Адрес для входа в РФ: exler.world

Молитва

01.05.2014 12:46  6071   Комментарии (59)

Дорогой боженька. У меня к тебе большая просьба. Ты знаешь, есть такие интернетовские сервисы, где когда с тебя требуют поменять пароль (а почему я сам не могу решить, когда мне менять пароль, кстати), то начинается: пароль должен быть не менее 12 знаков, он обязательно должен содержать буквы, цифры, спецсимволы, там должны быть буквы в верхнем и нижнем регистре, цифры не должны идти последовательно, буквы должны быть из разных концов таблицы, цифру 1 вообще использовать нельзя, потому что она ненадежная, ну и так далее.

Так вот, дорогой боженька! Возьми, пожалуйста, разработчиков этих сервисов и вставь им в задницу садовый шланг. При этом можешь даже не включать воду - оно и так сойдет. Заранее большое спасибо.

P.S. Я полностью согласен с тем, что пользователям нельзя разрешать задавать пароли "123" или "пароль". Но сейчас с этими требованиями разработчики доходят до такого маразма, что хочется их немножечко убить. Или приковать к батарее и заставить каждый день создавать ровно сто паролей по их собственным идиотским требованиям. Достали! Особенно мило это смотрится, когда подобные пароли заставляют задавать для мобильных приложений. Вот радость-то - набирать их с клавы смартфона.

01.05.2014 12:46
Комментарии 59

У меня так ящик почтовый на mail.ru накрылся. В один прекрасный день мне сообщают, что в пароле должны быть кроме цифр еще и буквы. И не предлагая поменять пароль, просто не пускает меня в мой же ящик.
04.05.14 09:16
0 0

Ха! Попробуй для Скайпа поставить пароль JugtY64ft5mNskype97NjkOIft - и с удивлением обнаружишь, что "пароль простой и его слишком легко угадать" (внутри пароля есть буквосочетание skype). При этом пароль qwer12 - "хороший пароль"
02.05.14 23:55
0 0

А у меня вопрос: кто-нибудь реально пользуется подсказками, типа, любимый фильм, девичья фамилия прабабушки etc?

Мне кажется, что вся эта конспирология варится сама в себе.

Но, с др. стороны, согласитесь - как-никак напоминает о безопасности. Криво и тупо, но в правильном направлении.

===

Мне вот повезло: могу запомнить чер-те сколько символов. Но и меня бесит! )))
02.05.14 09:04
0 0

Хоть я это уже где-то слышал, но присоединяюсь... И Фефелова, конечно, с Эха Москвы чтоб убрал обязательно! 😄
01.05.14 23:55
0 0

В дополнение к Стенфордским требованиям, пусть здесь полежит:

xkcd.ru/936/
01.05.14 23:31
0 0

да, тоже радуют эти требования вместе с ограничением количества символов и прочее.

после хартблида решил поменять пароль на яху-мэйл. захожу на яху.де, ввожу логин и пароль - он мне пишет, что я вошел с чужого компьютера и поэтому меня не пустит (при этом с этого айпишника каждую минуту качает мыло громоптиц). предлагают послать пароль на резервный ящик. только вот этот ящик - от университета и его несколько лет назад грохнули. ладно, напишем техподдержке. только чтобы ей написать, надо залогиниться в ящик. а конкретный адрес техподдержки нигде не указан. думаю, ладно, позвоню им. ищу - нахожу только факс и почтовый адрес в ирландии. через гугл как-то нашел американский телефон, решил позвонить туда - там все время короткие гудки. кое-как нашел контакт-форму на американском сайте, где не надо логиниться, сказал им прислать мне линк для восстановления пароля на мой же адрес, они со мной через него связались, попросили мой номер мобильника и через него таки удалось поменять пароль. интересно, если бы кто-то другой указал другой адрес для восстановления пароля (мало ли, использую только вебмейл, нет возможности прочитать письмо с этого адреса) и номер одноразового мобильника - ему бы дали доступ?

потом менял пароль на аське. я, наверно, идиот, но уже 15 лет использовал для довольно красивого номера (легко запомнить) простое немецкое слово из пяти букв в нижнем регистре, явно имеющееся во всях словарях, так как оно так же является довольно распространенной фамилией в америке, например. это слово было и частью моего пароля на яхе, так что тем более надо было действовать. залогинился, очень долго искал, где же его можно поменять, наконец нашел. и началось, используйте цифры, разный регистр, нельзя использовать спецсимволы, максимальная длина - 10 знаков, нельзя использовать старый пароль как часть нового (хоть и поигрался с регистром). через попыток двацать все-таки удалось его поменять, но теперь хоть убейте меня - не вспомню его.

и всегда меня поражали "вспомогательные вопросы" типа девичей фамилии матери или города рождения. что проще узнать о человеке, чем это? всегда писал там всякую фигню и всегда ее в результате забывал.

а вообще, я странный человек. боюсь пользоваться менеджерами паролей, при этом спокойно пользуюсь линуксовскими программами, которые хранят их в чистом виде на диске. конечно, самые важные не сохраняю, но очень часто сталкиваюсь с ситуациями, когда чем-то давно не пользовался и пароль забыл.

и когда я их восстанавливаю, иногда просто ужасаюсь тем, как просто это сделать чужому человеку. например, когда я в первый раз восстанавливал пароль на биткоин-бирже, мне предложили ввести номер мобилы для подтверждения. просто любой номер. когда я его восстанавливал во второй раз, я ожидал, что мне пришлют на мобилу код, но нет - просто прислали линк на мыло и зачем я вводил тот номер - было непонятно. в результате, таки настроил двухфакторную аутентификацию, хотя софту от гугла тоже никак не доверяю. вот сейчас запустил этот аутентификатор на мобиле - он пишет адрес сервиса, мой логин там и код. никаких паролей на запуск самой софтины нет. и непонятно, что будет, когда телефон умрет - как тогда зайти на ту биржу?

вот люди ставят на свою мобилу почту, гугл аутентификатор и не ставят блокировку на пароль - чем они думают? и чем думают создатели всего этого софта и сервисов?

недавно на хабре пробегал девайс, сканирующий сетчатку обоих глаз со встроенным хранилищем паролей, с защитой от фото/видео/неживых глаз. вот такую фиговину я бы для дома купил, но оно не работает с линуксом. но тогда я бы наверно вообще забыл все пароли и, опять таки, что делать, когда этот девайс умрет?
01.05.14 21:58
0 0

Пароли - это ещё полбеды. Эти так называемые "security questions" -- вот где настоящий ад... Попробуй через несколько лет вспомнить ответ на вопрос "ваш любимый фильм"...
01.05.14 20:46
0 0

Eugr: Попробуй через несколько лет вспомнить ответ на вопрос "ваш любимый фильм"

Хе-хе 😄 А я обычно как раз выбираю именно этот вариант вопроса, если он присутствует конечно 😄
01.05.14 21:24
0 0

Самое смешное, что при всем при этом недавно поставили раком миллионы сервисов посредством уязвимости в OpenSSL heartbleed. И столько же сервисов до сих пор остаются в этой же позе.

A fixed version of OpenSSL was released on April 7, 2014, at the same time as Heartbleed was publicly disclosed. At that time, some 17 percent (around half a million) of the Internet's secure web servers certified by trusted authorities were believed to be vulnerable to the attack, allowing theft of the servers' private keys and users' session cookies and passwords
01.05.14 20:22
0 0

Эти самые продвинутые админы настолько задвинуты, что даже не понимают, где они находятся.

Почему всего-навсего для поиска на каком-нибудь форуме бесперебойников я должен там зарегестрироваться - указав при этом вот этот самый, защищенный пароль, не менее 8 символов, заглавные-прописные, цифры и буквы и прочая?

Какой урон моей безопасности будет нанесен, если я зарегестрируюсь с паролем 123? А-аа, ну да, ну да, там же меня подстережет злоумышленник, который сможет подобрать этот примитивный пароль и с моего логина там сможет такое написать... такое... А что он сможет собственно, там сделать?


aag
01.05.14 19:13
0 0

aag:
Эти самые продвинутые админы настолько задвинуты, что даже не понимают, где они находятся.

Почему всего-навсего для поиска на каком-нибудь форуме бесперебойников я должен там зарегестрироваться - указав при этом вот этот самый, защищенный пароль, не менее 8 символов




встает в полный рост вопрос, нахрена ты вообще должен регистрироваться для поиска. то что им пароль нужен мин. 8 символов - то уже мелочи. ты все равно на раз зашел.
01.05.14 19:30
0 0

Шланг грубо, просто ректороманоскопию для профилактики кариеса.
01.05.14 19:06
0 0

Не все продвинутые админы догадываются, что требование обязательного наличия цифр в пароле, заметно уменьшает криптостойкость.

Идеально, когда требуют, например - не меньше трех цифр: Пароль сразу на n-порядков слабее.


01.05.14 18:24
0 0

Алекс, вам понравятся новые требования к паролям Стенфорда: habrahabr.ru ИМХО, так и нужно делать всем.
01.05.14 17:28
0 0

[QUOTE]Ogra: ]habrahabr.ru
Да, вот это вполне логично.


01.05.14 17:29
0 0

[QUOTE]Ogra: ]habrahabr.ru
Ну вот, теперь мой любимый пароль - 20 пробелов, будут знать все.
01.05.14 18:28
0 0

Ogra: Алекс, вам понравятся новые требования к паролям Стенфорда: habrahabr.ru ИМХО, так и нужно делать всем.

В новых требованиях также добавили two step authentication - это как в интернет-банке: вместе с логином и паролем нужно вводить одноразовый код. Получение кодов можно настроить по смс, через Google Authenticator (ставится на смартфон) или распечатать бумажку с этими кодами. В отличие от интернет-банка, код спрашивают не каждый раз: по моим наблюдениям, раз в день для каждого устройства.

Но все равно довольно напрягает 😄 Особенно когда входишь в аккаунт с телефона: можно не успеть ввести код за 30 секунд, которые он действует (код создается не в момент запуска программы, и обычно в момент запуска виден код, которому осталось жить секунд 10-20). Это проблема Google Authenticator, смс я не пользовался (как ни странно, сотовая связь не везде хорошая даже на кампусе: иногда бывает, что интернет есть, а сотовой сети нет), а все время носить с собой бумажные коды - это уже слишком 😄



Вообще с безопасностью все весело. Чтобы проверять корпоративную почту на смартфоне, обязательно установить пароль на его разблокировку (догадываюсь, что это частое явление - вообще, в этом есть смысл). А чтобы подключиться к wi-fi с компьютера, нужно поставить на него несколько специальных программ, просканировать компьютер ими, обязательно иметь антивирус (правда, если нет своего, можно поставить бесплатный стэнфордский) и поставить ВСЕ обновления операционной системы (по крайней мере с Windows это так). Конечно, это все нужно сделать для первого подключения, дальше все работает. И потом даже предлагают какие-то из программ удалить. Но вот недавно эти стэнфордские программы внезапно сами скачали и поставили мне какое-то обновление для Mac и выдали сообщение, что необходимо перезагрузиться - и это сообщение висело на экране все время до перезагрузки и поверх всех окон (свернуть или закрыть невозможно).

И самое веселое: всем студентам/сотрудникам присылают смс + email о каждом нарушении закона на кампусе, а затем апдейты по мере их появления. Благо, случается такое довольно редко, но несколько сообщений в неделю (включая апдейты) обычно набирается. Я бы посмотрел, что было бы, если бы такое ввели в Москве 😄

02.05.14 12:01
0 0

А еще бесит когда не сообщают, что не так с паролем, а просто тупо его не принимают со стандартным сообщением «Пароль не достаточно сложный. Пароль должен состоять минимум из 8 символов».

Два года назад пытался подать документы для получения визы в Польшу через сайт. Это был полный капец! Потому, что: то пароли не принимается, то страница устарела, то еще что-то. В итоге прокатил такой пароль: «%d9HT:№!» (без кавычек). Документы подал.

В прошлом году подавал не через сайт, поэтому возня с паролями меня миновала. Но в этом году снова подавал через сайт. Снова просят пароль. Благо я его сохранил с позапрошлого года. Но в этом году они его принимать не хотят – «Incorrect Password entered». Нажимаю «Забыл пароль». Присылают на почту: «Your Password for the EmailId is %d9HT:№!». Копирую пароль из письма, ввожу. «Страница устарела». Повторяю все по новой. Вставляю пароль – «Incorrect Password entered».

Забиваю на предыдущий аккаунт. Завожу новый. Указываю новый ящик, позапрошлогодний пароль. Страница устарела. Повторяю. Новый ящик и прокативший в позапрошлом году пароль – «Пароль не достаточно сложный. Пароль должен состоять минимум из 8 символов». Хоть он и состоит из 8 символов и куда уже еще сложнее, но пробую вставить его дважды. Обрезается до 12 символов и снова та же песня – «Пароль не достаточно сложный. Пароль должен состоять минимум из 8 символов». Обессилев, набираю просто так «q12345678». Ура – приняли и пустили на следующий уровень!

Там начался новый квест. Нужно угадать как правильно указываются даты и контактный номер телефона. Но это уже другая история…
01.05.14 14:45
0 0

Roobbi: «Your Password for the EmailId is %d9HT:№!»

Я человек не кровожадный, но на это шланга мало. Хранить пароль о открытом виде - поубивал бы в самой извращенной форме.
01.05.14 20:08
0 0

Требую продолжения банкета в виде "Молитвы-2", где будет раскрыта тема капчи.
01.05.14 14:36
0 0

А что особенно бесит, когда безопасники-админы к обычным идиотским правилам про символы, которые должны быть в пароле, еще добавляют всякие ретроспективные правила, типа пароль должен отличаться минимум на 10 знаков от любого из предыдущих 100 паролей. И менять чаще раза в месяц, каждые дней 10-15, например... Это они придумали так бороться с теми, кто, придумав один раз подходящий под правила пароль, а потом добавляет два-три знака и меняет их по определенной формуле с привязкой, например, к месяцу и году...

Теперь бедные пользователи плачут горючими слезами и хранят свои сверхсекретные суперзащищенные и криптостойкие пароли на желтых стикерах, прикленных к мониторам, потому как никакие кипасы или лостпасы не помогут вам войти в виндовс, если пароль не в вашей голове или не перед глазами.

Продвинутые же пользователи, которые по настоящему беспокоятся о безопасности своих паролей, хитро клеют стикеры на дно клавиатуры или внутрь верхнего ящика рабочего стола.


01.05.14 14:04
0 0

Особенно мило это смотрится, когда подобные пароли заставляют задавать для мобильных приложений

Алекс, не пробовали Lastpass? Он умеет генерить любые пароли, и очень сильно облегчает их ввод (ну и хранение само собой). Начиная с андроида 4.1 он это умеет делать в аппах вообще автоматом, плюс есть плагины для firefox и dolphin, если пароль нужно вводить на веб-странице. Клиент для андроида правда платный, но там годовая плата за lastpass+xmark довольно смешная, кажется в районе 12 евро, плюс несколько дней можно тестить бесплатно.
01.05.14 14:15
0 0

Дорогой боженька, а когда форум Экслера снова заработает?
01.05.14 13:39
0 0

молитва разработчиков

Дорогой боженька. У меня к тебе большая просьба. Задолбали они со своими паролями. Сделай пожалуйста так для тех кто вводит простые пароли типа 123,йцукен,qwerty....

и далее по твоему тексту

;-)


01.05.14 13:25
0 0



Lyonia:
молитва разработчиков

Дорогой боженька. У меня к тебе большая просьба. Задолбали они со своими паролями. Сделай пожалуйста так для тех кто вводит простые пароли типа 123,йцукен,qwerty....

и далее по твоему тексту






Неочень уважаемые разработчики овносервисов типа "форумкрасножелтыхтрусикисуровыхбайкеров.ком" простите - но мне реально на...ть если кто зайдет с подоббранным для меня парольем 123 на ваш авносервис и отпишет от менего логина сообщение "какие вы все редиски"...... Поэтому затолкали бы вы эти правила себе....

П.С. Из последненего взбесил говнобилайн. Есть вторая симка, в которой раз в полгода захожу в личный кабинет... Это придурки полные... Все перечисленные выше правила + обязательная смена пароля раз в какой то период. Причем повторные пароли вводить запрещает.... Даже не знаю в какой - ибо иду раз в полгода посмотреть на эту помойку. И уже когда вводившийся пароль нельзя ввести повторно... Это какой то epic fail.... Ну зашел кто то подобрав мой пароль... Мло того что в обязательном порядке прилетает смс что кто то там в личном кабинете, так ну зашли.. Ну максимум поменяли тарифный план, добавили платных услуг, своровали детализацию... В чем вообще опасность (особенно на второй резервной симке) вообще не понимаю....
02.05.14 12:17
0 0

Вот почему для банковской карточки, с доступом к куче денег - пароль в 4 цифры достаточен, для банка - тоже достаточно простые годятся, а вот всякие говносервисы - это "грёбаныерозы...". Это такой интернет-способ надувать щеки, наверное...
01.05.14 13:21
0 0



igori-san: Вот почему для банковской карточки, с доступом к куче денег - пароль в 4 цифры достаточен, для банка

Потому что после трех попыток подбора, банкомат вашу карточку заблокирует и обратно не отдаст.

Шанс взломать карточку - 3/10000, после этого ее можно выкидывать.
01.05.14 18:31
0 0

igori-san:
Вот почему для банковской карточки, с доступом к куче денег - пароль в 4 цифры достаточен, для банка - тоже достаточно простые годятся, а вот всякие говносервисы - это "грёбаныерозы...". Это такой интернет-способ надувать щеки, наверное...


вопрос неправильный. правильный вопрос - почему для счета в банке достаточно "логина" который можно "считать" с ее лицевой и фасадной стороны (и который невозможно изменить)

?
01.05.14 22:15
0 0

Прям, под анекдот:

- Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
- розы
- извините, слишком мало символов в пароле!
- розовые розы
- Извините, пароль должен содержать хотя бы одну цифру!
- 1 розовая роза
- Извините, не допускается использование пробелов в пароле!
- 1розоваяроза
- Извините, необходимо использовать как минимум 10 различных символов в пароле!
- 1грёбанаярозоваяроза
- Извините, необходимо использовать как минимум одну заглавную букву в пароле!
- 1ГРЁБАНАЯрозоваяроза
- Извините, не допускается использование нескольких заглавных букв, следующих подряд!
- 1ГрёбанаяРозоваяРоза
- Извините, пароль должен состоять более чем из 20 символов!
- 1ГрёбанаяРозоваяРозаБудетТорчатьИзЗадаЕслиМнеНеДашьДоступПрямоБляСейчас!
- Извините, этот пароль уже занят!
01.05.14 13:12
0 0

Lastpass в помощь.
01.05.14 13:12
0 0

Думаю каждому пользователю виднее какой сложности пароль задавать.

Особенно бесят сложные пароли для регистрации на каком-нибудь форуме чтобы прочитать одну специфическую тему, или ради одноразовой задачи в какой-нибудь программе.
01.05.14 13:11
0 0

Ну вот "не менее 12 знаков" ещё можно оправдать благими намерениями, но когда "не более 10" (HSBC credit card, например в моём случае), вот здесь я даже мотива не понимаю.
01.05.14 13:01
0 0

BOPOHOK : HSBC вроде как с физиками не работают больше
01.05.14 13:10
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 441
видео 3985
вино 359
еда 498
ЕС 60
игры 114
ИИ 29
кино 1579
попы 190
СМИ 2751
софт 930
США 131
шоу 6