Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 01.08.2013, 13:22   #21
Rodnoi
О.Ю.
 
Аватар для Rodnoi
 
Регистрация: 11.03.2013
Сообщений: 1,877
Репутация: 1064729

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от TF-Studio Посмотреть сообщение
1. Капча - зло
Готов поспорить. Пользователь к ней уже приучен большими проектами. Тем более есть огромное количество реализаций, посмотрите ссылку в моем предыдущем посте, там довольно таки объемно рассмотрена ситуация, не вижу смысла здесь повторяться.


Цитата:
Сообщение от TF-Studio Посмотреть сообщение
2. Сбрутить пароль 0000 - не проблема.
Берем много прокси и не спеша брутим, отловить такое - очень сложно.
Вы не читаете, о чем я пишу. Речь идет о комплексном решении против:
1. Прокси.
2. Аномального поведения, свойственного автоматическому софту, но не человеку. Т.е. формировании признаков и соотв. флажковой системе, кого пускаем, а кого нет.

Мне кажется задачу вообще можно еще больше упростить. Вряд ли мы ведем здесь речь о взломе конкретного акка. Если мы как раз ведем речь о:
Цитата:
Рынок аккаунтов - процветает, рынок брута серверов аналогично.
То речь идет о массовом брутфорсе по словарям, причем очень часто конкретным софтом.
Поэтому возвращаемся к тому, с чего я начал - не нужно изобретать велосипед, а просто воспользуемся наработками антифрод-индустрии.

P.S. Ни в коем случае не умоляю вашей инициативы, возможно на каких-то проектах это и будет оптимальным решением. Просто я не вижу в данный момент на каких.
__________________
Все по жести.
Rodnoi вне форума   Ответить с цитированием

Реклама
Старый 01.08.2013, 13:24   #22
юни
͏
 
Аватар для юни
 
Регистрация: 01.11.2005
Сообщений: 15,826
Репутация: 1749011

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от Rodnoi Посмотреть сообщение
если речь о кейлоггере
ИМХО, неплохой выход - графическая капча (правильно расположить картинки, собрать пазл из 3-4 частей, и т.п. - всё это мышью и быстро).

Кроме того, можно просто просить ввести емейл и сразу пускать пользователя в интерфейс. А уже на мыло присылать всю информацию о регистрации, включая сгенерированные сложные пароли.
__________________
Всегда в наличии подсети от /22 (1024 IP-адреса) в аренду.
Напишите, чтобы обсудить объёмы и скидки.
юни вне форума   Ответить с цитированием
Сказали спасибо:
Старый 01.08.2013, 13:30   #23
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,773
Репутация: 1441772

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от Rodnoi Посмотреть сообщение
Готов поспорить.
Можно сколько угодно спорить, но таки-да - капча в 2013 году это плохой признак (см отсюда и ниже)
И да, не надо только кивать на регу сёрча и др. сервисов кто может себе позволить плевать на юзеров .
__________________
Делаю сайты для людей. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad на форуме   Ответить с цитированием
Старый 01.08.2013, 13:33   #24
Rodnoi
О.Ю.
 
Аватар для Rodnoi
 
Регистрация: 11.03.2013
Сообщений: 1,877
Репутация: 1064729

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от юни Посмотреть сообщение
ИМХО, неплохой выход - графическая капча (правильно расположить картинки, собрать пазл из 3-4 частей, и т.п. - всё это мышью и быстро).
Именно эта система реализована в онлайнах некоторых банков, называется virtual keyboard. Если речь идет именно о капче, то еще в 2009 году было соотв. исследование гугла - http://www.richgossweiler.com/projec...rotcaptcha.pdf

Еще более простые проекты:
http://identipic.com/
http://research.microsoft.com/en-us/...ojects/asirra/

Имхо, капча - довольно таки эффективное решение. Разработчикам никогда не нужно ее отметать. Тем более, что если идти в шаг разработки своей системы, то ее можно опять же выставлять пользователю не всегда, а при определенных признаках, что делает тот же вконтач.

P.S. Сорри за оффтоп.
Rodnoi вне форума   Ответить с цитированием
Старый 01.08.2013, 13:37   #25
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,773
Репутация: 1441772

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от юни Посмотреть сообщение
А уже на мыло присылать всю информацию о регистрации, включая сгенерированные сложные пароли.
Ещё один способ нагибания юзера и понижения безопасности - генерённые пароли в мыло.
Ок, когда это при первоначальной реге - я могу согласиться (в некоторых случаях). Но когда нет возможности сменить пасс на свой - это ОППА.
Ещё хуже, когда изменённый пасс высылается на мыло. Это просто ппц! Как будто эти деятели ничего не слышали об уводе\перехвате\чтения_посторонними почты (150ю разными способами).
SeVlad на форуме   Ответить с цитированием
Старый 01.08.2013, 13:37   #26
Rodnoi
О.Ю.
 
Аватар для Rodnoi
 
Регистрация: 11.03.2013
Сообщений: 1,877
Репутация: 1064729

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Можно сколько угодно спорить, но таки-да - капча в 2013 году это плохой признак (см отсюда и ниже)
И да, не надо только кивать на регу сёрча и др. сервисов кто может себе позволить плевать на юзеров .
Я не спорю. Я наоборот выступаю за максимальную простоту для пользователей, но это решение настолько же оправдано, насколько и решение ТС, если разговор идет об эффективности. К тому же, не нужно смотреть на вопрос в лоб. Решение необязательно должно строиться на одной технологии. Опять подниму вопрос об антифроде - там все системы "флажковые". И т.к. речь идет в основном об онлайн-шоппинге, здесь невозможно возразить, что владельцы могут плевать на потерю клиентов, а значит продаж, а значит просаживать свои бюджеты на маркетинг с наихудшим конвертом.
Rodnoi вне форума   Ответить с цитированием
Сказали спасибо:
Старый 01.08.2013, 13:38   #27
юни
͏
 
Аватар для юни
 
Регистрация: 01.11.2005
Сообщений: 15,826
Репутация: 1749011

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

У Ру-Центра есть достаточно оригинальный вариант. Впрочем, да, тема не об этом.
Цитата:
Сообщение от SeVlad Посмотреть сообщение
но когда нет возможности сменить
Это плохо, само-собой.
юни вне форума   Ответить с цитированием
Старый 01.08.2013, 13:43   #28
foxi
Mik Foxi
 
Аватар для foxi
 
Регистрация: 02.03.2011
Адрес: Budva
Сообщений: 9,831
Репутация: 1052314
Социальные сети Аккаунт в Telegram

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

У меня на конструкторе сайтов сделано вроде для людей:
- капчи нету (скрытый антиспам).
- после 5 неудачных попыток ввода пароля бан ip.
- логин и пароль юзер может задавать себе сам.
и сайты у юзеров в основном вроде хоумпейджи без особых пузомерок никому не нужные.
Вроде все замечательно. Но один фиг есть случаи взлома, когда у юзера логин admin и пароль типа 12345 или qwerty qwerty.
И потом сопли что сайт сломали. В моем случае конечно усложнять пароли юзеру нету надобности, максимум что взломщик сделает - испортит сайт, можно и из бекапа восстановить.
Но если бы сервис оперировал какими-то "живыми" деньгами к примеру, которые можно вывести, то была бы уже неисправимая фигня. Для таких стоит принудительно заставлять делать сложные пароли.
foxi вне форума   Ответить с цитированием
Старый 01.08.2013, 13:44   #29
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 17,773
Репутация: 1441772

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

Цитата:
Сообщение от юни Посмотреть сообщение
У Ру-Центра есть достаточно оригинальный вариант.
Ага, очень даже оригинальный



Сорри за офтоп.
SeVlad на форуме   Ответить с цитированием
Сказали спасибо:
Старый 01.08.2013, 14:31   #30
Scaryer
Академик
 
Регистрация: 29.01.2006
Сообщений: 5,937
Репутация: 845588

По умолчанию Re: [Решение] Заставляем юзеров выбирать "правильные" пароли

TF-Studio, что-то у меня демо в Хроме не запускается, а в Опере говорит "Пароль нормальный", даже если ничего не писать.
Я думаю, надо учитывать не только словарь, но и какие-то принципы поведения юзеров. Например, я регулярно создаю аккаунты в Яндексе с паролем из 9 символов "три буквы, три цифры, три буквы", а Яндекс на них регулярно ругается, что пароль слабый. И совсем не потому, что кто-то вбил в словарь все девятисимвольные сочетания, а потому что буквы идут типа dfg (на клавиатуре рядом) и цифры также. Стоило набить буквы nkp (как бы вразнобой), как пароль начал Яндексу нравиться. Недавно читал где-то статью, что словарь - это полбеды, надо закономерности разрушать.
Scaryer вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны