O
Правда добавил бы в правила 1 обязательную цифру, уже словарь бы проходился нормально.
Size: a a a
2020 November 06
GL
цифра есть, да
GL
у нас еще когда другому человеку создаешь пароль, мы не разрешаем свой вводить. вот это сильно повысило безопасность
O
ну тогда надо весьма сильно упороться, чтобы попасть прям в словарь:)
GL
потому что у нас народ создавал типа 10 аккаунтов своим сотрудникам, и все 10 были с одним паролем
GL
сейчас это невозможно
A
потому что у нас народ создавал типа 10 аккаунтов своим сотрудникам, и все 10 были с одним паролем
ещё б, он у них на стикере в офисе висел
O
Во, про сбер вспомнил и тут же про свой ING банк. Эти чуваки пароли открытым текстом в базе хранят. Потому что при логине просят ввести определенные символы из пароля, а не его целиком. Как-то неприятненько...
AB
>"вы используете этот пароль еще где-то и он наверное утек"
ну сервис может и проверять на подобное(знакомые моего знакомого так делали), но реакцию от пользователя можно получить неоднозначную. соотв. можно проверить по хешам на совпадение с базой утекших и тем пользователям у кого совпадает принудительно пароль сбросить во имя безопасности. и сервису гемороя меньше, т.к. иногда действительно приходят с такими базами с разных ip и начинают пытаться подбирать пароли. при этом просто на каждую пару емейл+пароль будет одна попытка входа и всё. с разных ип, разными юзерагентами и т.д.
ну сервис может и проверять на подобное(знакомые моего знакомого так делали), но реакцию от пользователя можно получить неоднозначную. соотв. можно проверить по хешам на совпадение с базой утекших и тем пользователям у кого совпадает принудительно пароль сбросить во имя безопасности. и сервису гемороя меньше, т.к. иногда действительно приходят с такими базами с разных ip и начинают пытаться подбирать пароли. при этом просто на каждую пару емейл+пароль будет одна попытка входа и всё. с разных ип, разными юзерагентами и т.д.
A
Я вообще за будущее, в котором люди пароли не вводят. Везде сгенерированные, да ещё и со сроком жизни и обновлением без участия юзера 🙂
O
Я вообще за будущее, в котором люди пароли не вводят. Везде сгенерированные, да ещё и со сроком жизни и обновлением без участия юзера 🙂
а что к монитору прикладывать придется? Хотя какой монитор - к смартфону:)
A
ну сейчас для меня все процессы регистрации происходят без ввода пароля, если что-то критичное, то 2FA
A
как у юзера в смысле
A
ну т.е. я в 95 это базовая одинаковая часть пароля универсального + что-то уникальное для сервиса
O
ну сейчас для меня все процессы регистрации происходят без ввода пароля, если что-то критичное, то 2FA
всмысле за тебя парольный менеджер вводит?
A
всмысле за тебя парольный менеджер вводит?
да, конечно. Suggest password вот это все
O
А про 2FA - крутая штука, пока ты не утратишь этот самый 2FA без возможности восстановления... ох у меня от этого горит.
A
А про 2FA - крутая штука, пока ты не утратишь этот самый 2FA без возможности восстановления... ох у меня от этого горит.
ну так не надо делать без возможности восстановления. 2FA разные же бывают
O
Мне вот российскую симку отключили. Навсегда. И номера в пуле нет, отлеживается. И все, жопа...
O
Второй фактор чаще всего безальтернативный - телефон.