Sens blokowania rejestracji przez mechanizm siły hasła

Odpowiedz Nowy wątek
2011-08-21 23:40
0

Witam,

próbując zarejestrować się w serwisie np. Gmail i wpisując hasło dostaję komunikat, iż jest za słabe. Pół biedy gdyby to był tylko napis ostrzegawczy, ale to uniemożliwia mi rejestrację.

Nachodzą mnie niemiłe myśli na temat twórców tego mechanizmu...

Argumenty przeciw takiej polityce bezpieczeństwa:

  1. Muszę wymyślać nowe hasło, które prawdopodobnie zapomnę gdyż to wszystkich mało ważnych serwisów mam takie samo hasło.
  2. Nerwy...
  3. "Uszczęśliwianie" na siłę.

O ile do samego wskaźnika bezpieczeństwa haseł nic nie mam, to branie jego wyniku przy rejestracji jest moim zdaniem złym pomysłem.

Pozostało 580 znaków

2011-08-22 01:28
gryrtyteyr
0

tylko że nowi i niedoświadczeni użytkownicy nie myślą w ogóle że ktoś będzie próbował się zalogować na ich konto i 90% haseł to byłyby po prostu imiona / nazwisko albo coś oczywistego właścicieli
takie rozwiązanie wymaga od użytkownika żeby trochę pomyślał, bo potem przy włamie nie miałby pretensji do siebie tylko do tego serwisu
w przypadku banków jeszcze pewnie by niektórzy żądali odszkodowania

dlatego wydaje mi się to dobrym pomysłem w przypadku banków i poczty (po której przejęciu można zazwyczaj zawładnąć kogoś tożsamością w Internecie i w niektórych przypadkach pewnie też umożliwia uzyskanie dostępu do banku albo przynajmniej pozyskanie numeru karty pozwalając zrobić sobie na kogoś koszt zakupy), ale w przypadku wszystkich innych serwisów to faktycznie debilne

Pozostało 580 znaków

2011-08-22 09:49
0

Zawsze można trzymać hasła w postaci zaszyfrowanej na jakimkolwiek nośniku danych. Zawsze tak robię, hasła mam w stylu:
Fp0894509KpG456vxsF45$
o ile znaki specjalne wykorzystać można.
Kont takich i podobnych mam założonych mnóstwo na wszelkich różnych portalach, najczęściej są to konta fikcyjne, gdzie nicki wyglądają podobnie jak te hasła. Zero problemów, moje pliki zawsze są odpowiednio zabezpieczone na wszelkie ewentualności.

Także ludzie, trochę mniej marudzenia -_-

To jest chyba najsensowniejsze podejście, choć ja akurat trzymam hasła w Chromie (używa keychaina z Gnome'a), wygoda to też plus. - Zjarek 2011-08-22 21:29
no, bardzo sensowne.. szczególnie, jak nagle chcesz zajrzeć do poczty na czyimś kompie będąc na wyjeździe - powodzenia... - Marooned 2011-08-23 00:26
Mając hasło do konta możesz je wszystkie odczytać i wyeksportować. - Zjarek 2011-08-23 00:34
Płyta, program na niej, hasła na niej. Odpalić i co za problem? Zresztą ponowiłem to co napisał Zjarek. - polaczek17 2011-08-23 10:51

Pozostało 580 znaków

2011-08-22 12:18
0

Xkcd podsumował to pięknie, w dwóch stripach:
Password Strenght - http://xkcd.com/936/
Password Reuse - http://xkcd.com/792/

Pozostało 580 znaków

2011-08-22 20:53
0

Gorzej, jeśli nie chce przepuścić zbyt mocnego / długiego hasła - a tak mi się zdarza najczęściej. Na przykład na paypalu jest limit do 20 znaków - musiałem obciąć hasło o ponad połowę.

edytowany 1x, ostatnio: iooi, 2011-08-22 20:53
o_O pozamiatałeś :D - byku_guzio 2011-08-22 22:38

Pozostało 580 znaków

2011-08-22 23:01
msm
0

Widzę że nie tylko ja walczę ze złem bezprawiemsensem :] (chociaż byłem bardziej bezpośredni w tytule)
Wyżalenie się na durną politykę siły haseł

Efekt jest IMO taki że większość ludzi ma hasła typu [email protected] i używa tego samego na każdym swoim koncie.

polaczek17 napisał(a)

Także ludzie, trochę mniej marudzenia -_-

Można? Można. Ale zauważ ile Cię kosztuje coś co powinno być najprostsze z możliwych (bezpieczna autoryzacja użytkownika).

edytowany 1x, ostatnio: msm, 2011-08-22 23:01

Pozostało 580 znaków

2011-08-23 01:21
0
aurel napisał(a)

Password Strenght - http://xkcd.com/936/

Nie znam konwencji, to jest na poważnie? Przecież przy realnym ataku to drugie padnie znacznie szybciej niż pierwsze.


"HUMAN BEINGS MAKE LIFE SO INTERESTING. DO YOU KNOW, THAT IN A UNIVERSE SO FULL OF WONDERS, THEY HAVE MANAGED TO INVENT BOREDOM."

Pozostało 580 znaków

2011-08-23 01:32
0

@up: wystarczy, że jedno ze słów będzie nietypowe, czytaj - nie będzie go w słowniku, i już nie będzie takie proste.
Z resztą zaraz - w ogóle dlaczego niby padnie znacznie szybciej niż to pierwsze? Najpierw myślałam, że masz na myśli metodę słownikową, ale przecież metoda słownikowa sprawdza po jednym słowie...

Pozostało 580 znaków

2011-08-23 01:40
0
somekind napisał(a)
aurel napisał(a)

Password Strenght - http://xkcd.com/936/

Nie znam konwencji, to jest na poważnie? Przecież przy realnym ataku to drugie padnie znacznie szybciej niż pierwsze.

Masz pokazaną entropię w postaci kwadracików. Coś jest niezrozumiałe? Cztery popularne słowa to 4 entropia jednego popularnego słowa, czyli 4 11 bitów. Jedno słowo z różnymi udziwnieniami to 16 bitów dla zakodowania rzadkiego słowa + 4 bity na zakodowanie udziwnień + 8 bitów na zakodowanie dwóch znaczków na końcu = 28 bitów.


"Programs must be written for people to read, and only incidentally for machines to execute." - Abelson & Sussman, SICP, preface to the first edition
"Ci, co najbardziej pragną planować życie społeczne, gdyby im na to pozwolić, staliby się w najwyższym stopniu niebezpieczni i nietolerancyjni wobec planów życiowych innych ludzi. Często, tchnącego dobrocią i oddanego jakiejś sprawie idealistę, dzieli od fanatyka tylko mały krok."
Demokracja jest fajna, dopóki wygrywa twoja ulubiona partia.

Pozostało 580 znaków

2011-08-23 02:44
0
aurel napisał(a)

Z resztą zaraz - w ogóle dlaczego niby padnie znacznie szybciej niż to pierwsze?

Metoda słownikowa sprawdzająca kilka słów na raz chyba będzie szybsza niż brute-force? Tak mi się przynajmniej wydaje... Chociaż w świetle wypowiedzi Wibowita już sam nie jestem pewien.


"HUMAN BEINGS MAKE LIFE SO INTERESTING. DO YOU KNOW, THAT IN A UNIVERSE SO FULL OF WONDERS, THEY HAVE MANAGED TO INVENT BOREDOM."

Pozostało 580 znaków

2011-08-23 09:38
0

@up: O ile wiemy, że hasło ma 4 wyrazy, to może i tak, ale w momencie gdy nasza metoda musi przelecieć po kolei - jednowyrazowe, dwuwyrazowe, trzywyrazowe itd. to się robi już straszna ilość sprawdzeń...
Zrób z jednego wyrazu nazwę własną i pozamiatane.

Jeśli wiemy że hasło jest wyrazowe to sprawdzenie n-wyrazowych to nic w porównaniu z (n+1)wyrazowych. Na przykład mamy 1000 wyrazów, więc 3wyrazowych mamy 1000000000 a 4 wyrazowych mamy 1000 * 1000000000 - msm 2011-08-23 17:36

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0