о паролях

[avva]

Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:

1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).

2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."

Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:

• верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
• верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
• если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.

Comments

[dmih.livejournal.com]

UNIX хороша тем, что там и сейчас можно показать md5. Закрыли скорее на всякий случай - вдруг md5 научатся ломать совсем уж быстро, или, скорее, закрывали еще предшественников md5, про которых еще тогда стало ясно, что с обратным подбором всё вообще не супер.

А так сейчас можно md5 и выставить. Ведь а UNIX-а нет никакой авторизации по этим хешам. Собтсвенно, преимущество в том, что там вообще никакой авторизации нет, кроме логина по паролю (это впрочем и недостаток).

А вот в Windows, например, всё хуже: сквозная взаимная авторизация по хешу пароля присутствует во многих протоколах, поэтому утечка хешей пароля смертельна прямо на месте.

[gaius-julius.livejournal.com]

Как это "никакой авторизации нет, кроме логина по паролю"??

почему же я успешно хожу практически на все свои сервера даже не зная пароля? (-:

[dmih.livejournal.com]

У вас сертификаты везде или внешняя служба авторизации, которая к внутренним паролям ОС отношения не умеет.

[gaius-julius.livejournal.com]

именно, сертификаты. но почему же тогда вы говорите "никакой ауторизации, кроме логина по паролю"? или мы что-то по-разному понимаем?

[dmih.livejournal.com]

Я имел в виду следующее: хеши, которые хранит UNIX-like ОС, слава богу, в авторизации не используются. Поэтому при достаточном качестве этих хешей их можно просто сделать публичными.