Thank you, Captain Asshole

Aug. 9th, 2017 11:54 am
ny_quant: (Default)
[personal profile] ny_quant
Bill Burr had advised users to change their password every 90 days and to muddle up words by adding capital letters, numbers and symbols - so, for example, "protected" might become "pr0t3cT3d4!". Mr Burr now acknowledges that his 2003 manual was "barking up the wrong tree".

Ну чо, не прошло и 15 лет как до него дошло. Молодец.

А нам тем временем продолжают втюхивать эту бредятину на ежегодных учёбах по компьютерной безопасности. Недавно было публичное выступление нашего главного по этой части, где я в свойственной мне деликатной манере ему тонко намекул на это толстое обстоятельство, но он не понял.

http://www.bbc.com/news/technology-40875534
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2017-08-09 04:10 pm (UTC)
brmail: (письмецо)
From: [personal profile] brmail
у меня на прошлой работе домейн помнил последние 15 паролей, (смена пароля раз в 90 дней обязательна) , пароли должны были быть не короче 8 знаков, содержать нижний и верхний регистра, как минимум 1 цифру и один символ. При этом - та-дамм! проверял новые пароли на похожест на старые. Те если по его мнению пароль Bof_3345 не может быть принят потому что был ранее пароль Bof_1234
Я держал свои (все использованные) пароли в спец-приложении в телефоне. Так как не только нужно помнить текущий пароль, но и задавая новый не пересечся с паролями заданными ранее. Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

Date: 2017-08-09 04:30 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
// Bof_3345 не может быть принят потому что был ранее пароль Bof_1234

Ни хрена себе!

Date: 2017-08-09 04:32 pm (UTC)
From: [identity profile] yankel.livejournal.com
Ну, надо же чем то Chief Security Officer заниматься, если делать нехер.

(no subject)

From: [identity profile] ny-quant.livejournal.com - Date: 2017-08-09 04:52 pm (UTC) - Expand

Date: 2017-08-09 04:49 pm (UTC)
brmail: (Default)
From: [personal profile] brmail
причем какой конкретно регексп у них там проверяет пароли мне так и не удалось узнать - тайна это. А так вводишь новый пароль при смене (дважды) и она тебе тут же отлуп - пароль не может быть использован так как он похож на один из предыдуших. Я к счастью там проработал не так долго чтобы это стало проблемой.

Date: 2017-08-09 04:50 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
// Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

Это, кстати, ровно то, что я предсказал как результат обсуждавшейся системы распознавания похожих паролей.

Date: 2017-08-09 05:17 pm (UTC)
From: [identity profile] stan podolski (from livejournal.com)
зачем снизу клавиатуры? Я на конторский телефон всегда клеил постит

Date: 2017-08-10 05:41 am (UTC)
From: [identity profile] xaxam.livejournal.com
>>> Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

Представляю себе, как служба безопасности должна прверять всех уборщиц! Раз в месяц обновлять им clearance ;-)

Date: 2017-08-11 04:12 am (UTC)
ext_646638: (Default)
From: [identity profile] rdia.livejournal.com
Но это же означает, что те пароли, что они хранят, можно расшифровать обратно.

Date: 2017-08-11 04:48 am (UTC)
brmail: (письмецо)
From: [personal profile] brmail
возможно хранят не сам пароль, а его реакцию на прохождение определенного регэкспа. Или еще как, существует куча способов шифровать пароли.

Date: 2017-08-09 04:18 pm (UTC)
From: [identity profile] yankel.livejournal.com
Угу. Эта политика привела к тому, что пароли в принципе стало невозможно запомнить.
Пришлось все это дело в KeePass скидывать. Потеряется база данных? Оупс...

Date: 2017-08-09 04:29 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Ничего невозможного. Там даже написано как: monkey01, monkey02 etc.

Date: 2017-08-09 04:31 pm (UTC)
From: [identity profile] yankel.livejournal.com
Это все чудесно, если вам нужно одним сервисом пользоваться.
А если таких сервисов 10? Вы должны запомнить, какой сейчас monkey1, а какой monkey2.
А если эти сервисы блокируются после 2-3 неудачных попыток, становится вообще весело.

(no subject)

From: [identity profile] ny-quant.livejournal.com - Date: 2017-08-09 04:48 pm (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-09 04:50 pm (UTC) - Expand

(no subject)

From: [personal profile] brmail - Date: 2017-08-09 04:52 pm (UTC) - Expand

(no subject)

From: [personal profile] brmail - Date: 2017-08-09 04:57 pm (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-09 05:00 pm (UTC) - Expand

(no subject)

From: [personal profile] brmail - Date: 2017-08-09 05:05 pm (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-09 05:06 pm (UTC) - Expand

(no subject)

From: [identity profile] xaxam.livejournal.com - Date: 2017-08-10 05:37 am (UTC) - Expand

(no subject)

From: [identity profile] eugene naumovich - Date: 2017-08-10 09:02 am (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-10 12:48 pm (UTC) - Expand

(no subject)

From: [identity profile] xaxam.livejournal.com - Date: 2017-08-10 01:03 pm (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-10 01:05 pm (UTC) - Expand

(no subject)

From: [identity profile] xaxam.livejournal.com - Date: 2017-08-10 01:09 pm (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-10 01:13 pm (UTC) - Expand

Re:Так что, ставить?

From: [identity profile] eugene naumovich - Date: 2017-08-10 04:14 pm (UTC) - Expand

Date: 2017-08-09 04:52 pm (UTC)
From: [identity profile] affidavid.livejournal.com
Мне еще больше понравилась история про то, что в интернет выставили терабайтную базу паролей используемых хакерами, и люди массово полезли туда проверять, есть ли там их собственные пароли.

Date: 2017-08-09 05:00 pm (UTC)
brmail: (письмецо)
From: [personal profile] brmail
ну это фишинг чистой воды. террабайт паролей, это сколько ну например если пароли десяти-символьные.
Я пару лет назад скачивал с торрентов что-то типа полуторогигабайтного. Чисто из интереса, проверил свои пароли, даже простые, нету

Date: 2017-08-09 05:31 pm (UTC)
From: [identity profile] nlothik.livejournal.com
А ведь казалось очевидным, что a^x растёт быстрее, чем x^a

Date: 2017-08-09 06:41 pm (UTC)
From: [identity profile] nefedor.livejournal.com

Если бы у нас запрещали манки1 манки2, я бы застрелился. Но нет.

Date: 2017-08-09 07:14 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
(мрачно) Пока нет.

Date: 2017-08-09 07:56 pm (UTC)
From: [identity profile] eugene naumovich (from livejournal.com)
Если пароль один, то всегда можно выбрать стишат из классики, типа "We_all_live_in_the_yellow_submarine1966!"

Date: 2017-08-10 05:28 am (UTC)
From: [identity profile] xaxam.livejournal.com
Парадокс стада обезьян иным манером: целое стадо, колотя по клавишам сколь угодно долго, не в состоянии сгенерировать пароль, который не был бы похож на тот, что уже использовался кем-либо в каком-либо сервисе ;-)

У меня уже 25 лет один и тот же пароль на локальной системе (сидящей, правда, за семью файерволлами и девятью проксями). А вот банк, сцуко, каждые полгода требует новую жертву. Но неразборчив: после Вася3333 можно пользоваться 3333Вася, 33Вася33, Ва3333ся и т.д.

Date: 2017-08-10 12:50 pm (UTC)
From: [identity profile] yankel.livejournal.com
Требования Банка Израиля.
Они уже всех заебали.
Вы, адон Хахам, не представляете, какую радость испытывает человек, живущий в Штатах, когда его банковский счет в Израиле блокируется, потому что он пару месяцев на него не заходил

Date: 2017-08-10 01:00 pm (UTC)
From: [identity profile] xaxam.livejournal.com
Вы, Янкеле, не представляете себе, какую радость испытывает израильтянин, когда его карточка в BNPPARIBAS переводится в улучшенный режим функционирования.

В израильский банк теоретически можно дозвониться до живого человека. Во французский - никогда. Только автоответчики. Даже на матерные емайлы ответы мне писали роботы.

Пришлось-таки лично переться в банк (и не в Париже, а в Бюр-сюр-Иветте), чтоб выправлять новые ксивы.

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-10 01:03 pm (UTC) - Expand

(no subject)

From: [identity profile] xaxam.livejournal.com - Date: 2017-08-10 01:06 pm (UTC) - Expand

Date: 2017-08-10 08:09 am (UTC)
From: [identity profile] 1master.livejournal.com
Кидаясь шкурками в чувака надо понимать, что в то время это было решение вполне актуальной задачи доступными методами. Потому, что тогдашние надежные способы авторизации были страшнее любой ядерной войны: я тогда как раз думал что-нибудь эдакое внедрить и накушался всякого, в особенности меня RSAшное поделие впечатлило. Они и сейчас не медовые пряники, но все же с приходом смартфонов стало полегче.

Date: 2017-08-10 04:52 pm (UTC)
From: [identity profile] ny-quant.livejournal.com
Какая именно задача была решена при помощи этих дебильных рекомендаций? И что, кстати, было не так с RSA tokens?

Date: 2017-08-10 04:53 pm (UTC)
From: [identity profile] yankel.livejournal.com
Вот да. RSA токенс вполне себе было(и остается) хорошим решением

(no subject)

From: [identity profile] 1master.livejournal.com - Date: 2017-08-11 03:02 am (UTC) - Expand

(no subject)

From: [identity profile] yankel.livejournal.com - Date: 2017-08-11 05:23 pm (UTC) - Expand

Date: 2017-08-11 03:04 am (UTC)
From: [identity profile] 1master.livejournal.com
Задача паролей подбиравшихся с полобота средствами доступными 20 лет назад (и нет, этой херне не 15 лет, а все 25). Вокруг паровых двигателей тоже было много решений, которые сейчас мы сочтем идиотскими, однако тогда они зачем-то были нужны.

(no subject)

From: [identity profile] ny-quant.livejournal.com - Date: 2017-08-11 03:05 pm (UTC) - Expand

(no subject)

From: [identity profile] 1master.livejournal.com - Date: 2017-08-12 01:18 am (UTC) - Expand

(no subject)

From: [identity profile] ny-quant.livejournal.com - Date: 2017-08-12 03:37 am (UTC) - Expand

(no subject)

From: [identity profile] 1master.livejournal.com - Date: 2017-08-12 03:51 am (UTC) - Expand

(no subject)

From: [identity profile] ny-quant.livejournal.com - Date: 2017-08-12 04:36 am (UTC) - Expand

(no subject)

From: [identity profile] 1master.livejournal.com - Date: 2017-08-12 05:56 am (UTC) - Expand
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

ny_quant: (Default)
ny_quant

January 2026

S M T W T F S
    123
45 6 7 8 9 10
11 12 13 14 151617
1819 20 21 22 2324
25262728293031

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 25th, 2026 06:12 pm
Powered by Dreamwidth Studios