Thank you, Captain Asshole

[ny_quant]

Bill Burr had advised users to change their password every 90 days and to muddle up words by adding capital letters, numbers and symbols - so, for example, "protected" might become "pr0t3cT3d4!". Mr Burr now acknowledges that his 2003 manual was "barking up the wrong tree".

Ну чо, не прошло и 15 лет как до него дошло. Молодец.

А нам тем временем продолжают втюхивать эту бредятину на ежегодных учёбах по компьютерной безопасности. Недавно было публичное выступление нашего главного по этой части, где я в свойственной мне деликатной манере ему тонко намекул на это толстое обстоятельство, но он не понял.

http://www.bbc.com/news/technology-40875534

Comments

[brmail]

у меня на прошлой работе домейн помнил последние 15 паролей, (смена пароля раз в 90 дней обязательна) , пароли должны были быть не короче 8 знаков, содержать нижний и верхний регистра, как минимум 1 цифру и один символ. При этом - та-дамм! проверял новые пароли на похожест на старые. Те если по его мнению пароль Bof_3345 не может быть принят потому что был ранее пароль Bof_1234
Я держал свои (все использованные) пароли в спец-приложении в телефоне. Так как не только нужно помнить текущий пароль, но и задавая новый не пересечся с паролями заданными ранее. Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

[yankel.livejournal.com]

Угу. Эта политика привела к тому, что пароли в принципе стало невозможно запомнить.
Пришлось все это дело в KeePass скидывать. Потеряется база данных? Оупс...

[ny-quant.livejournal.com]

Ничего невозможного. Там даже написано как: monkey01, monkey02 etc.

[ny-quant.livejournal.com]

// Bof_3345 не может быть принят потому что был ранее пароль Bof_1234

Ни хрена себе!

[yankel.livejournal.com]

Это все чудесно, если вам нужно одним сервисом пользоваться.
А если таких сервисов 10? Вы должны запомнить, какой сейчас monkey1, а какой monkey2.
А если эти сервисы блокируются после 2-3 неудачных попыток, становится вообще весело.

[yankel.livejournal.com]

Ну, надо же чем то Chief Security Officer заниматься, если делать нехер.

[ny-quant.livejournal.com]

А, ну тогда ваще хана. У нас хотя бы один пароль на все системы.

[brmail]

причем какой конкретно регексп у них там проверяет пароли мне так и не удалось узнать - тайна это. А так вводишь новый пароль при смене (дважды) и она тебе тут же отлуп - пароль не может быть использован так как он похож на один из предыдуших. Я к счастью там проработал не так долго чтобы это стало проблемой.

[yankel.livejournal.com]

Угу. А у меня штук 20 систем клиентов.

[ny-quant.livejournal.com]

// Думаю что долго-работающие девочки из бугалтерии просто крепили пароль снизу клавиатуры.

Это, кстати, ровно то, что я предсказал как результат обсуждавшейся системы распознавания похожих паролей.

[brmail]

сейчас в новом месте работы все попроще, во первых во многих местах принимает домейный пароль, во вторых нет ограничений на похожесть пароля - хоть один символ меняй - примет. В третьих есть централизованное веб приложение, которое при смене пароля заодно сменить его во всех линкованных туда системах (порядка десяти) так что довольно удобно и сильно сохраняет время и нервы хелпдеску

[ny-quant.livejournal.com]

Мало им вирусов.

[affidavid.livejournal.com]

Мне еще больше понравилась история про то, что в интернет выставили терабайтную базу паролей используемых хакерами, и люди массово полезли туда проверять, есть ли там их собственные пароли.

[brmail]

Я лет 15 пользуюсь софтиной EWallet еще со времен наладонников ПалмПайлот. Уже тогда можно было иметь и виндовый клиент и мобильный. Храню все годами там. Достаточно удобно. Опять же денег они требуют один раз при покупке и количесто установленных копий они не проверяют.

[brmail]

ну это фишинг чистой воды. террабайт паролей, это сколько ну например если пароли десяти-символьные.
Я пару лет назад скачивал с торрентов что-то типа полуторогигабайтного. Чисто из интереса, проверил свои пароли, даже простые, нету

[yankel.livejournal.com]

У меня KeePass. Тоже на десктопе бежит и на телефоне. Иначе вообще бы мозгами поехал.

[brmail]

а пароли хранит локально или на своем сервере?

[yankel.livejournal.com]

Локально.

[stan podolski (from livejournal.com)]

зачем снизу клавиатуры? Я на конторский телефон всегда клеил постит

[nlothik.livejournal.com]

А ведь казалось очевидным, что a^x растёт быстрее, чем x^a

[nefedor.livejournal.com]

Если бы у нас запрещали манки1 манки2, я бы застрелился. Но нет.

[ny-quant.livejournal.com]

(мрачно) Пока нет.

[eugene naumovich (from livejournal.com)]

Если пароль один, то всегда можно выбрать стишат из классики, типа "We_all_live_in_the_yellow_submarine1966!"

[xaxam.livejournal.com]

Парадокс стада обезьян иным манером: целое стадо, колотя по клавишам сколь угодно долго, не в состоянии сгенерировать пароль, который не был бы похож на тот, что уже использовался кем-либо в каком-либо сервисе ;-)

У меня уже 25 лет один и тот же пароль на локальной системе (сидящей, правда, за семью файерволлами и девятью проксями). А вот банк, сцуко, каждые полгода требует новую жертву. Но неразборчив: после Вася3333 можно пользоваться 3333Вася, 33Вася33, Ва3333ся и т.д.

[xaxam.livejournal.com]

И нет синхронизации между разными девайсами (десктоп, планшет, смартфон)?