Wyżalenie się na durną politykę siły haseł

Po ambitnym i przeintelektualizowanym tytule wątku przejdę może do rzeczy.

Czy tylko mnie denerwuje fakt że niektóre serwisy ustalają jakieś bezmyślne zasady dotyczące siły hasła? Przez to praktycznie nigdzie nie mogę się zarejestrować z moim - silnym! - hasłem bo dostaje w oczy komunikatem że "hasło musi zawierać co najmniej jedną literę". Za chwilę będą wymagane hasła z małą i dużą literą, cyfrą, białym znakiem, znakiem specjalnym, znakiem interpunkcyjnym o długości min. 30 znaków. Rozumiem jakbym miał hasło "marysia" - chociaż i tak życzę powodzenia przy próbach zgadnięcia tego bez brute force - ale moje hasła (mam 4, każde do czego innego) wyglądają w przybliżeniu tak: 1762504951. Albo tak: 79546956582.* KOMU TO PRZESZKADZA? A nawet jeśli to moja sprawa że jestem durnym casualem i nie potrafię zabezpieczyć swoich danych w sensowny sposób.

• Uprzedzam że próby włamania się na moje konto za pomocą tych haseł są skazane na niepowodzenie :)
  PS. Przepraszam za lekką chaotyczność.

Silne hasła są przereklamowane.

Dokladnie, zgadzam sie z tym.

Pol biedy jezeli aplikacja wyswietla komunikat informacyjny, ze haslo jest za silne. Ale blokowanie mozliwosci rejestracji z tego powodu... :/ tez mnie to wkurza. Przez to nie pamietam hasla do niektorych serwisow, bo musialem uzyc jakiegos niestandardowego, aby spelnialo wymagania tworcow :]

dlaczego?! zastanówcie się ile razy sami ulegaliście różnym pokusom w zakresie bezpieczeństwa lub ucząc się dania trochę sobie luzu w tym, jakby się chciało trochę inaczej niż zwykle coś zrobić :) ktoś zrobił, a inna małpa powtarza

http://blogs.wsj.com/digits/2010/12/13/the-top-50-gawker-media-passwords/
Wypas hasełka :)

TO są silne hasła:
s4acuYAt-aQ$pus!efr3ReNu2hequhatUDra3ru9A92e7e#aje7U8ahecRa6E23Urega+EspANaVeDA?2PuFAwr3ph59pEPhUsT2&re!rukaduwraWru#T9rUNa@Atu

Albo:
sweP9fuFRud&$t=theCh3Q-cA+TUC2K+vuFraHsweP9fuFRud&$t=theCh3Q-cA+TUC2K+vuFraHEg&DrExEfrusayuWedAtraVUrAEg&DrExEfrusayuWedAtraVUrA

E, to są słabe hasła. Ich się nie da zapamiętać, więc trzeba je gdzieś zapisać. Najlepiej w łatwo dostępnym miejscu.

I co z tego, ze zapisac :P? Ja mam zapisane w szyfrowanym pliku txt :P A hasla wlasnie wygladaja dosc podobnie do podanych przez othello. A pliczek txt to juz w ogole przypadkowe znaczki wiec powodzenia :P

taak i pewnie ten plik szyfrowany jest zabezpieczony hasłem 'dupa' albo '1234'

Moje hasło do Facebooka to imię stryjaszka prababci żony szwagra po kądzieli. Nikt się nie dowie :P

polaczek17 napisał(a)

I co z tego, ze zapisac :P? Ja mam zapisane w szyfrowanym pliku txt :P A hasla wlasnie wygladaja dosc podobnie do podanych przez othello. A pliczek txt to juz w ogole przypadkowe znaczki wiec powodzenia :P

Podstawy się kłaniają:

... system jest na tyle bezpieczny co jego najsłabsze ogniwo. Więcej ogniw nie zwiększa istotnie bezpieczeństwa ...

PS. polaczek17 nie tylko deus uważa że Twoje posty są na niskim poziomie i że zazwyczaj nie wnoszą nic znaczącego do tematu, więc radził bym Tobie nabrać trochę pokory.

kubARek napisał(a)

Moje hasło do Facebooka to imię stryjaszka prababci żony szwagra po kądzieli. Nikt się nie dowie :P

Atak słownikowy się dowie. Chyba że stryj ma nazwisko po pradziadzie w połódniowo-górskim dialekcie seczułańskim, który z racji braku obsługi alfabetu w UTF-16 musisz wprowadzać w formie szesnastkowej binarną postać obrazka PNG :D

Plik z hasłami polaczka17 jest zaszyfrowany w nowatorski sposób. Odszyfrowana wersja pokazuje się na pulpicie dopiero, gdy polaczek włoży swojego penisa w odpowiedni otwór w obudowie.

Jakoś za często nie czytałem wypowiedzi Polaczka i może ostatnio za często nie ma mnie na forum.. ale nie rozumiem dlaczego mu tak dosrywacie..

Poczytaj:
http://forum.p-zone.pl/1-vt15664.html?postdays=0&postorder=asc&start=0
http://psych0.net78.net/portal/forum/viewthread.php?thread_id=66
http://hackme.pl/forum/viewthread.html?thread_id=11749&pid=84280
http://www.fotka.iq24.pl/default.asp?grupa=55342&temat=46390
Pomimo, że powyższe posty mają już trochę wieku, to po postach poLaczka na 4p nie widać żadnej poprawy, gość dalej jest zwyczajnie $^%&$%. I te pier****ne emoty w każdym poście.

Ja proponuje dopisać specjalnie dla niego anulowanie dodawania tematu / postu, jeśli w polu Autor jest nazwa "polaczek" - taki persoBan.

Specjalnie piszę nie zalogowany, bo nie mam ochoty wdawać się z nim w późniejsze dyskusje, wywody, które do niczego nie prowadzą. Mam tylko marzenie, aby nie widywać już jego wypocin. No chyba, że w końcu się zreflektuje i zmądrzeje.

hahaha psychoteam o loool :D

Pomimo, że powyższe posty mają już trochę wieku

"Trochę" to malo powiedziane w tym przypadku :D Jeszcze Prins tam mial nick swoj stary. Ech stare czasy. Moje emotki sa jakby znakiem rozpoznawczym. Moga troche wkurzac, przyznaje, ale kiedys walilem ich o wieeele wiecej. ( co zreszta widac w powyzszych postach ).
Posty postami ale gdy jestem prowokowany do wymiany zdan to coz innego robic?

Niemniej dobra wiadomosc dla wszystkich ktorych wkurzam ze juz za niedlugo zwijam sie z forum. Tzn nie na zawsze, ale trzeba pracowac nad nowa wersja programu i sie uczyc. Tak wiec czasu dla forum nie bedzie.

No i tyle w temacie.

polaczek17 napisał(a)

"Trochę" to malo powiedziane w tym przypadku :D Jeszcze Prins tam mial nick swoj stary. Ech stare czasy. Moje emotki sa jakby znakiem rozpoznawczym. Moga troche wkurzac, przyznaje, ale kiedys walilem ich o wieeele wiecej. ( co zreszta widac w powyzszych postach ).
Posty postami ale gdy jestem prowokowany do wymiany zdan to coz innego robic?

Dużo się od wtedy nie zmieniło. Masz ego odwrotnie proporcjonalne do argumentów.

Prowokowany ? jakiś user z łaski swojej odpalił twój kiepski soft i mówi najpierw że aplikacje nie rysuje, a potem że jednak rysuje tylko trzeba w nieintuicyjny sposób pokombinować aby zaczął.
Twoja reakcja ? zbesztanie user'a że kiepskie testy robi i że nie przestudiował strony www programu ... żałosne ....

Mógłbyś po prostu odejść i nie wracać ? oddał byś przysługę temu forum.

walec51 akurat co do tamtego tematu radze poczytac calosc. Koles od poczatku klamal i udawal ze jest RE wybitny... a nie wiedzial co to STL... myslal ze ja napisalem STL-a czy jakos tak O_o

A ja bym nie chcial aby polaczek sobie poszedl. Czym byloby forum bez polaczka :)

Odczepcie się od polaczka, miał 6 dziewczyn, każdą po 1 razie (w sumie 6 razy) - kto podskoczy?

Ap ropo tematu: Na nazwie kure**** już pełną parą.

Hasło powinno składać się z min. 8 znaków oraz zawierać przynajmniej jedną cyfrę lub znak specjalny, dwie duże i jedną małą literę. Hasło nie może zawierać polskich liter.

A ja mam hasło 8 znakowe złożone z liter i cyfr i mimo że jest tak samo pozornie bezpieczne jak inne hasła nie mogę go wpisać.

Już sobie wyobrażam hasła przyszłości:

Hasło powinno zawierać przynajmniej 255 znaków, z czego przynajmniej 30% musi być literami, 8% głoskami, zawierać przynajmniej 40 cyfr, gdzie żadna nie powtarza się częściej niż 3 razy na 10 znaków. Hasło powinno zawierać przynajmniej 3 znaki z alfabetu chińskiego oraz 3 z alfabetu arabskiego. Ze względów bezpieczeństwa wpisywanie hasła nie może trwać dłużej niż 10 sekund, a w trakcie wpisywania operacja wklejania będzie niedostępna.

Tiaa...

Demonical Monk napisał(a)

Już sobie wyobrażam hasła przyszłości:

Hasło powinno zawierać przynajmniej 255 znaków, z czego przynajmniej 30% musi być literami, 8% głoskami, zawierać przynajmniej 40 cyfr, gdzie żadna nie powtarza się częściej niż 3 razy na 10 znaków. Hasło powinno zawierać przynajmniej 3 znaki z alfabetu chińskiego oraz 3 z alfabetu arabskiego. Ze względów bezpieczeństwa wpisywanie hasła nie może trwać dłużej niż 10 sekund, a w trakcie wpisywania operacja wklejania będzie niedostępna.

Tiaa...

A ja sobie wyobrażam że podpisy elektroniczne się po prostu upowszechnią

Tylko że podpisy elektroniczne są zagrożone w ten sam sposób co OpenID. W końcu kiedyś się zaczną masshacki.

Demonical Monk napisał(a)

Tylko że podpisy elektroniczne są zagrożone w ten sam sposób co OpenID. W końcu kiedyś się zaczną masshacki.

W OpenID słabymi ogniwami są serwery dostawcy, które zazwyczaj są amatorskie oraz to że samo hasło do OpenID leci sobie po przeglądarce, systemie operacyjnym, łączu sieciowy itp.

Podpisy elektroniczne to zupełnie inne rozwiązanie, sam kod podpisu nie wylatuje z czytnika, a o masshackach na kryptografii asymetrycznej nie słyszałem.

Nie słyszałeś o robieniu SSL w h***? To jest zabawa z asymetryczną.

Demonical Monk napisał(a)

Nie słyszałeś o robieniu SSL w h***? To jest zabawa z asymetryczną.

Słyszałem. No i ? A słyszałeś o masshackach SSL'a ?

Kwestia czasu, da się rozpracować tak jak wszystko i najczęściej najsłabszym ogniwem będzie debilizm narodu.

Demonical Monk napisał(a)

Kwestia czasu, da się rozpracować tak jak wszystko i najczęściej najsłabszym ogniwem będzie debilizm narodu.

Rozumiem że jest osobą myślącą logicznie i skoro doszedłeś do takiej konkluzji to nie trzymasz pieniędzy na koncie bankowym ?
W końcu to tylko kwestia czasu dopóki z stamtąd znikną.

Czas biegnie, moce obliczeniowe rosną, algorytmy robią się coraz bardziej złożone, klucze są coraz dłuższe.
Wiec chyba raczej możemy spać spokojnie i polegać na podpisach elektronicznych

poza tym pomyślcie co się stanie jak podrabianie podpisów odręcznych stanie się możliwe ?
Wtedy się dopiero obecny ład zacznie walić :)

Można mieć klucz elektroniczny złożony z kilku podkluczy od różnych dostawców, a te podklucze mogą być wymieniane co kilka miesięcy. Ryzyko się zmniejszy :)

Niedługo to haseł będą wymagali takich: 조선민주주의인민공화국
Gorsze od wydziwień składniowych są hasła z ograniczeniem czasowym, np. na konto użytkownika w windows.
A potem user, nie chcąc wymyślać nowego (skomplikowanego!) hasła zmienia tylko cyfrę z miesiącem na końcu.

Ze względów bezpieczeństwa, to chyba lepiej wymusić zmianę hasła niż tego nie robić.
A stopień podobieństwa nowego i starego hasła da się chyba kontrolować.

somekind napisał(a)

Ze względów bezpieczeństwa, to chyba lepiej wymusić zmianę hasła niż tego nie robić.
A stopień podobieństwa nowego i starego hasła da się chyba kontrolować.

Niby tak ale jest to rozwiązanie wyjątkowo upierdliwe. Zwłaszcza jak ktoś nie często korzysta z danej usługi (tak jak np. ja z allegro, na sourceforge to przywracam niemal zawsze hasło bo zapominam ostatnie :) )
Jeżeli mamy już coś tak cennego żeby to wymuszać to może już lepiej to tokeny rozsyłać ?
Chyba jak się je masowo zamówi to już powoli się tanie te urządzonka robią.