Реплика: статистика используемых паролей по опубликованным базам
Недавно очередной раз опубликовали базу аккаунтов “ВКонтакте”, по которой построили распределение паролей по частоте использования. Результат там вполне предсказуемый, лидирует что-то вроде “123456”. Интересно другое. Немалое число людей, публикующих эту статистику, делают вывод, что всё плохо с безопасностью у пользователей, и дают советы и рекомендациями о том, как же нужно выбирать “неугадываемый” пароль, чтобы, мол, не оказаться в “верхушке данного списка”. Да, у пользователей с безопасностью плохо, а пароли нужно выбирать стойкие. Эти банальные советы, в данном контексте, выглядят особенно забавно. Посудите сами: причиной для раздачи советов является статистика, построенная по базе, где пароли уже содержатся в открытом виде. И какая разница, насколько “неугадываемый” пароль вы выбрали, если через два дня этот пароль будет опубликован вместе с остальными данными аккаунта, утекшими от провайдера сервиса?
Адрес записки: https://dxdt.ru/2016/06/07/7965/
Похожие записки:
- LLM и "решения" задач
- TLS 1.3 в Рунете
- Наложенные сети Google и браузеры в будущем
- Сервис проверки настроек веб-узлов
- URL и ссылки в письмах
- DNS-over-TLS как инструмент трансляции доверия в DNSSEC
- YandexGPT и степени тройки
- Централизованные мессенджеры и многообразие мест хранения сообщений
- "Двухфакторная" аутентификация и Google Authenticator
- Обновление описания TLS
- Ранжирование Apple приложений-мессенджеров
Комментарии читателей блога: 2
1 <t> // 7th June 2016, 19:06 // Читатель Jeff Zanooda написал:
Смысл рекомендаций не столько в том, чтобы выбирать неугадываемый пароль, сколько в том, чтобы не использовать один и тот же неугадываемый пароль на разных сайтах.
Если бы все сайты хранили пароли в виде солёных хешей, то второе требование было бы излишним. Каждый может запомнить один неугадываемый пароль. Но поскольку разработчики даже больших сайтов не догадываются о необходимости хешировать пароли, так делать нельзя.
2 <t> // 8th June 2016, 11:51 // Читатель Anton написал:
По-хорошему да, нужно хранить хэшированный пароль,
да и зачем его хранить в открытом виде?
Только чтобы самому подбирать на других сайтах входы :-)