Недавно встретил ресурс, на котором к паролю выдвигались абсурдные требования:
1. Должен содержать один спецсимвол (это понятно)
2. Должен содержать буквы разных регистров (тут тоже)
3. Не должен начинаться с цифры (начинаются странности)
4. И на закуску. В пароле не должно встречаться повторящихся символов.
Почему нельзя использовать в пассворде пробелы?
Автор panterka, 01 июл 2011 12:27
Сообщений в теме: 25
#21
a.burich
-
- Members
-
- 5 сообщений
Новый участник
- ФИО:Бурич Алексей
- Город:Минск
Отправлено 27 июля 2012 - 09:13
#22
Vasiliy
-
- Members
-
- 2 959 сообщений
Профессионал
- ФИО:Касимов Василий
- Город:Москва
Отправлено 29 июля 2012 - 09:19
Недавно встретил ресурс, на котором к паролю выдвигались абсурдные требования:
...
3. Не должен начинаться с цифры (начинаются странности)
4. И на закуску. В пароле не должно встречаться повторящихся символов.
Что же в них абсурдного.
3. Не исключено, что пытаются работать с введенным значением напрямую. Раз начинается с цифры - быть может это число. Или для пароля по каким-то внутренним причинам применяются те же правила, что и для переменных в языке программирования.
Я сталкивался с системой, где нельзя было задать имя файла для сохранения, которое начинается с цифры.
4. Повторяющиеся символы приводят к более слабому паролю, имхо.
#23
a.burich
-
- Members
-
- 5 сообщений
Новый участник
- ФИО:Бурич Алексей
- Город:Минск
Отправлено 31 июля 2012 - 10:25
Что же в них абсурдного.
3. Не исключено, что пытаются работать с введенным значением напрямую. Раз начинается с цифры - быть может это число. Или для пароля по каким-то внутренним причинам применяются те же правила, что и для переменных в языке программирования.
Я сталкивался с системой, где нельзя было задать имя файла для сохранения, которое начинается с цифры.
4. Повторяющиеся символы приводят к более слабому паролю, имхо.
3. А почему пользователь не может ввести число в качестве пароля? И далеко не факт, что если начинается пароль с цифры, то весь пароль является числом. Можно добавить правило, чтоб пароль содержал хоть одну букву и/или символ. Ну а имена файлов - это уже немного другая область.
4. Ну если отбросить здравый смысл и конкретную реализацию, то без повторяющихся символов есть органиченное количество паролей, которые можно придумать. С использованием повторящихся символов количество возможных паролей, по моему мнению, бесконечно. Ну и невозможность использования повторяющихся символов заставляет выбирать рандомные, не осмысленные пароли. В итоге каждый раз, чтобы воспользоваться этим сервисом, мне приходится жмякать кнопку Forgot password, потому что пароль я забываю и не записываю.
#24
SALar
-
- Members
-
- 2 298 сообщений
Профессионал
- Город:Москва
Отправлено 31 июля 2012 - 15:29
Парольные политики сильно отстают от жизни. На мой взгляд, лет на 40. За это время компьютеры немного изменились и их стало чуть больше...
Возьмем к примеру такой класс систем, как форумы, социальные сети, ... Хороший подход - это подход при котором:
* Пароль генерится
* В базе сервиса не хранятся ни пароли, ни хеши, ни хеши с солью
* Пользователь пароль не знает
* Пароль, или хеш, или хеш с солью никогда не попадает в компьютер (оперативную память) пользователя
* Пароль, или хеш, или хеш с солью никогда не пересылается по сети
* Пароль, или хеш, или хеш с солью никогда не попадает и не обрабатывается сервисом провайдером услуги
* Пароль длинный. Скажем, 256 битный. Или длиннее.
* В запросе на аутентификацию, кроме самого запроса пересылается дайджест хешированный хешем пароля, случайным числом и счетчиком. Счетчик нужен для защиты от реплай атак.
В этом случае ни вирус на ПК пользователя, ни "человек в середине", ни администратор/программист сервиса не может скомпрометировать пароль. И пожалуй что никак.
С технической точки зрения затраты не так уж и велики. Небольшое изменение кода сервиса + пользователю купить перифирии и расходников баксов на 15-25. Честно говоря купил бы. Расход минимален, а степень защиты очень высока.
PS. Да, я немного занимался проектированием и тестированием безопасности.
Возьмем к примеру такой класс систем, как форумы, социальные сети, ... Хороший подход - это подход при котором:
* Пароль генерится
* В базе сервиса не хранятся ни пароли, ни хеши, ни хеши с солью
* Пользователь пароль не знает
* Пароль, или хеш, или хеш с солью никогда не попадает в компьютер (оперативную память) пользователя
* Пароль, или хеш, или хеш с солью никогда не пересылается по сети
* Пароль, или хеш, или хеш с солью никогда не попадает и не обрабатывается сервисом провайдером услуги
* Пароль длинный. Скажем, 256 битный. Или длиннее.
* В запросе на аутентификацию, кроме самого запроса пересылается дайджест хешированный хешем пароля, случайным числом и счетчиком. Счетчик нужен для защиты от реплай атак.
В этом случае ни вирус на ПК пользователя, ни "человек в середине", ни администратор/программист сервиса не может скомпрометировать пароль. И пожалуй что никак.
С технической точки зрения затраты не так уж и велики. Небольшое изменение кода сервиса + пользователю купить перифирии и расходников баксов на 15-25. Честно говоря купил бы. Расход минимален, а степень защиты очень высока.
PS. Да, я немного занимался проектированием и тестированием безопасности.
--
Сергей Мартыненко
Блог 255 ступеней (байки для оруженосца)
facebook (Дети диаграммы Ганта)
ВебПосиделки клуба имени Френсиса Бэкона
#25
Future
-
- Members
-
- 261 сообщений
Опытный участник
- Город:Москва
Отправлено 08 ноября 2012 - 04:18
Правильно ли я понимаю, что Вы предлагает использовать некий токен? Т.е. это может быть как некоторое ЮСБ устройство подключающееся к машине, либо это может быть просто некий внешний девайс который в зависимости от текущего времени генерирует пароль либо что-то еще.
#26
SALar
-
- Members
-
- 2 298 сообщений
Профессионал
- Город:Москва
Отправлено 08 ноября 2012 - 08:28
Нет. Токен не позволяет идентифицировать владельца.Правильно ли я понимаю, что Вы предлагает использовать некий токен? Т.е. это может быть как некоторое ЮСБ устройство подключающееся к машине, либо это может быть просто некий внешний девайс который в зависимости от текущего времени генерирует пароль либо что-то еще.
Я предлагаю кард ридер (POS-терминал) + smart карту. Карта содержит крипто приложение, отвечающее за защиту.
--
Сергей Мартыненко
Блог 255 ступеней (байки для оруженосца)
facebook (Дети диаграммы Ганта)
ВебПосиделки клуба имени Френсиса Бэкона
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
