Пароли

[dluciv]

Я под замок почти не пишу. Сильно критичные вещи в ЖЖ не пишу вообще.

Но все-таки, друзья, пожалуйста, убедитесь, что:

• У Вас нормальный пароль на ЖЖ
• У Вас нормальный пароль на связанную с ним почту
• Свои пароли при логине вы отправляете через https (желательно, но не так важно, как нормальный пароль).
• Предыдущий пункт важен, если Вы ходите в интернет через какую-нибудь левую проксю, которой вы не на 100% доверяете.

Большое спасибо.

Comments

[stranger-p-a.livejournal.com]

Как проверить третье ?

[dluciv.livejournal.com]

Просто при логине в ЖЖ использовать https. Не http://xxxxxx/login.bml, а https://xxxxxx/ligin.bml. Куки ладно, а вот пароль должен только по защищенным каналам идти. Но это всяким гопникам не так легко перехватить, поэтому не так важно, как нормальный пароль.

[shmel.livejournal.com]

Это ж какой нужен пароль, чтобы его подобрать.

[dluciv.livejournal.com]

123456
qwerty
asdfgh
zxcvbn

[oleo.livejournal.com]

SuperPass тоже несложно подобрать. Wordlist...

[dluciv.livejournal.com]

Главное не надо даже быть из органов. Любой гопник может...

[kouzdra.livejournal.com]

Обычно там не подбор, а либо перехват, либо хаканье почтового сервера. Подобрать пароль трудон - просто по причине времени отклика. Пресловутые ломалки держатся на том, что файл паролей спирают, а потом уже подбирают.

[dluciv.livejournal.com]

Авторизация через https от перехвата спасает неплохо. Даже если потом работать по http, полноценного захвата не будет, максимум вандализм - для смены пароля надо ввести старый. Кроме того, для перехвата нужен блат. Иначе это технически тяжело. У Федотова в дневнике работала довольно организованная бригада гопников, которая косила под тех, кто спер ЖЖ у Алксниса. А, может, те же самые и работали. Больно много написали, одному не справиться.

Сперев файл паролей, можно, обратно, только повандальничать. Сменить пароль можно будет только располагая почтой, или сломав хэш (хе хе :) ). А для доступа к почте опять нужен перехват => блат. Если не отобрать почту, юзерь бысто вернет ЖЖ себе, так как старые адреса, кажется, тоже можно для восстановления использовать. Для смены пароля на почте нужна та же бадяга, и т.д.

Думаю, дело все-таки было в незамысловатом пароле Валерия Палыча.

[shmel.livejournal.com]

Не, ну из 10000 человек у кого-нибудь да будет qwerty, но ему твой совет не поможет, это дарвинизм. Речь, я так понял, о том, что можно, заранее назначив вменяемую жертву, угнать у неё аккаунт, что несколько другая задача, если только в ЖЖ нет явных дырок.
Ещё проблема, что сервисов много, и к каждому свой пароль не придумать.

[dluciv.livejournal.com]

Вот был бы у всех свой OpenID с RDF - не надо бы было нафиг никаких паролей и личных данных... Но мир пок не дорос...

[oleo.livejournal.com]

Можео пользоваться некоторым алгоритмом и везде делать немного разные.

[igorzhukov.livejournal.com]

Небось все существующие слова из словаря робот способен перебрать?

[dluciv.livejournal.com]

Конечно, плюс в других раскладках и в транслитерации. Нормальные пароли - обычно какие-то неочевидные словосочетания или фразы. Либо первые буквы каких-нибудь стихов. Чтобы подобрать было тяжело, а запомнить легко.

Забавно, что ЖЖ не делает ограничений на интенсивность попыток залогиниться (скажем, не более трех за 10 минут), и не использует картинок с кривыми цифрами (каптч). Есть, конечно, сервисы, которые эти каптчи распознают, но само распознавание осуществляется, обычно, людьми, поэтому стоит довольно дорого, следовательно защита от больших переборов неплохая.

[scavenger-spb.livejournal.com]

Старые песни о главном :)

Фул суппорт по поводу паролей. Хороший пароль, как хэш функция - быстрое и простое преобразование простой фразы в неудобоваримый набор символов :)