:32
Откуда: СПб
Контактная информация:

Почему все считают что смена пароля увеличивает безопасность

Сообщение misha_weba » 12.12.2019,01:32

Дело в том, что компании
а) иногда хранят пароли в открытом виде
б) не всегда имеют качественный и безопасный код
в) частенько бывают так или иначе похаканы
г) умудряются иногда продать диск с бэкапами на барахолке

Но проблема обычно в том, что пользователь почти никак не может оперативно узнать, что его пароль скомпрометирован, если злоумышленники достаточно осторожны. Тут лучше по интересующим сервисам погуглить наличие взломов/утечек - и вот в этом случае менять максимально оперативно.
7700K/32G/30T+/1070; C633/384M/20G/GF4/3.5"+5.25"; 80386/2M/256M/GD610/3.5";

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Почему все считают что смена пароля увеличивает безопасность

Сообщение CodeMaster » 12.12.2019,07:37

misha_weba писал(а): 12.12.2019,01:32 Дело в том, что компании
Т.е. компании которые регулярно принудительно и беспричинно заставляют ежегодно менять пароль (например Qiwi) полностью соответствуют перечисленным ниже пунктам?

Ещё меня интересует сервисы с тупейшими требованиями к паролям делающими их незапоминаемыми (как в комиксе (а если это ещё и возводится в степень постоянной смены :-[ - что за проблемы у них?
misha_weba писал(а): 12.12.2019,01:32 Но проблема обычно в том, что пользователь почти никак не может оперативно узнать, что его пароль скомпрометирован, если злоумышленники достаточно осторожны. Тут лучше по интересующим сервисам погуглить наличие взломов/утечек - и вот в этом случае менять максимально оперативно.
Примерно так и получается, если сервис нужный и важный, то о компрометация ты узнаешь последним, а если нет, то такое очучение, что они используют запрос о смене пароля как спам-рассылку для привлечения к себе внимания :-(
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Почему все считают что смена пароля увеличивает безопасность

Сообщение CodeMaster » 16.12.2019,09:04

И в это же время топ-3 используемых паролей:
1. 12345
2. 123456
3. 123456789
Обзор не пруфирован (по данным анонимных источников), но первый вопрос не в этом, а в том, что не очень понятно откуда слиты эти пароли, из мобилок, из корпоративных сетей и т.д. Ну, и вообще, это реклама менеджера паролей, но в чём ИМХО суть - большинство этих паролей было слито. Т.е., какой ты правильный пароль не используй, это никак не защитит. Пока единственным доступным методом является пожалуй только двухфакторка. Но, парадокс в том, что кроме того, что она сама по себе добавляет гиморра, т.к. ещё и сервисы не дифференцируют требования к сложности паролей для обычной и двухфакторной авторизации (для которой использование "12345", в принципе, нормально) отчего отпугивают пользователей от её использования.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Почему все считают что смена пароля увеличивает безопасность

Сообщение CodeMaster » 23.12.2019,09:49

Вот сегодня опять прилетело от фКонтакте:
, мы обнаружили подозрительную активность и временно заморозили Вашу страницу, чтобы вырвать её из рук злоумышленников.
Ясно, что наличии двухфакторки скомпрометировать пароль нельзя, т.к. иначе глупо восстанавливать доступ через тот же телефон через который он был скомпрометирован. В принципе, нет особого смысла обсуждать систему безопасности соцсети для школоты, просто интересно, зачем они это делают :-/ Лишний раз привлечь к себе какое-то внимание или просто глупость ИТишников?
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

unterwulf
Member
Сообщения: 163
Зарегистрирован: 11.08.2014,13:46
Откуда: Санкт-Петербург

Почему все считают что смена пароля увеличивает безопасность

Сообщение unterwulf » 23.12.2019,19:51

CodeMaster писал(а): 23.12.2019,09:49 Ясно, что наличии двухфакторки скомпрометировать пароль нельзя
Зато можно, например, из вашей незакрытой сессии (на публичном компьютере, потерянном телефоне и т.п.), не зная вашего пароля, спамить от вашего имени.

unterwulf
Member
Сообщения: 163
Зарегистрирован: 11.08.2014,13:46
Откуда: Санкт-Петербург

Почему все считают что смена пароля увеличивает безопасность

Сообщение unterwulf » 23.12.2019,19:56

CodeMaster писал(а): 16.12.2019,09:04 Обзор не пруфирован (по данным анонимных источников)
Есть сайт, где сливы пользовательской информации регистрируруют (хотя кто эти люди, я не выяснял): https://haveibeenpwned.com/

Аватара пользователя
CodeMaster
Advanced Member
Сообщения: 7669
Зарегистрирован: 27.08.2010,11:17
Откуда: Воронеж
Контактная информация:

Вклад в сообщество

Почему все считают что смена пароля увеличивает безопасность

Сообщение CodeMaster » 23.12.2019,20:17

unterwulf писал(а): 23.12.2019,19:51 Зато можно, например, из вашей незакрытой сессии
Можно, но я на 99,999% уверен, что этого не было. Это возможно как-то связано связано с попытками восстановления пароля с левых IPшников, но прямой зависимости нет. Летом меня донимали этим, но СБ ВК это было пофиг, до того было так, что страницу блочили после первой попытки. В общем, коллаборативная фильтрация, что с неё взять, железяка она и есть железяка.
"Во времена всеобщей лжи говорить правду - это экстремизм" © Джордж Оруэлл, "1984"

geg
Advanced Member
Сообщения: 12303
Зарегистрирован: 21.11.2010,12:04

Почему все считают что смена пароля увеличивает безопасность

Сообщение geg » 12.01.2020,08:23

CodeMaster писал(а): 10.12.2019,23:03 Изображение
В словаре 8192 слов; бит/слово: 13.0
Генерируется слов: 20 ; бит: 260.0

дора курок белила грозд борик
магма мародер клев клуб колонный
господин снайпер синагога перемет плотник
графика столетие азот разворот покуда

Аватара пользователя
DonkeyHot
Advanced Member
Сообщения: 3601
Зарегистрирован: 24.03.2017,14:11
Откуда: Балашиха

Почему все считают что смена пароля увеличивает безопасность

Сообщение DonkeyHot » 14.01.2020,06:28

Мой опыт. 31 декабря в 12 дня вдруг начали приходить на почту уведомления от левых людей на левые обьявления авито. Поскольку компьютер с этим аккаунтом авито а) был с лета выключен, б) там линукс, то есть утащить пароль с компа маловероятно, сделал вывод о дырке самой авиты.
На авито аккаут привязан к ящику и сменить его вроде никак а телефон меняется легко.
ZX/XT Самоделкин
Продам <- обновляю без апа, заходите.

v0f41k
Advanced Member
Сообщения: 1128
Зарегистрирован: 14.05.2012,15:38
Откуда: Киев

Почему все считают что смена пароля увеличивает безопасность

Сообщение v0f41k » 15.01.2020,07:14

пароли делаю сложные из рандомного символьного мусора. Запомнить сложно, но когда запомнил удобно.
А вот менять придумал какой-то чудак на букву м. Поэтому меняю по определенному принципу (если новый пароль забыт его можно вычислить из старого). Если сервис не связан с деньгами - безопасность ваще пофиг.
Двухфакторная авторизация повышает безопасность, вот только реализация её часто не позволяет выбрать что-либо иное кроме sms на номер gsmоператора. Если человек использует не GSM связь: городской, cdma, voip то фактически он не может воспользоваться некоторыми сервисами.

Ответить