БЛОГ / КОММЕНТАРИИ

Виды паролей, или Пользователи - идиоты

Интернет

14.12.2008 12:11

Комментарии 70

Я обычно ставлю пароли типа 1b2u3g4o5g6a7 (bugoga - какое-нить слово, а 1234567 - число, которое легко запомнить, но не такое), скажите я идиот?

VovanZ

16.12.08 20:27

0 0

Я, таки не прав насчет ПИНа, просто я не сталкивался с банками, которые такой сервис умеют. Это вполне возможно, хотя технологически непросто. Например, dom.bankir.ru

Sav

16.12.08 10:30

0 0

а почему, собственно, юзверей идиотами называть надо, если они простые пароли юзают?

Пароли бывают к важным вещам, и к неважным. Регишься в каких-нить форумах, и на фига туда сложный пароль писать? Ну сопрут твой аккаунт, и что? Зарегишь новый.

Вот если от аси или от почтового ящика пароль - йцукен, тогда да, очень глупо...

да и то необязательно. Потому как большинство пользователей на фиг никому не нужно, хакать их никто не будет, и пароли их никому не интересны, а потому и бояться нечего

Cyber555

16.12.08 09:46

0 0

Скорее всего вы путаете ПИН и какой-нибудь доппароль, скажем, на получение выписок через интернет и т.п. Ну или карты какие-то игрушечные, типа "хлебной карты россиянина". Возможно еще на чиповых картах какой-то пин-пароль для чипа. А тот что на магнитную полосу - фиксируется при выпуске.

Sav

16.12.08 07:55

0 0

кстати, чтобы два раза не вставать - здесь кнопки "цитировать" и "ответить" не работают в приятственном браузере "гугл хром" (который опять же кстати, уже достиг своей первой версии) и нет никакой справки по бб-кодам или я не замечаю?

Sav

16.12.08 07:58

0 0

Люди, про пины пластиковые фигню пишете, ни "установить", ни "восстановить", ни "сменить" его на нормальной карте нельзя. Только перевыпуск карты с новым _случайным_ пином, который присутствует _только_ в пинконверте, и _ни_один_ сотрудник банка его не знает и уж тем более сменить не может.

Sav

15.12.08 15:49

0 0

Sav: Люди, про пины пластиковые фигню пишете, ни "установить", ни "восстановить", ни "сменить" его на нормальной карте нельзя. Только перевыпуск карты с новым _случайным_ пином, который присутствует _только_ в пинконверте, и _ни_один_ сотрудник банка его не знает и уж тем более сменить не может.

с картами другой неприятный момент при перевыпуске карты (уже не первый раз и непервый банк) оставляет _старый_ пинкод. вот я думаю "если никто ничего не знает" то как же делается что бы пин был такой же как и раньше?

dimav

Sav

15.12.08 18:33

0 0

Sav :Очень многие банки позволяют менять пин в банкомате. Восстановить его не могут. Сменить теоретически могут, но в целях безопасности обычно перевыпускают карточку с новым пином.

azav

Sav

15.12.08 19:25

0 0

Раз уж заговорили о Робоформе (которым сам пользуюсь), подолью масла в огонь и дам ссылку на бесплатный онлайн-сервис: LastPass.com

Hyper

15.12.08 12:57

0 0

Алекс, у меня тоже бывают такие пароли, когда какой-нибудь сайтик, нужный мне ради одного захода, требует регистрации, а аккаунт мне там не сдался совсем.

kamatoz

15.12.08 10:57

0 0

Мне это напомнило один старый прикол, когда маленький мальчик закрывает себе ладошками глаза, с воплем "щас всем вам сделаю темно" ))) Также и здесь, Экслер почему-то считает что все должны быть экспертами в компьютерных технологиях, не понимая, что многие люди вообще то другими делами занимаются. ) В которых точно также смогли бы обвинить Экслера в идиотизме ) Например - Экслер, идиот, ты как проводку сделал?! Или, Экслер, тебе руки отбить? Кто так шов делает? Или, Экслер, придурок, ты не понимаешь что что нельзя переливать кровь третьей группы человеку со второй группой крови?! Ну и так далее )))

Valentino82

15.12.08 07:48

0 0

Sir AlexN-VV дык левый бесплатный мыл - это для меня несерьезный ресурс )))) Да читайте кому влезет. Для других целей и средства связи другие. Кстати прекрасно понимаю что именно благодаря одинаковости паролей на разные ресурсы и существует система взлома паролей по пасслистам. К примеру exler.ru, возьмет Экслер да и прогонит хеш парольный своего сайта программой для подбора паролей по словарю/прямым перебором.. Получит кучку пар логин:пароль, сохранит это в файлик.. А потом (ну чисто все теоретически) прогонит этот пасслист с помощью спец.ПО.(т.н. брутфорс) например на одноклассниках.сру. Я уверен, результат будет не нулевой.. И абсолютно пофиг как там шифруются у них пароли. А например получив каким то мифическим образм хеш паролей yahoo.com и разшифровав сколько получится, господин Экслер вряд ли что либо добьется толкового с помощью этого пасслиста на тех же однокласснегах. Менталитет разный, люди разные.

Fawn

14.12.08 23:14

0 0

Песенка какая то была.. пароле пароле пароле.. ) не помню кто поет.
на все несерьезные инет ресурсы у меня один пароль )) Ибо особо скрывать там у меня нечего. Есть ресурс, где пароль очень серьезный, раз в месяц он принудительно меняется. Но там еще и сертификат именной так что просто войти не получится, даже зная пароль. Нужен сертификат и пароль еще и от него...А вообще - паранойя рулит а я бибикаю на поворотах... После развода с сожительницей даже все пароли поменял на подчиненных серверах, мало ли. Она бывший сисадмин...На все остальные пароли - строгие параноидальные требования. Мастер - пароль, с помощью которого можно расшифровать обычный текстовик с паролями криптованный PGP висит на стене в виде красивой картинки с хокку, в котором сделано 2 ошибки. Паранойя....

Fawn

14.12.08 22:44

0 0

а теперь представим себе, что то же самое я сделаю для мыльника, на который я захожу раз в 2 месяца отправить знакомому сообщение 😄

Sir AlexN-VV

Fawn

14.12.08 22:47

0 0

Fawn :А подчинённые сервера на руткиты после развода с сожительницей проверили ? 😄

Winer

Fawn

14.12.08 23:42

0 0

А кто-то тут уже говорил о том, что за взлом аккаунта можно получить срок? Свежий прецедент в Ижевске, если не ошибаюсь с городом, как раз в тему.

MakcumP

14.12.08 21:23

0 0

А у меня глупый вопрос: каким способом добывались пароли?
Этот "анонимный сбор" попахивает уголовной статьёй.

VanShi

14.12.08 21:22

0 0

Пользователи не идиоты, просто человек — не машина, и работать с паролями ему не свойственно. Скорее идиотами являются все гики, программисты и дизайнеры, которые до сих пор не смогли это понять и придумать более изящных схем идентификации и аутентификации. Двадцать первый век на дворе, а до OpenID только-только начали додумываться. Технически возможностей выше крыши, было бы желание. А пока желания нет, гики будут продолжать генерировать пароли программами и записывать на бумажках, а все остальные, нормальные люди, — использовать "пароли" вроде этих.

alexandroid

14.12.08 21:13

0 0

Заехал как-то к жене на работу (ну я и сам там периодически подкармливаюсь, поэтому меня там хорошо знают). Она на обеде, сижу, жду. Мне сотрудники жалуются, что интернет у них вылетел, спрашивают - "помочь можешь"? Ну что ж, думаю, попробую посмотреть, чё тут происходит.

Не буду вдаваться в технические подробности, скажу лишь, что шлюзом в инет служит обычный несколькопортовый АДСЛ-модем, и он-то и заглючил (DHCP, причём очень конкретно). Полез в него, и как вы думаете, какой логин и пароль был? конечно "admin - admin" ;о)))

Dear Dr.

14.12.08 21:07

0 0

замени
password = пароль
qwerty = йцукен

Lionel

14.12.08 20:40

0 0

Lionel: замени

password = пароль

qwerty = йцукен

Вы не путайте, молодой человек! йцукен - это распространённый ник. А вот теперь мне ясно почему пароли требуют именно с четырёх символов. А не с трёх.

Casper___xXx

Lionel

14.12.08 21:19

0 0

Кстати, Алекс предоставил топ10 англоязычных паролей. Как Вы думаете каким бы был топ10 в русскоязычном варианте?

Casper___xXx

14.12.08 20:34

0 0

В конторе, где я работаю, новым сотрудникам админы по умолчанию ставят пароль: P@ssw0rD.

На мой взгляд, вполне жизнеспособная идея: можно придумывать себе в качестве пароля достаточно простые слова, но букву "а" заменять на "@", а "о" на "0", например. Если немножко включить воображение, то и другим буквам символы подберутся. 😄

Tch_Pasha_Tch

14.12.08 20:05

0 0

Треть пользователей социальных сетей идиоты. Остальные 2/3 - параноики. Как страшно жить.

Нос

14.12.08 19:19

0 0

я, обычно, в качестве пароля использую первые буквы каждого слова из какого-нибудь стихотворения. к примеру -- vlrevlor -- в лесу родилась елочка, в лесу она росла...

И запомнить просто, и не подберешь... Ну и какие-нибудь цифры добавляю простые, либо в начале, либо в конце. Номер квартиры, к примеру...

maxik0

14.12.08 19:09

0 0

Ламеры, блин. Где root и admin ??

vlp

14.12.08 18:58

0 0

Блин, прийдется поменять код на чемоданах (с) Космобольцы

KiM_from_kharkov

14.12.08 18:39

0 0

Идиоты программисты социальных сетей, которые пароли пользователей держат в базе в не зашифрованном виде. У 90% пользователей пароль на все ресурсы один, и любой сотрудник соцсети, без труда получает доступ к почте пользователя, а через почту и аську спереть можно, и все остальное.

3rb

14.12.08 17:46

0 0

3rb :Кто сказал что в социальных сетях пароли хранятся не зашифрованными?

А ставить проверку криптостойкости в социальных сетях себе дороже. Отток клиентов обеспечен. Так как половина не вспомнит что она там вводила криптостойкого. A им это надо?

azav

3rb

14.12.08 18:13

0 0

Делюсь отличным способом составления паролей для сайтов. Получится так, что запомнить надо будет только один пароль для всех сайтов. Для начала составляете обычный пароль, можно простой, например, "red". Потом нужно взять название сайта и прибавить к нему пароль, получится "exler.rured". Потом нужно взять md5-хэш от получненной строки. Взять можно множеством способов, можно использывать специальную программу Mdpass ( best-soft.ru ). И вот мы получили хороший, криптографически стойкий пароль, который можно использывать на сайтах. А запомнить придется только простое слово "red".

andr2002

14.12.08 16:57

0 0

andr2002: А запомнить придется только простое слово "red".

Чем-то напоминает историю про номер паровоза, рассказанную солдатом Швейком.

Самый простой способ - это программа Робоформ. Запоминать не надо ничего, кроме единственного пароля к самой программе.

Ослик Иа

andr2002

14.12.08 17:19

0 0

вообще-то для криптостойкости, серьездная система сама должна генерить юзерский пароль

для прочих домашних радостей, я не вижу причин глумится над пользователем, который использует простой пароль. ибо потеря данных от того что он сам его забудет превышает потери от его получения злоумышленником.

Кстати, простейшая система безопасности, удваивающая время следующей попытки ввода пароля

(первая попытка через секунду, вторая через 2 секунды, третья через 4 секунды и так далее...) сводит на нет все усилия переборщиков паролей, даже при тупейших юзерах.

Кстати, ограничение на длину пароля тоже порочны, 95% паролей состоят из этих 4-6-8символов...

DGN

14.12.08 16:49

0 0

А я училась быть "грамотным юзером" (ещё не имея дома ни инета, ни даже компа), по статье в журнале "Молоток". Там было предложено создавать себе пароли вида "чтобы враг не догадался, а запомнить легко". Смысл прост: любое слово на русском языке (более 6 букв) набирается на клавиатуре при включенной английской раскладке. Тогда для меня это было откровением. Сейчас и это не годится. Приходится очень экзотичные (читай, малознакомые большинству) русские слова мешать с цифрами.

Шизандра

14.12.08 16:41

0 0

Шизандра: Смысл прост: любое слово на русском языке (более 6 букв) набирается на клавиатуре при включенной английской раскладке. Тогда для меня это было откровением. Сейчас и это не годится. Приходится очень экзотичные (читай, малознакомые большинству) русские слова мешать с цифрами.

Можно еще писать такие фразы с ошибками. Например "Вам низачто не догодаться"

Ivan aka Kepter

Шизандра

14.12.08 16:47

0 0

Шизандра: А я училась быть "грамотным юзером" (ещё не имея дома ни инета, ни даже компа), по статье в журнале "Молоток". Там было предложено создавать себе пароли вида "чтобы враг не догадался, а запомнить легко". Смысл прост: любое слово на русском языке (более 6 букв) набирается на клавиатуре при включенной английской раскладке. Тогда для меня это было откровением. Сейчас и это не годится. Приходится очень экзотичные (читай, малознакомые большинству) русские слова мешать с цифрами.

Во блин, а я с первых дней в интернете так делал, причём сам догадался. Правда, пришлось отойти от этой практики, когда стал пользоваться ПунтоСвитчером:-)

oops

Шизандра

14.12.08 16:53

0 0

Шизандра: Смысл прост: любое слово на русском языке (более 6 букв) набирается на клавиатуре при включенной английской раскладке.

Я подбирается программой с со словарной базой за пару минут.

Alex Exler

Шизандра

14.12.08 20:28

0 0

очень часто password = username

lofa°

14.12.08 15:56

0 0

Alex Exler: И если ваш пароль находится в этом списке - вы спокойно можете считать себя идиотом.

В этих словах проступает бывший программист. 😄 Конечно, легче всего проблему списать на массовый идиотизм пользователей, чем на недостатки системы, при которой несмотря на терабайты компьютерной памяти пользователей вынуждают помнить ненужную им информацию.

Toshka

14.12.08 15:27

0 0

Помнится, в 80е - 90е годы на ж/д вокзалах нашей необъятной родины были такие автоматические камеры хранения. Там, насколько я помню, пароль на вскрытие состоял из одной (первой) буквы и трех цифр. И ведь не было никакой проверки на стойкость! Каждый извращался, как мог. Их, конечно, вскрывали, но не очень часто. Так что надежность пароля - личное горе пользователя.

КВП

14.12.08 15:19

0 0

Мне с башорга вот эта история очень нравится:

"поставил пароль на компе на работе, под клаву положил листочек с неправильным паролем, пусть мучаются)))"

jamaysky

14.12.08 15:10

0 0

psL, "Без вины виноватый" exler.ru

anti83

14.12.08 14:14

0 0

Введите пароль: пароль 😄 Где то в кино по-моему была даже такая шутка.

psL

14.12.08 14:01

0 0

Интересно, почему qwerty не на первом месте?

Tauren

14.12.08 14:00

0 0

Я позавчера был в соседнем городе с целью обслуживания достаточно крупной конторы с сетью магазинов. На паре компьютеров с доступом из интернета пароли на базы 1С были 1 (одна единичка).

Есть программки, запоминающие содержание форм на странице и вставляющие это содержание одним кликом мышки. А некоторые ещё и предлагают сгенерировать пароль вида E4@vz6u2$*2vD4H . Понятно, что такой пароль самому запомнить невозможно, но это и не требуется, пусть программа сама и помнит. А на случай краха системы каждый пароль старательно записываю в бумажный блокнот, отдельная страничка на каждый сайт. Одно плохо, если начнут пытать, не смогу ничего вспомнить.

Ослик Иа

14.12.08 13:34

0 0

Много лет назад один мой знакомый, проверил програмку, осуществлявшую подбор паролей, на аккаунтах сотрудников своего весьма респектабельного университета. Результат был примерно такой же: взломалось где-то 80% паролей.

Мораль: Пользователь в том, что он идиот не виноват, (и, вообще быть идиотом - это неотъемлемое право пользователя). В том, что Пользователь идиот виноват Админ, (в данном случае администрация социальных сетей). Необходимо просто при регистрации осуществлять проверку стойкости паролей.

Eridanus

14.12.08 13:09

0 0

Eridanus: Пользователь в том, что он идиот не виноват, (и, вообще быть идиотом - это неотъемлемое право пользователя).

Приведу в пример себя как пользователя (немного саморекламы 😄).
Моя жена купила микроволновку фирмы Х, с сотней функций. Как вы думаете, при разогреве лапши, каши, котлеты я использую толстый мануал по выствлению температуры, мощности и прочих парообработок? Нет, я несколько раз жму на таймер "+30 сек" и удовлетворенно ем разогретое блюдо.

А вот если бы в микроволновке от этого стояла защита, я бы полез за мануалом как минимум...

alexxxey

Eridanus

14.12.08 13:14

0 0

Eridanus: Необходимо просто при регистрации осуществлять проверку стойкости паролей.

А еще такую проверку: bash.org.ru

Stomp

Eridanus

14.12.08 14:00

0 0

Меня больше всего удивило, что, во-первых, "7777777" опережает "1111111", а во-вторых -- что там по СЕМЬ символов, а не по шесть (ведь минимально требуемая длина -- обычно как раз 6 символов).

Кстати, помнится, один из паролей, которые при подборе использовал знаменитый червь Морриса-младшего -- "cretin". Жаль, тогда не опубликовали статистику его встречаемости 😉

Eridanus: В том, что Пользователь идиот виноват Админ, (в данном случае администрация социальных сетей). Необходимо просто при регистрации осуществлять проверку стойкости паролей.

Ага, поставил я недавно в одну контору OpenBSD в качестве сервера электронной почты, и дал возможность самим юзерам штатными средствами менять себе пароль (поставил /usr/bin/passwd в качестве shell'а). Ну и что вы думаете? Правильно, там такие драконовские правила на стойкость паролей, что ни один из юзеров не смог самостоятельно себе пароль поменять -- всё, что они сходу придумывали, проверку не проходило. Пришлось ставить всякие хитрые комбинации, которые за юзеров теперь помнят их mail-клиенты...

alexxxey: Нет, я несколько раз жму на таймер "+30 сек" и удовлетворенно ем разогретое блюдо.

Один-в-один моя ситуация! Купил себе в своё время навороченную самсунговскую микроволновку, но в 90% случаев пользуюсь только кнопкой "+30" 😄. Остальные ~10% -- когда надо разогреть какую-то замороженность, там приходится-таки ставить мощность и время. А вот как пользоваться функцией авторазморозки -- так за пять лет и не удосужился прочитать 😄

Dmitry Bolkhovityanov

Eridanus

14.12.08 14:12

0 0

Интересно, эти социальные сети писали студенты из Индии? Вроде бы не так и трудно поставить проверялку сложности введённого пароля, ан нет. Неужто заговор? 😉

SINL

14.12.08 13:08

0 0

SINL: Интересно, эти социальные сети писали студенты из Индии? Вроде бы не так и трудно поставить проверялку сложности введённого пароля, ан нет. Неужто заговор?

Дык юзеры-то идиоты, а проверки могут сократить их приток. А ведь идиоты кликают на баннеры гораздо чаще нормальных людей - выйдет убыток владельцам сайта.

MaxSem

SINL

14.12.08 13:12

0 0

Алекс, ты слишком строг к обычным юзерам. Кто в основном пользуется социальными сетями? Программисты? Сисадмины? Да в основном бухгалтерши и прочий офисный планктон.

Идиоты прежде всего программисты этой социальной сети, которые принимают такие простые пароли без БОЛЬШИХ КРАСНЫХ предупреждений.

alexxxey

14.12.08 13:04

0 0

Уверен что 90% этих людей просто нас№№ть если украдут их пароль.
У меня есть 3 сложных пароля для нужных вещей. Типа основной ящик мыла, аська, акаунт для кредитки и т.д.
И наверно десятки мест(если не сотни) где стоит пароль 1234. Ибо каждый идиот считает своим долгом попросить тебя зарегиться и типа я буду помнить все эти десятки разных паролей от сотен мест куда я зайду 1 раз в 3 года? Да ну нах!

alexxxey: Идиоты прежде всего программисты этой социальной сети, которые принимают такие простые пароли без БОЛЬШИХ КРАСНЫХ предупреждений.

А еще прежде ИДИОТЫ программисты которые начинают просить что бы пароль был скажем не меньше 8 символов, обязательно буквы+цифры и начинаться с буквы + чувствительны к реестру.
О ДА! Этот Урюпинский форум "мега-Урюп-хацкер" на котором по невероятному стечению обстоятельств выложили кейген, мне нафиг не сдался 100 лет. Но блин что бы качнуть надо обязательно зарегаться! А админ там мега-фанат безопасности! И ты сидишь как дурак читаешь особенности местного паролесоздания.
В итоге получается ник Afiwbvp7 и пасс Fasd9jf301y что бы только отстали и конечно такие пароли не входят в "Идиот-топ 10" эти "типа" люди которые заботяться о безопасности!

например "23424124234" - мой акк на youtube пас примерно такой же. Безопасность это конечно хорошо, но давайте дадим людям самим решать какие пароли ставить.

Lionel

alexxxey

14.12.08 20:32

0 0

alexxxey: Алекс, ты слишком строг к обычным юзерам. Кто в основном пользуется социальными сетями? Программисты? Сисадмины? Да в основном бухгалтерши и прочий офисный планктон.

Идиоты прежде всего программисты этой социальной сети, которые принимают такие простые пароли без БОЛЬШИХ КРАСНЫХ предупреждений.

+1

ситуацию усугубляют адимины и программисты другой разновидости

одни вообще не дают пользователю выбрать пароль (и в результате надо запоминать нечелеовеческую буквенноцифровую билиберду)

другие разрешают менять самим но не меньше 8 обязательно буквы-цифры обязательно с идиотской сменой регистра.....

и все ради одной темы в год или одной программы в полгода.... причем он зачем то еще хочет мой емайл адрес......

ну и результат -плайнтекст файл с никами паролями и названиями сайтов .... или дубляж пары-тройки хорошо запоминаемых "криптоблинстойких" последовательностей

dimav

alexxxey

14.12.08 22:21

0 0

Ах-ха, я идиот наполовину! У меня на одном из 4х почтовых ящиков пароль wordpass!!!*Хотя он мне нафиг не нужен. А на нужном пароль цифробуквенный, 7 букв 1 цифра 😄*

UPD: А все пароли я храню в текстовом файле на столе на дискетке. Все-равно ничего особо важного там нет. ПИН от кредитки у меня только в голове хранится 😄

Sir AlexN-VV

14.12.08 12:56

0 0

Sir AlexN-VV: Ах-ха, я идиот наполовину! У меня на одном из 4х почтовых ящиков пароль wordpass!!!*Хотя он мне нафиг не нужен. А на нужном пароль цифробуквенный, 7 букв 1 цифра *

UPD: А все пароли я храню в текстовом файле на столе на дискетке. Все-равно ничего особо важного там нет. ПИН от кредитки у меня только в голове хранится

Ага. Давайте я угадаю. Возле дискетки с паролями у вас ТОЖЕ рядом лежат ещё две дискетки с ключами клиент-банка? )))))

Casper___xXx

Sir AlexN-VV

14.12.08 13:08

0 0

К UPD: Вам пока везёт, без шуток - у меня родствсенник этим летом после сильного стресса забыл начисто все пины своих карт, как распоследний Джейсон Борн. Причём, пользовался он картами ежедневно, даже на кончиках пальцев помнил комбинации, и более того, пины сам назначал, руководствуясь логикой. А тут эти четыре цифирки из головы вылетели не то что напрочь, а совсем вчистую. И записано не было нигде. В итоге, могу сказать будучи в курсе эпопеи смены пинов - с некоторыми известными банками это не так уж быстро. Не говоря уже о том, что по закону подлости как раз в тот момент сбоя памяти человеку понадобился нал с дебетовок. Вспоминая это, я теперь ОЧЕНЬ не советую друзьям держать что либо "только в голове" )) Это касается и пинов карт, и пинов симок, и так далее. Очень уж тонкая штука, этот наш мозг.

Stanislav Vasiliev

Sir AlexN-VV

14.12.08 19:17

0 0

Я свои особо важные пароли вообще не помню и держу их записанными на бумажечках. Для чего-то менее важного у меня всякие дурацкие фразы, например, с Упячки. Я могу считать себя идиотом?

Uncle Benz

14.12.08 12:55

0 0

Особо понравился password 😄

Project

14.12.08 12:43

0 0

Project: Особо понравился password

Так это вообще классический пароль. Даже в банках.

Alex Exler

Project

14.12.08 13:04