Thank you, Captain Asshole

[ny_quant]

Bill Burr had advised users to change their password every 90 days and to muddle up words by adding capital letters, numbers and symbols - so, for example, "protected" might become "pr0t3cT3d4!". Mr Burr now acknowledges that his 2003 manual was "barking up the wrong tree".

Ну чо, не прошло и 15 лет как до него дошло. Молодец.

А нам тем временем продолжают втюхивать эту бредятину на ежегодных учёбах по компьютерной безопасности. Недавно было публичное выступление нашего главного по этой части, где я в свойственной мне деликатной манере ему тонко намекул на это толстое обстоятельство, но он не понял.

http://www.bbc.com/news/technology-40875534

Comments

[brmail]

у меня на прошлой работе домейн помнил последние 15 паролей, (смена пароля раз в 90 дней обязательна) , пароли должны были быть не короче 8 знаков, содержать нижний и верхний регистра, как минимум 1 цифру и один символ. При этом - та-дамм! проверял новые пароли на похожест на старые. Те если по его мнению пароль Bof_3345 не может быть принят потому что был ранее пароль Bof_1234
Я держал свои (все использованные) пароли в спец-приложении в телефоне. Так как не только нужно помнить текущий пароль, но и задавая новый не пересечся с паролями заданными ранее. Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

[ny-quant.livejournal.com]

// Bof_3345 не может быть принят потому что был ранее пароль Bof_1234

Ни хрена себе!

[yankel.livejournal.com]

Ну, надо же чем то Chief Security Officer заниматься, если делать нехер.

[brmail]

причем какой конкретно регексп у них там проверяет пароли мне так и не удалось узнать - тайна это. А так вводишь новый пароль при смене (дважды) и она тебе тут же отлуп - пароль не может быть использован так как он похож на один из предыдуших. Я к счастью там проработал не так долго чтобы это стало проблемой.

[ny-quant.livejournal.com]

// Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

Это, кстати, ровно то, что я предсказал как результат обсуждавшейся системы распознавания похожих паролей.

[stan podolski (from livejournal.com)]

зачем снизу клавиатуры? Я на конторский телефон всегда клеил постит

[xaxam.livejournal.com]

>>> Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

Представляю себе, как служба безопасности должна прверять всех уборщиц! Раз в месяц обновлять им clearance ;-)

[rdia.livejournal.com]

Но это же означает, что те пароли, что они хранят, можно расшифровать обратно.

[brmail]

возможно хранят не сам пароль, а его реакцию на прохождение определенного регэкспа. Или еще как, существует куча способов шифровать пароли.

[yankel.livejournal.com]

Угу. Эта политика привела к тому, что пароли в принципе стало невозможно запомнить.
Пришлось все это дело в KeePass скидывать. Потеряется база данных? Оупс...

[ny-quant.livejournal.com]

Ничего невозможного. Там даже написано как: monkey01, monkey02 etc.

[yankel.livejournal.com]

Это все чудесно, если вам нужно одним сервисом пользоваться.
А если таких сервисов 10? Вы должны запомнить, какой сейчас monkey1, а какой monkey2.
А если эти сервисы блокируются после 2-3 неудачных попыток, становится вообще весело.

[affidavid.livejournal.com]

Мне еще больше понравилась история про то, что в интернет выставили терабайтную базу паролей используемых хакерами, и люди массово полезли туда проверять, есть ли там их собственные пароли.

[brmail]

ну это фишинг чистой воды. террабайт паролей, это сколько ну например если пароли десяти-символьные.
Я пару лет назад скачивал с торрентов что-то типа полуторогигабайтного. Чисто из интереса, проверил свои пароли, даже простые, нету

[nlothik.livejournal.com]

А ведь казалось очевидным, что a^x растёт быстрее, чем x^a

[nefedor.livejournal.com]

Если бы у нас запрещали манки1 манки2, я бы застрелился. Но нет.

[ny-quant.livejournal.com]

(мрачно) Пока нет.

[eugene naumovich (from livejournal.com)]

Если пароль один, то всегда можно выбрать стишат из классики, типа "We_all_live_in_the_yellow_submarine1966!"

[xaxam.livejournal.com]

Парадокс стада обезьян иным манером: целое стадо, колотя по клавишам сколь угодно долго, не в состоянии сгенерировать пароль, который не был бы похож на тот, что уже использовался кем-либо в каком-либо сервисе ;-)

У меня уже 25 лет один и тот же пароль на локальной системе (сидящей, правда, за семью файерволлами и девятью проксями). А вот банк, сцуко, каждые полгода требует новую жертву. Но неразборчив: после Вася3333 можно пользоваться 3333Вася, 33Вася33, Ва3333ся и т.д.

[yankel.livejournal.com]

Требования Банка Израиля.
Они уже всех заебали.
Вы, адон Хахам, не представляете, какую радость испытывает человек, живущий в Штатах, когда его банковский счет в Израиле блокируется, потому что он пару месяцев на него не заходил

[xaxam.livejournal.com]

Вы, Янкеле, не представляете себе, какую радость испытывает израильтянин, когда его карточка в BNPPARIBAS переводится в улучшенный режим функционирования.

В израильский банк теоретически можно дозвониться до живого человека. Во французский - никогда. Только автоответчики. Даже на матерные емайлы ответы мне писали роботы.

Пришлось-таки лично переться в банк (и не в Париже, а в Бюр-сюр-Иветте), чтоб выправлять новые ксивы.

[1master.livejournal.com]

Кидаясь шкурками в чувака надо понимать, что в то время это было решение вполне актуальной задачи доступными методами. Потому, что тогдашние надежные способы авторизации были страшнее любой ядерной войны: я тогда как раз думал что-нибудь эдакое внедрить и накушался всякого, в особенности меня RSAшное поделие впечатлило. Они и сейчас не медовые пряники, но все же с приходом смартфонов стало полегче.

[ny-quant.livejournal.com]

Какая именно задача была решена при помощи этих дебильных рекомендаций? И что, кстати, было не так с RSA tokens?

[yankel.livejournal.com]

Вот да. RSA токенс вполне себе было(и остается) хорошим решением

[1master.livejournal.com]

Задача паролей подбиравшихся с полобота средствами доступными 20 лет назад (и нет, этой херне не 15 лет, а все 25). Вокруг паровых двигателей тоже было много решений, которые сейчас мы сочтем идиотскими, однако тогда они зачем-то были нужны.