Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Реплика: статистика используемых паролей по опубликованным базам
Недавно очередной раз опубликовали базу аккаунтов “ВКонтакте”, по которой построили распределение паролей по частоте использования. Результат там вполне предсказуемый, лидирует что-то вроде “123456”. Интересно другое. Немалое число людей, публикующих эту статистику, делают вывод, что всё плохо с безопасностью у пользователей, и дают советы и рекомендациями о том, как же нужно выбирать “неугадываемый” пароль, чтобы, мол, не оказаться в “верхушке данного списка”. Да, у пользователей с безопасностью плохо, а пароли нужно выбирать стойкие. Эти банальные советы, в данном контексте, выглядят особенно забавно. Посудите сами: причиной для раздачи советов является статистика, построенная по базе, где пароли уже содержатся в открытом виде. И какая разница, насколько “неугадываемый” пароль вы выбрали, если через два дня этот пароль будет опубликован вместе с остальными данными аккаунта, утекшими от провайдера сервиса?
()
Похожие записки:
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- Вращение Солнца и соцопросы
- Десятилетие DNSSEC в российских доменах
- Техническое: связь SCT-меток с логами Certificate Transparency
- Пресертификаты в Certificate Transparency
- Про цепочки, RSA и ECDSA
- S/MIME-сертификаты ТЦИ
- HTTPS-запись в DNS для dxdt.ru
- Удостоверяющий центр TLS ТЦИ
- Ретроспектива заметок: деанонимизация по географии
- Техническое описание TLS: обновление 2022
- DNS как транспорт для сигналов и данных
- Браузеры и перехват TLS без участия УЦ
Комментарии читателей блога: 2
1. 7th June 2016, 19:06 // Читатель Jeff Zanooda написал:
Смысл рекомендаций не столько в том, чтобы выбирать неугадываемый пароль, сколько в том, чтобы не использовать один и тот же неугадываемый пароль на разных сайтах.
Если бы все сайты хранили пароли в виде солёных хешей, то второе требование было бы излишним. Каждый может запомнить один неугадываемый пароль. Но поскольку разработчики даже больших сайтов не догадываются о необходимости хешировать пароли, так делать нельзя.
2. 8th June 2016, 11:51 // Читатель Anton написал:
По-хорошему да, нужно хранить хэшированный пароль,
да и зачем его хранить в открытом виде?
Только чтобы самому подбирать на других сайтах входы :-)