Адрес для входа в РФ: exler.world
Как заботиться об удобстве пользователей
08.09.2020 11:04
18447
Комментарии (102)
Отвечает служба поддержки "Сбербанка".
Серьезно, не шутка, проверено: логин и пароль - регистронезависимые. Чтобы пользователям было удобнее. Не переживайте, это безопасно, утверждает "Сбербанк".
Войдите, чтобы оставить комментарий.
> Серьезно, не шутка, проверено: логин и пароль - регистронезависимые. Чтобы пользователям было удобнее. Не переживайте, это безопасно, утверждает "Сбербанк".
Понятно, что регистронезависимый легче подобрать, чем регистрозависимый. Непонятно, насколько это существенно.
Существенна ли разница между перебором в 150 000 лет и в 150 лет? Что позволит сделать подобранный пароль? Кроме пароля, есть еще 2FA, подтверждение транзакций, антифрод. Наконец, в каких ситуациях вообще ты будешь подбирать пароль? Явно не через сайт.
Откуда отсчитывается «хуже» или «лучше» (в 1000 раз хуже)? Скажем, Гугл требует минимум 8 символов, но у них только латиница, а у Сбера 8 символов кириллица + латиница, но оба lowercase, что дает примерно одинаковую сложность. В Facebook вообще требуют 6 символов, что в 1000 раз хуже Сбера.
Интересная тенденция, что люди придумывают другие проблемы и авансом приписывают их Сберу, чтобы было проще критиковать (ха-ха, да у вас, наверное, и пароли в открытом виде, вот вы мудаки).
Такое впечатление, что просто нравится гнобить Сбербанк, даже если сегодня он уже работает хорошо и современно.
Понятно, что регистронезависимый легче подобрать, чем регистрозависимый. Непонятно, насколько это существенно.
Существенна ли разница между перебором в 150 000 лет и в 150 лет? Что позволит сделать подобранный пароль? Кроме пароля, есть еще 2FA, подтверждение транзакций, антифрод. Наконец, в каких ситуациях вообще ты будешь подбирать пароль? Явно не через сайт.
Откуда отсчитывается «хуже» или «лучше» (в 1000 раз хуже)? Скажем, Гугл требует минимум 8 символов, но у них только латиница, а у Сбера 8 символов кириллица + латиница, но оба lowercase, что дает примерно одинаковую сложность. В Facebook вообще требуют 6 символов, что в 1000 раз хуже Сбера.
Интересная тенденция, что люди придумывают другие проблемы и авансом приписывают их Сберу, чтобы было проще критиковать (ха-ха, да у вас, наверное, и пароли в открытом виде, вот вы мудаки).
Такое впечатление, что просто нравится гнобить Сбербанк, даже если сегодня он уже работает хорошо и современно.
Там не в этом шутка.
Чел дальше спрашивает "То есть вы хэширование не используете?", а официальный аккаукнт отвечает "Нет"
Чел дальше спрашивает "То есть вы хэширование не используете?", а официальный аккаукнт отвечает "Нет"
Т.е. в переводе со сбербанковского на русский это означает что пароль в базе хранится в открытом виде а не виде хеша, и когда в очередной раз у них спиздят базу, возможно что спиздят и базу с паролями...
Чисто технически - вовсе не означает. Но вспоминая историю с отсутствием проверок валидности транзакции перед её совершением... они вообще вряд ли задумывались о том, что можно хеш хранить. Вне зависимости от CS/CI.
Нет. Перед хешированием и проверками пароль приводят к определенному регистру. ПЕРЕД, Карл! (хотя как в Сбере -свечку не держал)
Но вообще, это тоже так себе решение - стоимость брутфорса падает катастрофически.
Но вообще, это тоже так себе решение - стоимость брутфорса падает катастрофически.
А хешируют оне в md5 (trollface)
Логин там цифры, так что можно не парится. Пароль там регистро-независимый, это снижает его энтропию но не критично
Не обязательно. У меня буквенный.
Ну я это выяснил еще лет 5 назад. Был в шоке, позвонил в сбер: спросил бага или фича, повисел на телефоне и получил ответ что фича. Положил трубку, долго думал....
Не знаю как сейчас, но тогда регистро-независимый пароль был только в мобильном приложении, а в веб приложении был регистрозависимый вполне.
Не знаю как сейчас, но тогда регистро-независимый пароль был только в мобильном приложении, а в веб приложении был регистрозависимый вполне.
А ещё у них небезопасный проверочный код приходит - состоит всего лишь из шести арабских цифр. А нужно делать такие, как страховщики ОСАГО отправляли - из 12 символов, 6 из которых - спецсимволы.
Вы сами взвоете через 5 минут от таких проверочных кодов, думайте что предлагаете
А почему такой код небезопасный?
Да, это добавит неудобств, а безопасности не добавит - как и регистрозависимый пароль, отсутствием которого многие так недовольны. А консультант сбера в этом случае прав, и такой пароль безопасен.
По той же причине, что и регистронезависимый пароль - если бы авторизация проходила только одним из этих способов.
Сбер заботится о клиентах... Мать его! В телефоне Сберонлайн какойто антивирь стоит. Эта тварь каждое утро часов в 5 мне радостно сообщает что оне на страже. Сука! И среди дня и весером. Писал в ТП. Мне ответили что это УГ не отключается. Кошмарского контора писала. Неужели трудно сделать отключаемые уведобления? Дебилы,Б...
А разве телефон не умеет отключать уведомления от конкретного приложения?
А разве телефон не умеет отключать уведомления от конкретного приложения?
Эта тварь каждое утро часов в 5 мне радостно сообщает что оне на страже.
Нихт. Там от одного приложения разные категории уведомлений. Отключаются отдельно. По крайней мере в Ведроид. Даже если стоит левый ланчер. Я в долбаном Хиаоми смог даже их рекламу отключить отдельно от важных уведомлений.
Ну это всего лишь один дополнительный вариант защиты. Добавить количество знаков - и всё. Тем более код для подтверждения идёт на телефон.
Ну это всего лишь один дополнительный вариант защиты. Добавить количество знаков - и всё. Тем более код для подтверждения идёт на телефон.
— Какой здесь пароль от WI-FI?
— Вы в реанимации.
— Большими или маленькими?
— Вы в реанимации.
— Большими или маленькими?
логин и пароль - регистронезависимые. Чтобы пользователям было удобнее. Не переживайте, это безопасно, утверждает "Сбербанк".
Зато сэкономит овердохрена нервов пожилым и/или забывчивым пользователям. Как и техподдержке.
Поэтому, ИМХО, в целом решение достаточно приемлемое. И по-своему даже разумное – учитывая настолько обширную и разношёрстную аудиторию пользователей...
P.S. Каюсь, сам ненавижу системы, которые требуют чрезмерно замороченные пароли (примерно как на картинке))). Безопасность безопасностью, но и про удобство юзеров тоже надо думать хоть иногда...
В таких случаях всегда вспоминаю этот эпизод из киношки. Фраза "А ещё?" у нас давно стала кодовой – означая закидоны какого-нибудь не в меру нудного софта или клиента... ?
Классика же.
Каюсь, сам ненавижу системы, которые требуют чрезмерно замороченные пароли (примерно как на картинке))).
А разумные специалисты, типа Фила Циммермана (автора PGP), с незапамятных времен советуют использовать не password, а passphrase.
А разумные специалисты, типа Фила Циммермана (автора PGP), с незапамятных времен советуют использовать не password, а passphrase.
брутфорсить что-то придется в случае утечки и то с солью. так что регистро независимый пароль не сильно парит
Для удобства пользователей логин и пароль - 0000
hunter2
Может еще и раскладка клавиатуры невжана?
Вы удивитесь, но в Windows 7 можно набирать пароль в любой раскладке.
Может это такой глюк в Корпоративной версии, но он сжирает пароль по-любому.
Может это такой глюк в Корпоративной версии, но он сжирает пароль по-любому.
В prof нельзя.
Дело было в конце 90-х, я учился в местном университете на факультете информатики. Всех студентов в добровольно-принудительном порядке отправили в Сбербанк — оформлять себе карты для получения стипендии, причём тогда это были не Visa и не MasterCard, а исключительно своя собственная, Сберовская, система. Особого смысла в этом не было совершенно — такая карта почти нигде не принималась к оплате, поэтому мы, получив стипендию, тут же всей толпой шли эти деньги снимать.
Но суть не в этом. Стоим мы в очереди на получение этих карт. По какой-то причине Сбер решил выпендриться и сделал PIN-код к ним не четырёхзначным, а пятизначным. Каждому студенту факультета информатики велели придумать хорошо запоминающееся число из пяти разрядов. А что для программиста проще, чем 2^16 = 65536, правильно?
Подходит моя очередь.
— Придумайте и введите PIN-код.
— Вот, пожалуйста.
— PIN-код к карте не может состоять из пяти нулей.
— Так я и не пять нулей набираю. Можете сами посмотреть: вот, первая цифра — явно не ноль.
— Хм. И правда. Давайте ещё раз попробуем.
— Давайте.
— Всё равно пишет, что пять нулей нельзя вводить. Какая-то ошибка. Не понимаю, в чём дело. Придумайте другой PIN-код.
— Ох, ну давайте. Вот такой.
— Вот, другое дело, сейчас всё в порядке.
Получаю карту. Отхожу от окошка. Краем уха до меня долетает фрагмент диалога из соседнего окна:
— PIN-код не может состоять из пяти нулей.
— Так я вообще ни одного нуля не ввёл!
Всё правильно. Оказалось, что фактически PIN-код хранился в виде 16-битного числа, а если пользователь придумывал PIN-код больше, чем 65535, старший бит просто отбрасывался. Таким образом, примерно к 2/3 выпущенных карт подходили два PIN-кода — скажем, 00001 и 65537 (проверяли потом экспериментальным путём).
Всё, разумеется, было для удобства пользователей. 😄
Но суть не в этом. Стоим мы в очереди на получение этих карт. По какой-то причине Сбер решил выпендриться и сделал PIN-код к ним не четырёхзначным, а пятизначным. Каждому студенту факультета информатики велели придумать хорошо запоминающееся число из пяти разрядов. А что для программиста проще, чем 2^16 = 65536, правильно?
Подходит моя очередь.
— Придумайте и введите PIN-код.
— Вот, пожалуйста.
— PIN-код к карте не может состоять из пяти нулей.
— Так я и не пять нулей набираю. Можете сами посмотреть: вот, первая цифра — явно не ноль.
— Хм. И правда. Давайте ещё раз попробуем.
— Давайте.
— Всё равно пишет, что пять нулей нельзя вводить. Какая-то ошибка. Не понимаю, в чём дело. Придумайте другой PIN-код.
— Ох, ну давайте. Вот такой.
— Вот, другое дело, сейчас всё в порядке.
Получаю карту. Отхожу от окошка. Краем уха до меня долетает фрагмент диалога из соседнего окна:
— PIN-код не может состоять из пяти нулей.
— Так я вообще ни одного нуля не ввёл!
Всё правильно. Оказалось, что фактически PIN-код хранился в виде 16-битного числа, а если пользователь придумывал PIN-код больше, чем 65535, старший бит просто отбрасывался. Таким образом, примерно к 2/3 выпущенных карт подходили два PIN-кода — скажем, 00001 и 65537 (проверяли потом экспериментальным путём).
Всё, разумеется, было для удобства пользователей. 😄
я учился в местном университете
да неужели? как же вы туда смогли поступить при таком конкурсе?
Вирусологи срочно переквалифицируются в криптологов
Да-да! А то эти пароли уже реально задолбали - одну букву неправильно вводишь и уже не пускает... я написал в техподдержку просьбу о дальнейшей либерализации правил.
Дальше ждём оптимизацию: "Да, у нас пароль в целом и к правильности набора букв/цифр не чувствителен, лишь бы количество символов сошлось. Не переживайте, это - удобно"
Дальше ждём оптимизацию: "Да, у нас пароль в целом и к правильности набора букв/цифр не чувствителен, лишь бы количество символов сошлось. Не переживайте, это - удобно"
«Введением регистронезависимости паролей служба поддержки Сбербанка сэкономила 12 миллионов долларов на поддержке невнимательных пожилых клиентов Сбербанка»
[/шутка]
[/шутка]
Тему уже обсосали со всех сторон на пикабу.
Зачем хэшировать пароли? Чё тут по второму кругу тереть?
Зачем хэшировать пароли? Чё тут по второму кругу тереть?
Не так сильно и вредит. Лучше чем пароли вида IIlllIIjjiiOO0011'''"""''
Нормальная тема, естественно при наличии иных факторов, хорошо влияющих на секьюрность.
«Ростелеком» закрыл сверхзатратный национальный поисковик «Спутник»
www.cnews.ru
«Ростелеком» это прокомментировал: tass.ru
www.cnews.ru
«Ростелеком» это прокомментировал: tass.ru
Тудыть его в качель.
«Ростелеком» закрыл сверхзатратный национальный поисковик «Спутник»www.cnews.ru«Ростелеком» это прокомментировал:tass.ru
"делая государственный поисковик, люди не смогли ответить на вопрос", зачем и для кого они его создают.
Действительно, а когда они его начинали делать, и все их об этом спрашивали - они какие-то ответы придумывали.
Нравятся некоторые интернет-магазины, которые после регистрации присылают в письме пароль, бережно сгенерированный в KeePass:
"Поздравляем с регистрацией бла-бла-бла....
Ваш пароль: "
С, собственно, моим паролем.
"Поздравляем с регистрацией бла-бла-бла....
Ваш пароль: "
С, собственно, моим паролем.
А ещё нравятся магазины, которые тебе по запросу на почту присылают пароль! Старый!
Это не магазины а пидорасы... ой то есть Дартаньяны
Вспоминается шутка "Вы не можете зарегистрировать такой пароль. Такой пароль уже использует пользователь Alex" 😄)).
Ну а по факту - при достаточной длине пароля и правда пофиг. Он прямо в точке ввода может конвертироваться в регистро- и даже раскладконезависимый, и всё...
P.S. Шутку уже вспомнил первый же комментировавший, опередили меня 😄.
Ну а по факту - при достаточной длине пароля и правда пофиг. Он прямо в точке ввода может конвертироваться в регистро- и даже раскладконезависимый, и всё...
P.S. Шутку уже вспомнил первый же комментировавший, опередили меня 😄.
Это не шутка. Это микрософтовская аксапта.
Следующий шаг -- сделать независимость от раскладки. При достаточной длине пароля это не повлияет на безопасность, зато облегчит вход для невнимательных клиентов.
Заодно можно принимать пароли, лексически близкие к оригиналу , чтобы позволить небольшие опечатки.
Заодно можно принимать пароли, лексически близкие к оригиналу , чтобы позволить небольшие опечатки.
Ну это как раз для невнимательных клиентов и делается, у которых CapsLock внезапно нажат.
Независимость от раскладки добавить легко (не удивлюсь, если это сделано). А вот "лексически близкие к оригиналу" уже капец как сложно, если пароль захэширован.
Независимость от раскладки добавить легко (не удивлюсь, если это сделано). А вот "лексически близкие к оригиналу" уже капец как сложно, если пароль захэширован.
Да, клавиша совершенно идиотская. Не помню, пользовался ли я ей вообще хоть когда нибудь, и не знаю людей, которые пользовались бы. а случайное ее нажатие действительно сильно раздражает, несмотря на наличие лампочки.
Поэтому отключение CapsLock (и NumLock, до кучи) - едва ли не первое, что я делаю при переустановке системы.
Поэтому отключение CapsLock (и NumLock, до кучи) - едва ли не первое, что я делаю при переустановке системы.
"Поэтому отключение CapsLock (и NumLock, до кучи) - едва ли не первое, что я делаю при переустановке системы." CapsLock - да, а вот чем NumLock помешал...По-моему калькуляторам уже полвека и пальцы автоматом бегают по стандартно сгруппированным клавишам с цифрами.
чем NumLock помешал...
Следующий шаг -- сделать независимость от раскладки.
Мои юзеры ее нажимают чтобы в пароле первую заглавную букву набрать потом отжимают. Мне это видно изза того что виндовс про капс предупреждает. Все время стараюсь не ржать
А потом окажется, что из пароля играет роль только первые 3 символа. Для вашего удобства.
Объясните пожалуйста, в чем тут долбоебизм? Вы считаете правила Сбера к паролям не дают достаточной защиты от взлома?
Хмм, ну вот представьте что верхний поручень перил моста сделан из пенопласта. Мотивируя это тем, что нижняя часть то стальная, и вполне надежная, а пенопласт он зимой теплее и людям нравится.
Объясните пожалуйста, в чем тут долбоебизм? Вы считаете правила Сбера к паролям не дают достаточной защиты от взлома?
Кажется у Сбера пароль нельзя задать, даже при смене пароля он просто генерирует новый, восемь случайных цифробукв. Плюс второй фактор - код в смс на номер привязанный к аккаунту. Для параноиков есть вообще одноразовые пароли, которые приходится получать в банкоматах.
Кажется у Сбера пароль нельзя задать, даже при смене пароля
Когда во времена оны я пытался это сделать, то фиг был там - мне просто меняло на новый генеренный пароль, а самому его выбрать не давало. Наверное с тех пор что-то изменилось.
В "оные" не знаю. У меня сейчас 3 логина в сбере, на себя, на жену и на тёщу. Заводил сам, причем у всех трех пароль одинаковый, чтоб не путаться. Все работает.
Заводил сам, причем у всех трех пароль одинаковый, чтоб не путаться.
А какой?
с большой буквы
В открытом виде вряд ли хранят, скорее всего переводят в строчные буквы и потом хэшируют.
Безопасность это, конечно, ухудшает, но сомневаюсь, что очень сильно.
Если Сбер основной банк, то тогда лучше двухфакторную включить с кодом из смс.
Безопасность это, конечно, ухудшает, но сомневаюсь, что очень сильно.
Если Сбер основной банк, то тогда лучше двухфакторную включить с кодом из смс.
twitter.com
Уверен, что софт для сбера пишется примерно так же.
Уверен, что софт для сбера пишется примерно так же.
Местами и временами меня параноидальные политики безопасности некоторых приложений реально бесят.
Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами и еще его требуется регулярно менять? Зачем, если попавший в мой личный кабинет может только погасить мой долг за телефон?
Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами и еще его требуется регулярно менять? Зачем, если попавший в мой личный кабинет может только погасить мой долг за телефон?
А там реквизиты карты можно сохранять?
Возможно, не проверял.
Но лично я очень плохо отношусь к сохранению реквизитов в левых приложениях.
Но вот у меня есть приложения 2х разных банков, вход в них - в одном 4 цифры, в другом - 5. В. Одном из них - еще и по отпечатку пальца. И как-то никто не паникует.
Но лично я очень плохо отношусь к сохранению реквизитов в левых приложениях.
Но вот у меня есть приложения 2х разных банков, вход в них - в одном 4 цифры, в другом - 5. В. Одном из них - еще и по отпечатку пальца. И как-то никто не паникует.
пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами
Я к чему. Правила безопасности, эксплуатации рассчитаны не на среднего человека, а на такого, который считает, что если в инструкции к микроволновке не написано, что туда нельзя запихивать котов (и включить после этого микроволновку), то, значит, их туда можно запихивать.
Теоретически я вижу, что туда кто-то привязывает свою карточку, злоумышленник заходит и из чувства личной неприязни к владельцу виртуального кабинета оплачивает телефон на всю сумму с карточки. Лучше перестраховаться.
Разве что регулярная смена пароля это ухудшение безопасности, как правило, потому что это увеличение количества бумажечек с записанным паролем.
Теоретически я вижу, что туда кто-то привязывает свою карточку, злоумышленник заходит и из чувства личной неприязни к владельцу виртуального кабинета оплачивает телефон на всю сумму с карточки. Лучше перестраховаться.
Разве что регулярная смена пароля это ухудшение безопасности, как правило, потому что это увеличение количества бумажечек с записанным паролем.
у меня есть приложения 2х разных банков, вход в них - в одном 4 цифры, в другом - 5.
Надеюсь, у вас там не больше тысячи.
Вот чему должны в школах учить - основам финансовой грамотности, а не этике, труду и обороне и что там еще сейчас...
И как-то никто не паникует.
Вы никогда не жили в Англии, если...
как бы вы удивились, узнав какие пароли у Барклайса... за 7 лет ни разу не просили поменять. Но каждый платеж надо подтверждать кодом из спецмашинки
как бы вы удивились, узнав какие пароли у Барклайса... за 7 лет ни разу не просили поменять. Но каждый платеж надо подтверждать кодом из спецмашинки
И вы доверяете безопасность своих денег паролю в 4 цифры?
Надеюсь, у вас там не больше тысячи.
Вот чему должны в школах учить - основам финансовой грамотности, а не этике, труду и обороне и что там еще сейчас...
Надеюсь, у вас там не больше тысячи.
Вот чему должны в школах учить - основам финансовой грамотности, а не этике, труду и обороне и что там еще сейчас...
И у миллиардов других клиентов банков.
Я так понимаю, у тебя пин-код от карточки не такой, финансово грамотный?
ЗЫ. Реально прикольно, когда гуманитарий до мозга костей пытается всех уму-разуму учить, прочитав пару статей в глянцевом журнале. 😄
Правила безопасности, эксплуатации рассчитаны не на среднего человека, а на такого, который считает, что если в инструкции к микроволновке не написано, что туда нельзя запихивать котов (и включить после этого микроволновку), то, значит, их туда можно запихивать.
И вы доверяете безопасность своих денег паролю в 4 цифры?
То есть проблема будет только если украдут телефон и будут знать сам пинкод (ЕМНИП, защита от подбора перебором обычно есть).
Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов, с большими и маленькими буквами, спецсимволами и еще его требуется регулярно менять? Зачем, если попавший в мой личный кабинет может только погасить мой долг за телефон?
И вы доверяете безопасность своих денег паролю в 4 цифры?
Вот расскажите, зачем в приложении Ростелекома требуется пароль не менее 8 символов,...
Я думаю, просто используется уже реализованное готовое решение в виде сервиса в приложении или кодов из библиотеки для форумов. Все побежали - и я побежал.
Вам самому не смешно?
а еще может подлючить тебе кучу услуг
Возможно, это означает, что они его не хешируют, а хранят как есть?
Нет, никак не означает. Нету разницы, делать приведение к одному регистру перед хэшированием, или делать это же приведение перед сравнением.
Нет, никак не означает. Нету разницы, делать приведение к одному регистру перед хэшированием, или делать это же приведение перед сравнением.
Даже если это стало недавно - распоряжение "сделать пароли регистронезависимыми, а то техподдержку уже задолбали с CapsLock`ом, да и с мобилки неудобно пароль набирать" спускается на отдел разработки вне зависимости от того, были они до этого захэшированы или нет. После чего наступает переходный период, во время которого хэши незаметно заменяются - ввел юзер правильный пароль, тут же меняем хэш на независимый.
Даже если это стало недавно - распоряжение "сделать пароли регистронезависимыми, а то техподдержку уже задолбали с CapsLock`ом, да и с мобилки неудобно пароль набирать" спускается на отдел разработки вне зависимости от того, были они до этого захэшированы или нет. После чего наступает переходный период, во время которого хэши незаметно заменяются - ввел юзер правильный пароль, тут же меняем хэш на независимый.
Как вариант.
После чего наступает переходный период, во время которого хэши незаметно заменяются - ввел юзер правильный пароль, тут же меняем хэш на независимый.
ЗЫ: возможно, даже проще: весьма вероятно, что вместе с паролем хранится и "схема" его шифрования, чтобы можно было в будущем менять на более продвинутые (как в *nix'ном /etc/shadow -- префикс $nnn$ перед хэшем). Тогда у регистронезависимых эта схема будет другой.
кто его знает как они хранят
Это для чего логин и пароль? Угадать нужно?
Одноразовые пароли, известные как "код из смс", приходят целиком из цифр, а цифры да, регистронезависимые.
И да, они цифрами удобнее. (Диктую: "Эс как доллар"...)
Одноразовые пароли, известные как "код из смс", приходят целиком из цифр, а цифры да, регистронезависимые.
И да, они цифрами удобнее. (Диктую: "Эс как доллар"...)
Это для чего логин и пароль? Угадать нужно?
Чтобы в личный кабинет войти. В веб-версию, если точнее.
Может быть и безопасно, при достаточной длине пароля. Какая там минимальная длина пароля у Сбера?
10 символов.
А напоминание пароля у них не так выглядит?
"Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль."
"Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль."