Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS. Ресурсы: LaTeX - DNSSEC: проверка, внедрение
Реплика: статистика используемых паролей по опубликованным базам
Недавно очередной раз опубликовали базу аккаунтов “ВКонтакте”, по которой построили распределение паролей по частоте использования. Результат там вполне предсказуемый, лидирует что-то вроде “123456”. Интересно другое. Немалое число людей, публикующих эту статистику, делают вывод, что всё плохо с безопасностью у пользователей, и дают советы и рекомендациями о том, как же нужно выбирать “неугадываемый” пароль, чтобы, мол, не оказаться в “верхушке данного списка”. Да, у пользователей с безопасностью плохо, а пароли нужно выбирать стойкие. Эти банальные советы, в данном контексте, выглядят особенно забавно. Посудите сами: причиной для раздачи советов является статистика, построенная по базе, где пароли уже содержатся в открытом виде. И какая разница, насколько “неугадываемый” пароль вы выбрали, если через два дня этот пароль будет опубликован вместе с остальными данными аккаунта, утекшими от провайдера сервиса?
()
Похожие записки:
- "Умные" пистолеты
- Техническое: ротация корневого ключа DNSSEC
- Занимательные каналы утечки
- Реплика: снова биометрическая идентификация для банков
- Сеть Биткойн, блокчейн и квантовые компьютеры
- Подделка сигнала GPS (GPS-спуфинг)
- Техническое: типовые настройки DH и возможные закладки
- Symantec и браузер Chrome
- Сложности стеганографии
- F/A-18 вместо F-35
- Самоуправляемые автомобили: "злоупотребление" протоколами
- Помехи GPS
- Смартфон, скрытно прослушивающий разговоры
- Кванты, квантовая криптография с компьютерами
- Прикладная криптография для Arduino: шифр Speck, сравнение с шифром "Магма"
- Квантовый компьютер и криптоанализ симметричных шифров
- Квантовое распределение ключей и практическая безопасность
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 2
1. 7th June 2016, 19:06 // Читатель Jeff Zanooda написал:
Смысл рекомендаций не столько в том, чтобы выбирать неугадываемый пароль, сколько в том, чтобы не использовать один и тот же неугадываемый пароль на разных сайтах.
Если бы все сайты хранили пароли в виде солёных хешей, то второе требование было бы излишним. Каждый может запомнить один неугадываемый пароль. Но поскольку разработчики даже больших сайтов не догадываются о необходимости хешировать пароли, так делать нельзя.
2. 8th June 2016, 11:51 // Читатель Anton написал:
По-хорошему да, нужно хранить хэшированный пароль,
да и зачем его хранить в открытом виде?
Только чтобы самому подбирать на других сайтах входы :-)