ny_quant | Thank you, Captain Asshole

You're viewing

ny_quant's journal
Create a Dreamwidth Account Learn More

Reload page in style: site light

Bill Burr had advised users to change their password every 90 days and to muddle up words by adding capital letters, numbers and symbols - so, for example, "protected" might become "pr0t3cT3d4!". Mr Burr now acknowledges that his 2003 manual was "barking up the wrong tree".

Ну чо, не прошло и 15 лет как до него дошло. Молодец.

А нам тем временем продолжают втюхивать эту бредятину на ежегодных учёбах по компьютерной безопасности. Недавно было публичное выступление нашего главного по этой части, где я в свойственной мне деликатной манере ему тонко намекул на это толстое обстоятельство, но он не понял.

http://www.bbc.com/news/technology-40875534

Flat | Top-Level Comments Only

From:

1master.livejournal.com

Кидаясь шкурками в чувака надо понимать, что в то время это было решение вполне актуальной задачи доступными методами. Потому, что тогдашние надежные способы авторизации были страшнее любой ядерной войны: я тогда как раз думал что-нибудь эдакое внедрить и накушался всякого, в особенности меня RSAшное поделие впечатлило. Они и сейчас не медовые пряники, но все же с приходом смартфонов стало полегче.

From:

ny-quant.livejournal.com

Какая именно задача была решена при помощи этих дебильных рекомендаций? И что, кстати, было не так с RSA tokens?

From:

yankel.livejournal.com

Вот да. RSA токенс вполне себе было(и остается) хорошим решением

From:

1master.livejournal.com

Вот я вижу второго человека, который со стороны смотрел на прикольные токены, а внедрять не пытался :) Оно хорошо решает задачу MFA в эпоху предшествующую rfc 6238. Но сделано оно [было] руками максимальной кривизны. У меня когда-то ушло три недели чтобы установленное по чеклисту с фирменного диска всего лишь перестало падать прямо на взлете.

From:

yankel.livejournal.com

Ну, я то пользователем был и являюсь, а не тем, кто это дело администрировал.
Меня, как пользователя, решение вполне устраивает

From:

1master.livejournal.com

Задача паролей подбиравшихся с полобота средствами доступными 20 лет назад (и нет, этой херне не 15 лет, а все 25). Вокруг паровых двигателей тоже было много решений, которые сейчас мы сочтем идиотскими, однако тогда они зачем-то были нужны.

From:

ny-quant.livejournal.com

Какой вред от (якобы) подбиравшихся с полоборота паролей если для логина всё равно требуется RSA token?

Какие там у вас были трудности с внедрением нам юзерам безразлично. Факт состоит в том, что решение было и работало у всех без исключения моих нанимателей начиная с 1997.

From:

1master.livejournal.com

Даже оставляя в стороне сопровождавшие токен сексуальные услуги стоя и в гамаке, Сам по себе токен вообще-то стоил чуть не по полтиннику за штуку. Плюс за стартовую лицензию каких-то адских тысяч. Это прям решение для масс было, ага-ага.

From:

ny-quant.livejournal.com

Корпорация берет человека на работу на, ну не знаю, минимум 50К, а тут надо заплатить ещё полтинник за токен. Ужас и разорение.

From:

1master.livejournal.com

А мозгосекс с паролями достигал той же цели бесплатно.

From:

ny-quant.livejournal.com

Или не достигал. С учетом гениальных инструкций и подходом к вопросу большинства, кто использует парадигму monkey01, monkey02 etc. длина пароля в сущности сократилась с 8 символов до 6. Если 8 символов отгадывались с полоборота, то 6 отгадывались за 1/16.

From:

1master.livejournal.com

Да-да, а до этого там было прям такое качество паролей, что закачаешься, прям безопаснее некуда. Когда всё это придумывалось это было большим шагом вперед.
Кстати, советую почитать, почему решили, что заставлять менять бессмысленно.