Реплика: статистика используемых паролей по опубликованным базам
Недавно очередной раз опубликовали базу аккаунтов “ВКонтакте”, по которой построили распределение паролей по частоте использования. Результат там вполне предсказуемый, лидирует что-то вроде “123456”. Интересно другое. Немалое число людей, публикующих эту статистику, делают вывод, что всё плохо с безопасностью у пользователей, и дают советы и рекомендациями о том, как же нужно выбирать “неугадываемый” пароль, чтобы, мол, не оказаться в “верхушке данного списка”. Да, у пользователей с безопасностью плохо, а пароли нужно выбирать стойкие. Эти банальные советы, в данном контексте, выглядят особенно забавно. Посудите сами: причиной для раздачи советов является статистика, построенная по базе, где пароли уже содержатся в открытом виде. И какая разница, насколько “неугадываемый” пароль вы выбрали, если через два дня этот пароль будет опубликован вместе с остальными данными аккаунта, утекшими от провайдера сервиса?
Адрес записки: https://dxdt.ru/2016/06/07/7965/
Похожие записки:
- Экспериментальный сервер TLS 1.3 - отключение
- Скрытые сервисы и прокси
- Обновление описания TLS
- HTTPS-запись в DNS для dxdt.ru
- Нормализация символов Unicode и доменные имена
- Пеленгация с разнесением по времени
- Статья: DNS в качестве инструмента публикации вспомогательной информации
- Контринтуитивное восприятие ИИ на примере из криптографии
- "Блокирующие конусы" на автомобилях-роботах
- Физико-химические структуры от AI Google
- Постквантовые криптосистемы и квантовые компьютеры
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 2
1. 7th June 2016, 19:06 // Читатель Jeff Zanooda написал:
Смысл рекомендаций не столько в том, чтобы выбирать неугадываемый пароль, сколько в том, чтобы не использовать один и тот же неугадываемый пароль на разных сайтах.
Если бы все сайты хранили пароли в виде солёных хешей, то второе требование было бы излишним. Каждый может запомнить один неугадываемый пароль. Но поскольку разработчики даже больших сайтов не догадываются о необходимости хешировать пароли, так делать нельзя.
2. 8th June 2016, 11:51 // Читатель Anton написал:
По-хорошему да, нужно хранить хэшированный пароль,
да и зачем его хранить в открытом виде?
Только чтобы самому подбирать на других сайтах входы :-)