|
0 1 Всего найдено: 108
Djeid
Сообщение
26/06/2007 18:49
Копия темы
Безопасность аккаунтов Уважаемые фрилансеры. В последнее время участились случаи взлома аккаунтов через подбор пароля или сломанный почтовый ящик. Выясняя обстоятельства каждого взлома мы удостоверились, что причиной этого является очень простые пароли на сайте free-lance.ru и на e-mail. Чаще всего пароли почты, аськи и аккаунтов совпадали. Сделайте более-менее сложные пароли, пожалуйста. Это убережет вас от взлома, подпорченной репутации, потраченных времени и денег. Ребята, будьте внимательны и храните пароли в безопасном месте)
Darx
Сообщение
26/06/2007 18:56
Копия темы
Это не спасает. В смысле в базе зашифрованы, а проверка идет по шифру введенного и шифру того, что хранится в базе)
tonnon
Сообщение
26/06/2007 18:58
Копия темы
Я не про это. «причиной этого является очень простые пароли на сайте free-lance.ru» Разве в БД пароли в мд5 не шифруют?
Darx
Сообщение
26/06/2007 18:58
Копия темы
как раз я про то и говорю. Идет проверка по md5(введенный)==md5(хранящийся) (:
tonnon
Сообщение
26/06/2007 18:59
Копия темы
Объясните мне, пжалста, что такое соль :) «код, сгенерированный скриптом»... вдруг есть совершенно случайно рядом ссылка на почиатать)
Djeid
Сообщение
26/06/2007 19:00
Копия темы
Может я не так поняла, не программер) Но когда я восстанавливала пароль к аське, то он приходил в том же варианте. Или вы не про это?)
shket1v
Сообщение
26/06/2007 19:01
Копия темы
А вы знаете, что... База e-mail и icq фрилансеров давно уже в сети))) Я сам видел, с месяц назад
tonnon
Сообщение
26/06/2007 19:02
Копия темы
В базе данных на серверах аськи пароли зашифровываются. т.е. получается хеш типа ip0JPxT4cB3xdzKyuxgsdA== (я прав?) а потом, когда вы вводите пароль, он тоже шифруется и сравнивается с тем, что в базе. короче сложно это :)
paul_nik
Сообщение
26/06/2007 19:02
Копия темы
У меня, например, надежный пароль – дата рождения везде. Все равно никто не знает мой возраст ;-)
Djeid
Сообщение
26/06/2007 19:03
Копия темы
Да вы что? Может у вас и ссылочка/файлик сохранился? Если нет, то не надо наговаривать, Владимир.
tonnon
Сообщение
26/06/2007 19:03
Копия темы
ну так как тогда можно в бд посмотерть пароли и сделать вывод о их простоте? :)
csky
Сообщение
26/06/2007 19:03
Копия темы
Не углублясь в термины про хеши, криптование и шифры, можно сказать, что есть и двухсторонее шифрование, быд бы ключик=)
Djeid
Сообщение
26/06/2007 19:04
Копия темы
Энтони, не мучай меня под конец рабочего дня) Может программисты на это ответят, я не знаю таких тонкостей)
Djeid
Сообщение
26/06/2007 19:06
Копия темы
Последний писк моды: пароль, который совпадает с логином. Или всем известное – йцукен
Djeid
Сообщение
26/06/2007 19:07
Копия темы
Вывод о простоте я делаю из писем от пострадавших фрилансеров. Так бы и спросил, в конце концов)
paul_nik
Сообщение
26/06/2007 19:08
Копия темы
Это самый надежный. Его никогда не забудешь, а дату рождения никто не знает. Такой пароль можно ставить везде. Лучше ставить везде один и тот же, не запутаешься.
csky
Сообщение
26/06/2007 19:09
Копия темы
Да ладно вам, Ирина, признайтесь, что на досуге взломом сайтов занимаетесь=)))))
tonnon
Сообщение
26/06/2007 19:10
Копия темы
хз смешной или нет... Старый анектод: «Если сказать компьютерщику выключить компьюетр с помощью мышки, он возмет мышку и станет тыкать в кнопку пуск» ))
Djeid
Сообщение
26/06/2007 19:11
Копия темы
А то) А по выходным у нас модераторские гулянья – кто больше людей кинет :))
Djeid
Сообщение
26/06/2007 19:15
Копия темы
Давно регистрировался? Пароль должен быть не менее 6 символов на free-lance.ru
dudniklorik
Сообщение
26/06/2007 19:19
Копия темы
ой сбросьте мне в личку, такой классный парольчег, не могу запомнить
shket1v
Сообщение
26/06/2007 19:21
Копия темы
О, прикольно Оказывается я ваш коммент удалить могу. А ссылочки нет, мне даже по асе предлагали продать ее, и спамят теперь каждую неделю мой ящик работодателя
csky
Сообщение
26/06/2007 19:22
Копия темы
Моих знаний о вас чуть стало больше :-p =)))))) (я про цвет) =)))))))
paul_nik
Сообщение
26/06/2007 19:23
Копия темы
Недавно случайно сгенерил пароль из 25 символов, под ним и зарегился – кошмар. Такое вот бывает...
dudniklorik
Сообщение
26/06/2007 19:27
Копия темы
да и парольчег теперь мой знаете.....) никому ведь не скажите, да?)
dudniklorik
Сообщение
26/06/2007 19:30
Копия темы
а это традиционная российская забава – айда на Исаев Илья [csky] смотреть!!!))
dudniklorik
Сообщение
26/06/2007 19:41
Копия темы
ну уж извиняйте я язвительной железой не управляю..))
tonnon
Сообщение
26/06/2007 19:42
Копия темы
пасиб за линк ))) *ушел формировать словари на брут шестизнаков* )))
dudniklorik
Сообщение
26/06/2007 19:43
Копия темы
зачем, я поделюсь парольчегом!!! вот пришлет мне парольчег Anthony — [tonnon] а я втихаря поделюсь с вами, вы тоже пользуйтесь на здоровье!!!))
Novich
Сообщение
26/06/2007 19:45
Копия темы
А если поставить какую-нибудь защиту от подбора паролей? Captcha поставить – но наверное не будет вписываться в дизайн сайта. Или ограничить количесто попыток входа с неправильным паролем. Например, после 5 попыток заблокировать аккаунт на некоторое время или пока администатор не разблокирует
csky
Сообщение
26/06/2007 19:45
Копия темы
в нем много цифр, я запутаюсь =)) вы меня переоцениваете=))))
clockworkbird
Сообщение
26/06/2007 19:51
Копия темы
Шифруются ли пароли, и если да, то каким образом и как – секретная информация ;) Если вы введете пароль 123 то мне никакого брутфорса не понадобится, чтобы его взломать. Я просто тупо пройдусь по разным логинам и подберу – делов то. Более того, если вы везде ставите один и тот же пароль – никакое шифрование тут не спасет. Я предлагаю пароли не давать вводить, а выдавать. Я, например, в своих проектах так всегда делаю. Есть хорошие стойкие алгоритмы + разные хитрости, если сделать – брутфорсом (автоматическим перебором с помощью программы) будет подобрать абсолютно нереально. А от перехвата предлагаю сделать https при авторизации. Этого будет достаточно.
Novich
Сообщение
26/06/2007 19:51
Копия темы
И проверку паролей на простоту ввести. Нельзя ставить простые пароли.
clockworkbird
Сообщение
26/06/2007 19:53
Копия темы
У меня везде пароли не менее 16 символов (абсолютно бредовых в разных регистрах), причем везде разные и паролей в общей сложности не менее 300, ничего – нормально работаю, не напрягает ;)
csky
Сообщение
26/06/2007 19:55
Копия темы
Я, например, очень не люблю, когда для меня генерируют пароль.
dudniklorik
Сообщение
26/06/2007 19:56
Копия темы
о!!! значит, недображелатели тоже запутаются!!! значит, симпатишный парольчег. надо юзать. ))
Novich
Сообщение
26/06/2007 19:58
Копия темы
Да, видимо нужен целый комплекс различных защит: * минимальная длина пароля n знаков * нельзя использовать простой пароль – каким-то образом проверять его на простоту или действительно генерировать, как предложили * ограничивать число попыток входа с неверным паролем * информировать пользователей использовать разные пароли а там уже ничего и не поделаешь с остальным
csky
Сообщение
26/06/2007 20:00
Копия темы
Да, в аккаунт не зайду ни я, ни недображелатели =))))Отличный ход =))))))) конем=))))))))))
clockworkbird
Сообщение
26/06/2007 20:03
Копия темы
Тут уж никто не поможет. Задача пользователей – следить за своими паролями. Задача сервиса – обеспечить секретность пароля и, по возможности, оградить пользователя от собственных идиотских действий, которые пользователь непременно совершит, если предоставить ему такую возможность (что и подтверждает данный топик).
dudniklorik
Сообщение
26/06/2007 20:05
Копия темы
2 раз за вечер на сцену выходит лошадь в простом сером пальто узковатом в плечах..)
clockworkbird
Сообщение
26/06/2007 20:05
Копия темы
Безусловно, лучше везде вводить qwerty или дату рождения, а потом удивляться как так угнали аську ) А я не люблю, когда пользователей моих сайтов «ломают». Пока таких случаев с разрабатываемыми мной сайтами не было. Ни одной жалобы. И даже я, как разработчик сайта и админ сайта, и программист, имеющий доступ к БД не могу узнать пароли пользователей сайта. Поэтому, я за свои сайты спокоен. При этом юзер всегда может на свое мыло «восстановить» пароль – пароль при этом меняется и это тоже +.
clockworkbird
Сообщение
26/06/2007 20:10
Копия темы
Ага... а завтра выв блогах напишите – поздравьте меня, у меня сегодня день варенья... Такие пароли ломали еще в эпоху появления mail.ru Дата вашего рождения хранится очень много где – в паспорте, например.
csky
Сообщение
26/06/2007 20:10
Копия темы
А дополнением вы еще раз доказали безсмысленность генерирования пароля. Не подберут пароль, значит через почту взломают. И смысл от этих плясок с бубном?
dudniklorik
Сообщение
26/06/2007 20:11
Копия темы
скажите пожалуйста!! кто мог подумать, что вы так разбираетесь в рукавах ))))
clockworkbird
Сообщение
26/06/2007 20:13
Копия темы
Вот у моих пользователей и нет таких проблем ;) Потому, что если дать юзеру волю – он непременно выберет самый плохой вариант, иначе откуда появился этот топик?
clockworkbird
Сообщение
26/06/2007 20:19
Копия темы
а почта – не в моем ведении. это проблема почтового сервера. он должен обеспечивать хотя бы https соединение, раз уж http можно сниферить. но вот такие «либералы» почему-то этого не делают. ну и конечно, сам пользователь должен следить за своей почтой и за своей аськой. Вы же не разбрасываетесь ключами от квартиры, а потеряете, наверняка смените замок. да и дверь на бумажку давно никто не закрывает. Поэтому и почту не стоит «раздавать», и антивирус не помещает, и фаервол. У меня именно так, а у вас? А если у юзера по компу толпами шарятся, тут уж, я к сожалению, бессилен, это не ко мне, я всего лишь программист, это к нейрохирургу надо ))) Моя задача – обеспечить защищенный механизм авторизации. Задача юзера – правильно им воспользоваться.
csky
Сообщение
26/06/2007 20:23
Копия темы
Про то и речь. Эта тема с генерированием уже вавно обсуждалась. Если юзер не может выставить себе нормальный пароль на сайт, то и на почту он не сможет, отсюда все ваши старания направлены лишь в сторону усложнения авторизации на вашем сайте, т.к. ваш пароль надо или запоминать, что часто просто нереально, но и каждый раз где-то брать(из почты например)...А взломать смогут в любом случае.
clockworkbird
Сообщение
26/06/2007 20:27
Копия темы
Можно и не генерировать, но тогда нужны алгоритмы проверки пароля на «лажевость» и либо не давать вводить такие нестойкие пароли, либо честно предупреждать, что вероятность «построннего доступа к аккаунту» высока. Но опыт мне подсказывает, что обязательно будут такие юзеры, которые это предупреждение проигнорируют, а потом будут выть и обвинять сам сервис. Оно это сервису надо?
clockworkbird
Сообщение
26/06/2007 20:31
Копия темы
Да нет же. Если я это сделаю, почта это сделает, и сам юзер подсуетится, то все будет в порядке. Каждый должен заниматься своим делом. Вопрос сейчас стоит о сервисе, поэтому мои предложения касаются сервиса. Если это сделать, со стороны сервиса «косяков» не будет. То, что юзеры вводят qwerty – это не баг юзера – это баг сервиса – он это разрешает. А почта и сам юзер – это уже отдельный вопрос, который тоже решаем, но который находится вне компетенции данного топика.
csky
Сообщение
26/06/2007 20:36
Копия темы
Здесь никто никого не держит, я так полагаю. Обвинять можно только если сам сервис взломают и возьмут все конфиденциальные данные.
dudniklorik
Сообщение
26/06/2007 20:38
Копия темы
ну... у нас периферия.... не поспеваем следить за новостями и новомодностями... талию до сих пор занижаем... ))
clockworkbird
Сообщение
26/06/2007 20:47
Копия темы
Вы меня не понимаете ( Мы решаем не проблему интернета, ) а проблему данного сервиса. А спор – это хорошо, «в спорах рождается истина». В любом случае, фри-ланс очень чутко прислушивается к мнению своих пользователей (за что я его и люблю), уверен, ваше мнение будет учтено при решении данного вопроса )
clockworkbird
Сообщение
26/06/2007 21:00
Копия темы
Ирин, отвечают программисты: Все очень просто ) Шифрование бывает разное: 1. шифрование, которое можно обратно расшифровать (надо знать «ключ» по которому шифровалось, с его помощью можно расшифровать) – это вариант, когда от сервера (того же icq) по запросу, приходит тот самый пароль, который ты вводила. 2. шифрование, которое нельзя расшифровать (на самом деле можно, на на это потребуются огромные вычислительные мощности и масса времени, в общем, пока это нереально) – в этом случае пароль шифруется и в базе сохраняется «хэш» – зашифрованный вариант. При авторизации введенный пароль шифруется снова и сравнивается с тем «хэшем», что хранится в базе, если они совпадают (при шифровании один и тот же пароль дает один и тот же «хэш»), то значит введен верный пароль. Такой пароль нельзя восстановить – можно только сменить на новый – при восстановлении пароля, в этом случае, приходит новый пароль. Второй способ более надежный. Но если пароль простой, то его можно подобрать и, соответственно, получить доступ – шифрование не спасает. Шифрование помогает только от случая получения доступа к БД и похищения паролей – зашифрованный пароль злоумышленнику ничего не даст.
clockworkbird
Сообщение
26/06/2007 21:03
Копия темы
абсолютно. вы хотите сказать, что ни один человек на свете не знает дня вашего рождения? ;)
clockworkbird
Сообщение
26/06/2007 21:21
Копия темы
не дошло – повёлся ))) а я уже брут запустил на 6 цифр в определенных пределах... пошел кэнселить... хотя... путь отработает ;)))
dudniklorik
Сообщение
26/06/2007 21:39
Копия темы
проверяете, слышали ли мы на периферии про фотографию?))))))))))))
csky
Сообщение
26/06/2007 21:57
Копия темы
Да что вы, мне так – любопытно очень=))))) (маленькая и темная – посветлее бы) =))))))
dudniklorik
Сообщение
26/06/2007 22:10
Копия темы
я – в люлю... время позднее, и черным, и белым, и зайчикам, и мышам, и грустному коню в пальто – всем спать пора...)))
csky
Сообщение
26/06/2007 22:17
Копия темы
0 1
В общем мне тоже пора, и вам, Лариса, тоже приятных снов=) |
|
Выразить восторг, поругаться или предложить что-нибудь можно на форуме |
Для обсуждения этого сервиса так же есть темы на фрилансе по поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал" |