Реплика: статистика используемых паролей по опубликованным базам
Недавно очередной раз опубликовали базу аккаунтов “ВКонтакте”, по которой построили распределение паролей по частоте использования. Результат там вполне предсказуемый, лидирует что-то вроде “123456”. Интересно другое. Немалое число людей, публикующих эту статистику, делают вывод, что всё плохо с безопасностью у пользователей, и дают советы и рекомендациями о том, как же нужно выбирать “неугадываемый” пароль, чтобы, мол, не оказаться в “верхушке данного списка”. Да, у пользователей с безопасностью плохо, а пароли нужно выбирать стойкие. Эти банальные советы, в данном контексте, выглядят особенно забавно. Посудите сами: причиной для раздачи советов является статистика, построенная по базе, где пароли уже содержатся в открытом виде. И какая разница, насколько “неугадываемый” пароль вы выбрали, если через два дня этот пароль будет опубликован вместе с остальными данными аккаунта, утекшими от провайдера сервиса?
Адрес записки: https://dxdt.ru/2016/06/07/7965/
Похожие записки:
- Mozilla Firefox и внедрение рекламных сообщений
- Модули DH в приложении Telegram и исходный код
- Говорилки в google-поиске
- Пресертификаты в Certificate Transparency
- Удаление "неактивных" google-аккаунтов
- Влияние систем ИИ на процессы в мире
- Техническое описание TLS: обновление 2022
- Как правильно "показать TLS-сертификат", рекомендации
- Сервис для просмотра логов Certificate Transparency
- "Блокирующие" источники случайности в операционных системах
- Про цепочки, RSA и ECDSA
Комментарии читателей блога: 2
1. 7th June 2016, 19:06 // Читатель Jeff Zanooda написал:
Смысл рекомендаций не столько в том, чтобы выбирать неугадываемый пароль, сколько в том, чтобы не использовать один и тот же неугадываемый пароль на разных сайтах.
Если бы все сайты хранили пароли в виде солёных хешей, то второе требование было бы излишним. Каждый может запомнить один неугадываемый пароль. Но поскольку разработчики даже больших сайтов не догадываются о необходимости хешировать пароли, так делать нельзя.
2. 8th June 2016, 11:51 // Читатель Anton написал:
По-хорошему да, нужно хранить хэшированный пароль,
да и зачем его хранить в открытом виде?
Только чтобы самому подбирать на других сайтах входы :-)