БС
ой, у мну последняя картинка не сразу открылась.. теперь понял про какие вы хеши..
Size: a a a
2020 September 08
DV
какие еще 100 раз?? Если длина пароля 8 символов, то в 30**8 = 656 миллиардов раз меньше вариантов стало.. Это прям овер дохуя снижения перебора
Все равно вариантов для перебора слишком дохера чтобы забрутфорсить
DV
1. Сужают алфавит, что ухудшает энтропию, прииом по какой-то очень странной причине
2. Используют не тот пароль, который вводит пользователь
3. Нигде об этом не говорят
4. Отвечают в стиле «и так сойдёт»
Я уж и не знаю, чего хуже можно хуже придумать.
Представь, если бы у тебя с счета списали 10к по ошибке и сказали, ну, мол, накосячили, но у тебя вроде и так денег ок, ничего страшного.
2. Используют не тот пароль, который вводит пользователь
3. Нигде об этом не говорят
4. Отвечают в стиле «и так сойдёт»
Я уж и не знаю, чего хуже можно хуже придумать.
Представь, если бы у тебя с счета списали 10к по ошибке и сказали, ну, мол, накосячили, но у тебя вроде и так денег ок, ничего страшного.
Я согласен что это непрфессионально. Но тем это все ещё достаточно секьюрно
БС
не совсем. Большинство паролей это словарные слова. А их не так уж много. И регистр подбирать уже не надо..
DV
не совсем. Большинство паролей это словарные слова. А их не так уж много. И регистр подбирать уже не надо..
Сбербанк сам генерит тебе пароль. И там вроде символов 10 или типа того. И это не словарное слово.
БС
Если есть настроены rate limiting и всякие капчи, то наверное можно согласиться. Но если есть возможность украсть базу хешей, то тут уже дырка...
in
Сбербанк сам генерит тебе пароль. И там вроде символов 10 или типа того. И это не словарное слово.
получается, на скрине представитель сбера не только не разбирается в технике, но ещё и в фактах ошибается?
in
Если есть настроены rate limiting и всякие капчи, то наверное можно согласиться. Но если есть возможность украсть базу хешей, то тут уже дырка...
так а есть ли база хэшей? пока 1. возможность отбросить регистр и 2. ограничение сверху на количество символов наводят на мысли о plain text :)
БС
у мну нет сбера.. я хз что там с паролями. Хотя вспоминая парольную систему жены, то получается пароль в инетбанке она сама придумала.
БС
так а есть ли база хэшей? пока 1. возможность отбросить регистр и 2. ограничение сверху на количество символов наводят на мысли о plain text :)
ну не может же там быть настолько всё плохо..
in
ну конечно, это ведь не задрипаный фейсбук
DV
получается, на скрине представитель сбера не только не разбирается в технике, но ещё и в фактах ошибается?
про хэширование то? ну я так думаю что тот, кто ведет твиттер сбера не знает что такое хэширование
in
про хэширование то? ну я так думаю что тот, кто ведет твиттер сбера не знает что такое хэширование
не про хэширование :)
DV
вот у меня сбер - один из банков, я например пароль сам не задавал - его генерили и отправляли то ли в СМС то ли еще как.
может его можно поменять где-то в сберонлайне - это другой вопрос.
тут кстати и логин еще нетривиальный - это не телефон, и тебе его тоже выдают как какую-то буквенно-циверную последовательность
может его можно поменять где-то в сберонлайне - это другой вопрос.
тут кстати и логин еще нетривиальный - это не телефон, и тебе его тоже выдают как какую-то буквенно-циверную последовательность
in
отбрасывая гипотезу "сбер генерирует пароли в голове пользователя" как слишком невероятную, я прихожу к выводу, что кто-то из вас двоих не прав
『
отбрасывая гипотезу "сбер генерирует пароли в голове пользователя" как слишком невероятную, я прихожу к выводу, что кто-то из вас двоих не прав
можно самому задать пароль
DV
а, увидел мессадж. типа что надо самому задать пароль? хз-хз. может и можно, но я не задавал
in
в @tech_b0lt_Genona перепись интеренсых решений других банков