| |
| 2.2, Аноним (-), 12:35, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Возможно это лишь косвенный способ ещё раз привлечь внимание к проблеме, озвученной Марком Барнеттом годом ранее.
| | |
| |
| 3.40, Аноним (-), 08:17, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Ты небось такое же даунито, как и целевая аудитория советов гитхаба? Один ник, один пароль, один смузи?
| | |
|
|
| 1.4, Аноним (-), 14:20, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Хех, сапожники-то все до единого без сапог. :)))))))
А еще поют повсюду о безопасности. :))))))
В том числе и здесь :))))
| | |
| 1.5, Аноним (-), 14:41, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Просветите как такое может быть, если пароли хешируются с солью, и не один раз?
| | |
| |
| 2.6, Andrey Mitrofanov (?), 14:48, 16/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Просветите как такое может быть, если пароли хешируются с солью, и не
> один раз?
Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
Продолжать или сделаешь вид, что понял?
| | |
| |
| 3.13, Аноним (-), 21:31, 16/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Просветите как такое может быть, если пароли хешируются с солью, и не
>> один раз?
> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
> Продолжать или сделаешь вид, что понял?
Это где же пароль передается открыто? Что за протокол?
| | |
| |
| |
| 5.18, Аноним (-), 23:28, 16/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
http не протокол аутентификации. ftp - древний как мамонт, когда аутентификация была чисто на доверии
| | |
| |
| 6.20, Ilya Indigo (ok), 23:50, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Я могу вспомнить только pop3. Что за протокол pap, мне не ведомо.
При этом ВСЕ 3 протокола актуальны и самые часто используемые.
| | |
| |
| 7.22, Аноним (-), 00:03, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
pop3 - почтовый протокол. POP3 поддерживает различные методы аутентификации для предоставления разных уровней защиты от незаконного доступа к пользовательской почте.
PAP - Password Authentication Protocol. Самый простейший и древний протокол аутентификации.
Многие протоколы прикладного уровня используют механизм PAM для "прикручивания" модуля поддержки безопасности
| | |
|
|
|
| 4.23, Andrey Mitrofanov (?), 00:10, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
>>> Просветите как такое может быть, если пароли хешируются с солью, и не
>>> один раз?
>> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
>> Продолжать или сделаешь вид, что понял?
> Это где же пароль передается открыто? Что за протокол?
Я, наверное, опять! непонятно написал? Ай-ай... Я испралюсь:
При хранении паролей в хешированном виде на сервере, с которого их _уводят_ плохие плохиши, хороший малыш при _логине_ на этот сервер/сервис _должен_ передавать серверу свой пароль открытым текстом.
Лучше?
/// И да, для ненаблюдательных: я ничего не писал про "протоколы" -- потому что это всё **независимо от** протокола. То есть при любом п. авторизации, не знаю уж почему оно тебя взбудоражило...
| | |
| |
| 5.27, Аноним (-), 00:31, 17/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>[оверквотинг удален]
>>> Продолжать или сделаешь вид, что понял?
>> Это где же пароль передается открыто? Что за протокол?
> Я, наверное, опять! непонятно написал? Ай-ай... Я испралюсь:
> При хранении паролей в хешированном виде на сервере, с которого их _уводят_
> плохие плохиши, хороший малыш при _логине_ на этот сервер/сервис _должен_ передавать
> серверу свой пароль открытым текстом.
> Лучше?
> /// И да, для ненаблюдательных: я ничего не писал про "протоколы" --
> потому что это всё **независимо от** протокола. То есть при любом
> п. авторизации, не знаю уж почему оно тебя взбудоражило...
Открытый пароль может быть передается при регистрации.
https://var.pp.ua/Materialy/Old-lessons/Security/Less-2/1-Authentication_Autho
Только не надо упоминать прикладные протоколы, криво прикрученные к процессу авторизации или аутентификации.
| | |
|
| 4.41, Аноним (-), 08:20, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Это где же пароль передается открыто? Что за протокол?
Какая разница, как передаётся пароль, если linkedin хранил твой пароль от gmail открытом виде?
| | |
|
| 3.14, Аноним (-), 22:04, 16/06/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
ну ты ... chap md5 отменили? как и прочие протоколы без разглашения секрета..
| | |
| 3.25, Andrey Mitrofanov (?), 00:12, 17/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
> Продолжать или сделаешь вид, что понял?
А давайте уже кто-нибудь напишет что-нибудь про challenge-response и _не_передачу открытого пароля? -----
| | |
| |
| |
| 5.47, nonamed anon (?), 20:48, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Тогда он хранится на сервере не в виде хэша - неизвестно, что
> хуже...
Не обязательно. Паролем может быть хеш от реального пароля.
| | |
|
|
|
| 2.8, S.Atahl (?), 16:49, 16/06/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
О чём ты вообще? С других сайтов произошла утечка паролей (ну и походу логинов). И эти пароли тупо ввели в аккаунты на гитхабе
| | |
| 2.11, Аноним (-), 21:28, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Использована утечка из базы паролей. То что добавляется к "соли". Сервер добавляет к соли хэш из базы.
| | |
|
| 1.7, юран (?), 15:01, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Генерирую длиннющие пароли для каждого нового сайта и храню их в KeepassX. Брат жив, зависимость огромная.
| | |
| |
| 2.10, АнонимХ (ok), 17:12, 16/06/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Я - это ты. Одно бесит: некоторые сайты накладывают ограничения на пароли, когда настроенный дефолтный генератор keepassx приходится тюнить в сторону ослабления.
| | |
| |
| 3.16, Ilya Indigo (ok), 22:42, 16/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Я - это ты. Одно бесит: некоторые сайты накладывают ограничения на пароли,
> когда настроенный дефолтный генератор keepassx приходится тюнить в сторону ослабления.
А нативный "pwgen -(s|y) 16" чем плох?
| | |
| |
| 4.43, Аноним (-), 17:59, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее 1 цифры, не более 8 символов, символы помимо этих 36 запрещены. Это мой бывший провайдер.
| | |
| |
| 5.44, Аноним (-), 18:01, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее
> 1 цифры, не более 8 символов, символы помимо этих 36 запрещены.
> Это мой бывший провайдер.
То есть не 36, а 62. Районный провайдер из ЮВАО Москвы, давно купленный Акадо.
| | |
| 5.45, Ilya Indigo (ok), 19:06, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее
> 1 цифры, не более 8 символов, символы помимо этих 36 запрещены.
> Это мой бывший провайдер.
pwgen -s 8
> не более 8 символов
А если вы, таки, ошиблись и имели ввиду не МЕНЕЕ 8 символов, что логично предположить, то, как приводил ранее:
pwgen -s 16
| | |
|
|
|
| 2.17, Аноним (-), 23:16, 16/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Для мобильных ОС приложение кажется отсутствует? Тогда в 2016 году уже не надо.
| | |
| |
| |
| 4.31, Аноним (-), 00:55, 17/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> http://keepass.info/download.html выбирайте на вкус
Нет, Contributed/Unofficial KeePass Ports, не нужно. Под iOS всё равно нет. Далее не трудитесь, я в состоянии купить себе приличное ПО. Купил 1password для двух платформ - вот это ПО.
| | |
| |
| 5.38, Andrey Mitrofanov (?), 07:13, 17/06/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> keepass.info/download.html
> Нет, Contributed/Unofficial KeePass Ports, не нужно.
KeePassX с которого ты начал своё "восхождение" -- сразу не keepass.info-"оригинал". Не знал? Не заметил? Не осилил.
//У меня для мобильной ос - https://f-droid.org/wiki/page/KeePassDroid //тебе не подойдёт -- не для тебя написал.
>Под iOS всё равно нет.
>Купил 1password для двух платформ - вот это ПО.
Какой Ви жЫрный., фу.
Купил какой-то "Contributed/Unofficial".
Нет, чтоб, как Большой, купить офисьяльно! без-СМС!! не-лоX!1адын порт MS Mono на свою недо"платформу".
| | |
|
|
|
| 2.21, Аноним (-), 00:01, 17/06/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Генерирую длиннющие пароли для каждого нового сайта и храню их в KeepassX.
> Брат жив, зависимость огромная.
а как ввести те же самые логины/пароли с iOS? синхронизация какая-нибудь есть? Приложения для мобильных ОС есть?
| | |
|
|
