цитата дня

[avva]

"Мы привыкли шутить, что самый частый пароль - 'password'. Теперь оказывается, что самый частый пароль - 'password1'. Кто сказал, что пользователи ничему не научились?"

-- Bruce Schneier, Real-World Passwords

Comments

[nata-rass.livejournal.com]

passwordd
!

[v743.livejournal.com]

pa$$w0rd
;)

[artol.livejournal.com]

Интересно было бы исследовать вопрос, как качество паролей коррелирует с подверженностью фишинг-атакам, с помощью которых был набран корпус паролей для этого анализа :)

[(Anonymous)]

Именно-именно.

При всём моём уважении к Брюсу, он - любитель делать выводы на плохой базе.

И это уже не говоря о том что самые популярные пароли по определению не могут быть хорошими. Adverse selection таки.

[nameless--one.livejournal.com]

опять логины слетают :(

[avva.livejournal.com]

Все верно. Я не призываю к глубоким выводам. Просто понравилась сентенция :)

[tlkh.livejournal.com]

А еще мне понравился вывод о средней длине пароля на основе данных брутфорса.
Очевидно, что слишком длинные пароли просто не были вскрыты.

[arpad.livejournal.com]

heh, good point

[(Anonymous)]

Пароли часто зависят от подсказок системы.
Вот теперь livejournal стал писать предупреждение о том, что пароль слишком слаб, надо бы цифр добавить. Что сделает нормальный пользователь, озабоченный безопасностью своего аккаунта на LJ? Правильно, добавит 1 в конец пароля.

[tlkh.livejournal.com]

^^^ это был я

[jojoza.livejournal.com]

у меня, похоже, профессиональный перекос )) Потому что в качестве паролей у меня случайные комбинации букв и цифр, которые я помню наизусть.

[asau.livejournal.com]

Если ты их не создаёшь ещё с помощью "openssl rand 6 -base64", это ничего.

[jojoza.livejournal.com]

о! идея! )))

[asau.livejournal.com]

Такие пароли я выдавал своим пользователям, когда они обращались с просьбой
сменить давно истёкший пароль. На все жалобы я отвечал разъяснением, что
именно такой пароль и должен быть. Примерно.

На серверах у меня стояли пароли, созданные "openssl rand 9 -base64".

На собранном под заказ почтовом сервере работает скрипт "change-passwd",
который меняет пароль на правильный, мне было лень объяснять требования
безопасности местным админам, а про команду passwd им знать не обязательно.

[begemotv2718.livejournal.com]

Система предупреждения о слабости пароля, если она действительно серьезная, может очень достать. В результате появляются пароли вроде .:Za3ba1i!:.

[netch]

Вот потому и придают столь высокое значение биометрической идентификации: не потому что она надёжна сама по себе (это не так), а потому, что в отличие от паролей, запоминать которые для большого количества народа просто пытка - тут ничего запоминать не надо. Кстати, особенно достают с этим популярные политики смены пароля в течение 60-90 дней. Число совсем неразумное. Раз в пару лет - да, можно запомнить. Каждый день - да, можно запомнить. Но именно такие промежуточные сроки - издевательство над памятью.