[Решение] Заставляем юзеров выбирать "правильные" пароли

Недавно ковырял сайты и нашел место, где применение имеет место быть.

Все рассуждения сугубо теоретически, все совпадения случайны.

Допустим есть сайт информ-агенства, крупного (ну или среднего, это не важно тут, как и то, что это информ-агенство).

Так как все подобные сайты создавались очень давно + их разрабатывают, переписывают, допиливают разные команды, в разные временные отрезки, то такие сайты в 90% случаев представляют собой жутких монстров.

По статистике "некоего знакомого" 95% имеют разного рода уязвимости, которые достаточно легко найти.

А самое слабое звено есть всегда, можно с помощью пасивки, найдя в ВК какого-нибудь редактора/журналиста/*** слить его куку (как вариант)

Также по статистике им глубоко по барабану на свою безопасность, лишь один из десятка отреагировал на указание, что они уязвимы

Но мы будем использовать другой путь.

С помощью специальных инструментов, ищем панель управления и панель для работы с клиентами, находятся они весьма быстро и просто.

Опытным путем устанавливаем что защиты от брута там совершенно нету.

Далее пишем в саппорт, потом просим соединить с другим отделом/человеком.

На основе переписке устанавливаем общий алгоритм формирования логинов (алгоритм есть почти всегда)

Далее находим список сотрудников (как правило логин формируется из имени/фамилии), формируем список возможных логинов.

Параллельно можно поискать клиентов и попробовать для них подобрать логины.

Потом запускаем перебор по словарю и при удачном стечении обстоятельств получаем доступ к закрытой части, а там всегда много чего интересного и при умелом использовании, без наглости, можно годами пользоваться дармовой информацией/****

Вероятность есть и она достаточно высокая.

А вот если "заставить" генерировать длинные и сложные пароли - тогда таким путем сложно куда-то проникнуть.