Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 19.05.2019, 22:26   #11
ziliboba0213
Академик
 
Аватар для ziliboba0213
 
Регистрация: 03.09.2009
Адрес: Санкт-Петербург
Сообщений: 6,157
Репутация: 1003398

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Я писал, что "md5 и т.п. уже не очень"? Ты что-то путаешь.
Я мог писать, что они без соли менее устойчивы к взлому или что могут быть коллизии. И то при определённых условиях (напр хеши всех известных паролей так же известны).

Ида без соли (на сегодня) хранят пароли только ламеры. Но их к сож немало
Я про эту тему:
https://searchengines.guru/showthread.php?t=1014946

Там на первом месте md5
ziliboba0213 вне форума   Ответить с цитированием

Реклама
Старый 19.05.2019, 22:37   #12
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,865
Репутация: 87299
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Не создаёт для тех, кто не понимает в безопасности.
Напротив, но для понимания этого надо разбираться как это все работает, а не полагаться на когда-то зазубренные статьи.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Пароли не должны даже храниться в открытом виде, не то что "передаваться".
То что он посылается в письме, не значит что он хранится в открытом виде.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Ни одна уважающая себя система не должна поступать опираясь на верования в неуловимости Джо.
Равно как и создавать дымовую завесу.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Не также.
Про время жизни ссылки для восстановления пароля (ограниченое несколькими [десятком] минутами) надо рассказывать ?
А про сверку соответствия IP/UA/етс?
А про разные контрольные вопросы?
Так же.
Про время на вход по присланному паролю (ограниченое несколькими [десятком] минутами) надо рассказывать?
А про сверку соответствия IP/UA/етс при входе по этому паролю в течении того времени?
А про то что контрольные вопросы можно спросить при первом входе по этому паролю?
Давайте уже без этих двойных стандартов, все это точно так же реализуется и для пароля, ключевое слово - так же.
Основное отличие в том, что автосгенеренный пароль с хорошей вероятностью окажется достаточной сложности и не будет совпадать с паролями других сервисов. А вот что там юзер напридумывает....
__________________
Разработка проектов связанных с криптовалютой. Разумные цены. Хорошее качество. Адекватный подход.
Ищем админа на сервер, в личку: цену установки vdsmanager на hetzner и расстановку ИП.
edogs вне форума   Ответить с цитированием
Старый 19.05.2019, 22:40   #13
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,636
Репутация: 1430707

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от ziliboba0213 Посмотреть сообщение
Я про эту тему:
Я эту же ссылку дал
А там не я говорил что"md5 и т.п. уже не очень" и вообще это смотря в каком контексте рассматривать.

ЗЫ. там на первом месте Base64 Вот это реально лажа.
MD5 и SHA-1 вполне могут быть норм если используются длинные пароли + доп данные авторизации (напр двухфакторка (но только не через СМС) или хотя бы уникальный не палящийся логин).

---------- Добавлено 19.05.2019 в 22:48 ----------

Цитата:
Сообщение от edogs Посмотреть сообщение
То что он посылается в письме, не значит что он хранится в открытом виде.
На бис: "Пароли не должны даже храниться в открытом виде, не то что "передаваться".

Цитата:
Сообщение от edogs Посмотреть сообщение
Давайте уже без этих двойных стандартов, все это точно так же реализуется и для пароля, ключевое слово - так же.
Что-что?

Цитата:
Сообщение от edogs Посмотреть сообщение
Основное отличие в том, что автосгенеренный пароль с хорошей вероятностью окажется достаточной сложности и не будет совпадать с паролями других сервисов. А вот что там юзер напридумывает....
Нда, печалько..
У меня не хватит сил доказывать сложность запоминания юзером генерёного пароля (и как следствие ему придётся его где-то сохранять снижая таким образом безопасность), но именно юзер САМ должен вводить пароль. Известный только ему одному, а не где-то ещё хранившийся.
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Старый 19.05.2019, 22:51   #14
Glueon
★ есть много IPv4/IPv6 ★
 
Аватар для Glueon
 
Регистрация: 26.07.2013
Адрес: телега @contactroot
Сообщений: 1,506
Репутация: 94872
Отправить сообщение для Glueon с помощью Skype™ Send Message via Jabber to Glueon
Социальные сети Аккаунт в Telegram

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Я один не понял, о какой CMS "с ТП" идет речь?
__________________
⚒ Уже 5 лет ContactRoot настраивает серверы и решает проблемы, а теперь и помогает с IP, ASN, LIR.
В наличии до 90 C-классов под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot
Glueon вне форума   Ответить с цитированием
Старый 19.05.2019, 22:53   #15
ziliboba0213
Академик
 
Аватар для ziliboba0213
 
Регистрация: 03.09.2009
Адрес: Санкт-Петербург
Сообщений: 6,157
Репутация: 1003398

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Мудро говорите, но более не понятно
ziliboba0213 вне форума   Ответить с цитированием
Старый 19.05.2019, 23:00   #16
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,865
Репутация: 87299
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
На бис: "Пароли не должны храниться в открытом виде,
Хранить в открытом виде никто тут не предлагал. Вам лишь бы на бис выступить, по фиг на какую тему?
Цитата:
Сообщение от SeVlad Посмотреть сообщение
Что-что?
Что-то уровня выше чем "пароли не должны хранится в открытом виде" уже слишком сложно?
Цитата:
Сообщение от SeVlad Посмотреть сообщение
У меня не хватит сил доказывать сложность запоминания юзером генерёного пароля (и как следствие ему придётся его где-то сохранять снижая таким образом безопасность)
Юзер запоминает пароли только в одном случае - если они одинаковы/схожи для многих сервисов. Но мы даже не будем пытаться объяснить Вам чем это опасно.
Цитата:
Сообщение от SeVlad Посмотреть сообщение
но именно юзер САМ должен вводить пароль.
Не-а. Автогенерация уникальных паролей нужной сложности адекватный вариант.
Цитата:
Сообщение от SeVlad Посмотреть сообщение
Известный только ему одному, а не где-то ещё хранившийся.
Пароли в открытом виде хранить никто тут и не предлагал. Очередное выступление на бис, да?
edogs вне форума   Ответить с цитированием
Старый 19.05.2019, 23:07   #17
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,636
Репутация: 1430707

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
Хранить в открытом виде никто тут не предлагал. Вам лишь бы на бис выступить, по фиг на какую тему?
Хранить нельзя, а передать можно? ОМГ.. Трава забористая, или умный человек опять передал акк тупому?
Попробуйте включить свой коллективный разум и понять что "передавать" это прежде всего есть "хранить". Но в наиболее небезопасном месте(ах).

Цитата:
Сообщение от edogs Посмотреть сообщение
Юзер запоминает пароли только в одном случае - если они одинаковы/схожи для многих сервисов. Но мы даже не будем пытаться объяснить Вам чем это опасно.
Во первых - это проблемы юзера (и не так страшны, как малюют). А сервис не должен диктовать свои правила, если это не грозит безопасности сервиса.
Во вторых - это не всегда так: https://searchengines.guru/showthrea...0#post11439770

---------- Добавлено 19.05.2019 в 23:12 ----------

Цитата:
Сообщение от edogs Посмотреть сообщение
Не-а. Автогенерация уникальных паролей нужной сложности адекватный вариант.
Автогенерация уникальных паролей нужной сложности без возможности его смены (с отправкой его на почту/СМС/рупором) - НЕадекватный вариант.
SeVlad вне форума   Ответить с цитированием
Старый 19.05.2019, 23:16   #18
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,865
Репутация: 87299
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Трава забористая, или умный человек опять передал акк тупому?
У Вас шаблон диалога так и не поменялся - когда Вам нечем аргументировать по сути - Вы начинаете хамить собеседнику, что бы он или слился с топика или начал хамить в ответ и Вы бы его забанили. Неужели за столько лет не придумали ничего пооригинальнее?

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Хранить нельзя, а передать можно? ОМГ..
"передавать" это прежде всего есть "хранить". ).
Если Вы хотите пословоблудить, то не хранить в открытом виде вообще невозможно, ведь с момента когда юзер передает пароль на сервер и до момента его обработки он хранится в открытом виде. Ах ах ах, ужас, все хранят пароли в открытом виде какое-то время (ну кроме воблы, которая шифрует мд5 перед передачей ).
Если же Вы постараетесь разобраться в вопросе, то поймете, что никто не мешает отправить пароль в смс, а сам пароль сохранить не в открытом виде.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
сервис не должен диктовать свои правила, если это не грозит безопасности сервиса.
Правило "сходи сначала по ссылке перед тем как выставить новый пароль" это именно диктат своих правил, которые не грозят безопасности сервера.
Еще раз - словоблудие словоблудием, но от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Во вторых - это не всегда так: https://searchengines.guru/showthrea...0#post11439770
Никак не спасает от одинаковых паролей на всех сервисах.
edogs вне форума   Ответить с цитированием
Старый 19.05.2019, 23:22   #19
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,636
Репутация: 1430707

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от edogs Посмотреть сообщение
Вы бы его забанили
Это такая же необразованность как и по теме вопроса.
Цитата:
Сообщение от edogs Посмотреть сообщение
Если Вы хотите пословоблудить, то не хранить в открытом виде вообще невозможно,
Это как раз ты словоблудишь и не понимаешь очевидного.

Цитата:
Сообщение от edogs Посмотреть сообщение
Никак не спасает от одинаковых паролей на всех сервисах.
Если совсем нет фантазии (чтобы добавить в него, напр. домен ресурса), то конечно не спасает.
Но это не так страшно, как передача пароля в открытом виде, принудительная генерация или принудительная же смена со временем.
SeVlad вне форума   Ответить с цитированием
Старый 19.05.2019, 23:33   #20
edogs
Писать: search@ник_тут.ru
 
Аватар для edogs
 
Регистрация: 16.12.2005
Адрес: St.Petersburg, Russia
Сообщений: 7,865
Репутация: 87299
Отправить сообщение для edogs с помощью Skype™

По умолчанию Re: Пароли пользователей на почту админку или через СМС сервис

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Это такая же необразованность как и по теме вопроса.
Это как раз ты словоблудишь и не понимаешь очевидного.
И снова - вместо ответа по делу, переход на личности и хамство. ЧТД.

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Если совсем нет фантазии (чтобы добавить в него, напр. домен ресурса), то конечно не спасает.
Но это не так страшно, как передача пароля в открытом виде, принудительная генерация или принудительная же смена со временем.
Много слов, но до сих от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля. Который мы уже дважды просили до этого. Но Вам интереснее выступать на бис с банальными очевидностями не имеющими отношения к делу и хамить собеседникам. Жаль.
edogs вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны