С
Size: a a a
2020 September 10
Y
Ограничение пароля и алфавита накладывает так же ограничения на функцию редукции, про это тоже не нужно забывать. Я правда зачехлил ноут, можно я сольюсь с этого разговора? Мы сравниваем теплое с мягким
Вы знаете хэш пароля, вы знаете соль вам нужно решить простую задачу, подобрать пароль с таким же хэшом и «вычесть» из него соль
A
factorio
IV
Это лучше, чем про круглые люки, которые всех задолбали. А иногда важно посмотреть, как у человека работает соображалка.
а про два стула уже спрашивали?
AS
Ограничение пароля и алфавита накладывает так же ограничения на функцию редукции, про это тоже не нужно забывать. Я правда зачехлил ноут, можно я сольюсь с этого разговора? Мы сравниваем теплое с мягким
Да, я понимаю, но в целом у нормальной схемы хранения добавлять ограничение на длину пароля (помимо разумного там в 4-8кб) выглядит как шапочка из фольги - в теории она защищает хоть немного, на практике такие меры выглядят странно - время на перебор пароля уменьшается с двух жизней вселенной до одной. Оба варианта - не пойдут. Ладно, можно слиться, было интересно понять ход размышлений, вдруг 30 символов сбербанка это гениальная находка которая другим неизвестна
J
а про два стула уже спрашивали?
я про два люка пытался но видимо ответ не знают
С
а про два стула уже спрашивали?
Викторину по "Зелёному слонику". Какой самый известный самолет на тихоокеанском театре военных действий в годы второй мировой? Это классика, это знать надо!
DB
Для меня это показалось важным т.к. интересно как в огромной компании, которая обслуживает критические функции десятком миллионов людей и которая имеет имидж технологической компании, профукивает такой базовый компонент.
Если тебе это не важно, то имеешь право на свое мнение. И что? Не интересует - проходи мимо. Но зачем огненно писать о том, насколько эта тема тебя не интересует? Да еще и использовать голословно использовать 42 лямов пользователей да еще и без аргументов? "Большинству из 42 лямов пользователей на это пофиг":
1. про большинство - это голословно. Чтение мыслей.
2. "технические детали не понятны" не тождественно "пофиг"
3. "пофиг для большинства" не тождественно "не важно". Вообще странно представить, что проблемы с безопасностью денег, вкладчиков не интересуют
4. Про "пофиг или не пофиг" вообще не шел разговор. Тут говорили о деталях конкретной косяковой имплементации (разработки и/или СММ). При чем тут вообще десятки миллионов пользователей?
Т.е. такое впечатление, что ты использовал strawman fallacy т.е. построил какое-то своё чучело, которое одарил мнениями, которые никто не говорил, а потом как ураган прошелся и без проблем завалил это пугало и празднуешь победу.
Вот такое у меня создалось впечатление.
Если тебе это не важно, то имеешь право на свое мнение. И что? Не интересует - проходи мимо. Но зачем огненно писать о том, насколько эта тема тебя не интересует? Да еще и использовать голословно использовать 42 лямов пользователей да еще и без аргументов? "Большинству из 42 лямов пользователей на это пофиг":
1. про большинство - это голословно. Чтение мыслей.
2. "технические детали не понятны" не тождественно "пофиг"
3. "пофиг для большинства" не тождественно "не важно". Вообще странно представить, что проблемы с безопасностью денег, вкладчиков не интересуют
4. Про "пофиг или не пофиг" вообще не шел разговор. Тут говорили о деталях конкретной косяковой имплементации (разработки и/или СММ). При чем тут вообще десятки миллионов пользователей?
Т.е. такое впечатление, что ты использовал strawman fallacy т.е. построил какое-то своё чучело, которое одарил мнениями, которые никто не говорил, а потом как ураган прошелся и без проблем завалил это пугало и празднуешь победу.
Вот такое у меня создалось впечатление.
Да, вероятно нарушена одна из общепринятых практик в части работы с паролями.
Но, насколько можно судить, у вас нет каких-то других фактов, чтобы судить почему было сделано именно так (или не сделано как принято в индустрии). Одни домыслы.
Возможно, при двухфакторной авторизации для сбера это совсем некритично, возможно, было подсчитано, что таким образом значительно снижается нагрузка на саппорт и не снижается безопасность на основании исторических данных или внутреннего тестирования. Возможно под капотом есть другие механизмы, которые позволяют утверждать что сужение вариантов в какое-то число раз не является проблемой для бизнеса и пользователей. Никакой информации об этом у вас нет, лишь пара постов некомпетентного сммщика и предположения.
Поэтому я и предлагаю не бежать оголтело с факелами, а попытаться выдвинуть гипотезы, почему было сделано именно так. Людям всегда приятно думать, что там в Сбере сидят тупые, некомпетентные сотрудники, видимо это повышает самооценку.
Но, насколько можно судить, у вас нет каких-то других фактов, чтобы судить почему было сделано именно так (или не сделано как принято в индустрии). Одни домыслы.
Возможно, при двухфакторной авторизации для сбера это совсем некритично, возможно, было подсчитано, что таким образом значительно снижается нагрузка на саппорт и не снижается безопасность на основании исторических данных или внутреннего тестирования. Возможно под капотом есть другие механизмы, которые позволяют утверждать что сужение вариантов в какое-то число раз не является проблемой для бизнеса и пользователей. Никакой информации об этом у вас нет, лишь пара постов некомпетентного сммщика и предположения.
Поэтому я и предлагаю не бежать оголтело с факелами, а попытаться выдвинуть гипотезы, почему было сделано именно так. Людям всегда приятно думать, что там в Сбере сидят тупые, некомпетентные сотрудники, видимо это повышает самооценку.
Y
Да, я понимаю, но в целом у нормальной схемы хранения добавлять ограничение на длину пароля (помимо разумного там в 4-8кб) выглядит как шапочка из фольги - в теории она защищает хоть немного, на практике такие меры выглядят странно - время на перебор пароля уменьшается с двух жизней вселенной до одной. Оба варианта - не пойдут. Ладно, можно слиться, было интересно понять ход размышлений, вдруг 30 символов сбербанка это гениальная находка которая другим неизвестна
Вы размышляете как создатели rsa
S
я про два люка пытался но видимо ответ не знают
надо еще про полотенце
СА
Кто-то явно переиграл в Factorio!
AS
Вы размышляете как создатели rsa
Наверное потому что учился по их материалам :)
Y
Вы размышляете как создатели rsa
Ровно так же думали создатели md5. К слову, свой первый пароль от стейджинга на моей первой работе я зугуглил :)
IV
Y
Вбил в гугл md5 и получил пароль в ответ
Y
Наверное потому что учился по их материалам :)
Ну блин, тогда вы должны знать их историю факапа. Защита информации подразумевает невозможность доступа к информации за время пока эта информация актуальна
AS
Ровно так же думали создатели md5. К слову, свой первый пароль от стейджинга на моей первой работе я зугуглил :)
В отличии от md5 rsa практически стойкий, опять же базовая гигиена паролей bcrypt/pbkdf - хоть и устаревшие рекомендации, задачи свои решают хорошо
VI
какая вообще разница сколько символов, если вводить их надо в том отделении, где карту получал?
Y
В отличии от md5 rsa практически стойкий, опять же базовая гигиена паролей bcrypt/pbkdf - хоть и устаревшие рекомендации, задачи свои решают хорошо
Нельзя так размышлять
СА
Кажется всё же слово Argon2 тут знает меньше людей, чем правила захода в блатную хату(