I.N.
это явно таки глюк - у меня потребовало сменить пароль, хоть теперь старый пароль был сгенерирован сайтом когда то и в нем было 8знаков с капсами - т.е. под требование подходил

Вообще-то нет. Ставить простой пароль и не менять его - все равно что никогда не мыть руки, проблемы создаются не только нежелающему мыть, но и всем, кто бездумно с ним поздоровается.


Повторю сказанное в другой теме: Требования к сложности паролей не изменились. Пароль следует менять с определенной регулярностью и это штатная функция. Угоны аккаунтов на нашем сайте были и по крайней мере один раз угнанный акк принес материальный ущерб другим пользователям.

Изменились требования к частоте смены паролей - срок был сокращен до 2 лет, что, на самом деле, очень много. Последняя знаменитая утечка паролей была в конце 2014, т.е. мы даже не перекрываем этот срок. Специально сделано в субботу, когда время сменить в принципе есть.

Объясню, зачем нужна регулярная смена паролей. Абсолютное большинство пользователей использует один и тот же пароль в нескольких местах. Порядка 90% сайтов шифруют пароли, но есть еще примитивные или просто недобросовестные, которые не шифруют. Из тех, что шифруют, часть не "солит" их, и они легко ломаются по таблицам.

Базы данных сайтов время от времени "утекают", иногда взломом, иногда с занятых нелегальной деятельностью или спамом сайтов, после чего пароли из них извлекаются и используются для атак на аккаунты. Если сайты требуют регулярно менять пароли - вероятность совпадения падает в разы.


Нет, кстати, никакой необходимости придумывать совершенно новый пароль, даже небольшие изменения к существующему (только не приписывание "1" в конец, т.к. это входит в проверку вариаций) достаточны.

Ну и еще один небольшой фактор - народ банально забывает, какой пароль ставили 10 лет назад, записан в браузере и записан... А потом пароль забыли, систему переставили, провайдер почты закрылся.

Кстати, я просматриваю по разным причинам истории порядка тысячи пользователей в месяц, и процентов у 10-15 вижу историю регулярной смены паролей. Да, это небольшой процент, но в абсолютных цифрах очень многие меняют пароль даже без запроса. Так что уж заслуженным пользователям, чей акк при угоне опасен, тем более стоит.

Вот реально я не мою руки месяцами, да, это не шутка, и проблем мало того у меня нету, я тупо не здороваюсь руками с другими, специально говорю "руку не пожму, руки грязные" и всё, проблем никаких. А вот менять пароль это реальное неудобство.

Если угонят акк то скорее всего не подбором паролей а фишингом (были случаи во времена магистра) подбором сейчас пользуются ТОЛЬКО для маленького словаря из 10-20 паролей в противном случае это неэффективно. (Одно время вообще только 123456 хватало, просто берёшь список из 20 случайных ников, например из одного топика, или из списка онлайн, хоть у одного из 20-ти будет такой пароль, вручную перебрать можно, я так на нескольких закрытых трекеров после бана возвращался, однажды вообще модераторский акк оказался с таким паролем)

Проблемы это непосредственно пользователя (если он простой юзер, если вообще модератор или даже просто куратор то это другая история) угонят его акк, забанить и всё. И не разбанивать, именно за то что человек не уследил за аккаунтом.

А вот требовать большие и маленькие буквы и цифры в пароле это не страховка, это паранойя, помогают такие пароли ТОЛЬКО когда уводят базу с несолёными хешами или когда уводят базу с хешами и солью.

Добавлено спустя 1 минуту 47 секунд:

Этому есть причина, хочется помнить свой пароль, а не хранить в текстовом файле на десктопе. А если человек доброссовестнф

Добавлено спустя 32 секунды:
*ый и использует разные пароли то помнить их ещё сложнее, а ещё сложнее запоминать какой на какой сменился

Сегодня конференция настоятельно "попросила" сменить пароль. На почту ни пришло вообще ни чего.
Но самое забавное, что войти теперь могу только через тот браузер на машине где и менял пароль.
На любой другой машине и с любым браузером войти на форум не могу ни со старым ни с новым паролем.
Спрашивается:
1. Почему нельзя отображать пароль при вводе при изменении?
2. Почему новый пароль не приходит на почту, которая указана?

Vladson
Я уже писал выше о том, какой сегодня основной способ угона аккаунтов. Берутся БД сайтов, где пароли лежат открытым текстом или расшифрованы, и готово. Если ник совпадает, заходим прямо через интерфейс. Если не совпадает, нужно или подбирать, или угнать еще и БД целевого сайта.

Признаков, что нашу угнали, нет, но если это произойдет, для использующих уникальный пароль ничего не случится, расшифровать их из нашей базы не получится. Для остальных - подбор будет производиться через базу, а не через интерфейс сайта, а Радеоны прогоняют миллиарды паролей в секунду, позволяя переломать базу в 60,000 пользователей за день даже со словарем в сотню ГБ. Проще говоря, если этот пароль хоть где-то хоть когда-то засветился и попал в словарь паролей для подбора, вероятность взлома аккаунта с ним при угоне базы 100%. Против долей процента перебором если не засветился.

lesss2006 как 2 байта переслать))

Добавлено спустя 4 минуты 9 секунд:
еще хорошо бы капчу ввести, и блокировку на 1 час за неверно набранный пароль 3 раза )))
тогда взлом паролей отпадет через брут, останется только кража базы сайта , или переход по ссылкам через сниффер

Вы че все такие возмущенно-возбужденные, решила адм. так сделать вы к ней уважение вообще в состоянии проявить?
Пользователи мать вашу.

основной способ угона - подменить оригинальную страницу, так чтобы она просила сменить пароль

Добавлено спустя 3 минуты 42 секунды:

за, прости, что? очередное сомнительное действие, причинившие кучу неудобства людям и сделанное крайне топорно без пояснения, без оповещения. вот и поди пойми, то ли заботятся о безопасности твоего акка, то ли вот прямо в этот момент его воруют - "введите старый пароль"

интересно, скольких аккаунтов ресурс не досчитается после этого.
когда уже, блин, наконец поймете, что пользователи - это не собственность ресурса, а его бесценный актив, за счет которого ресурс существует и зарабатывает.

Хвала кэшу гугла и скилу гугления я узнал в чём же дело не меняя пароль. Можно и предупредить было как-то. Может там база акков поломалась или убежала и админ заблочил её. Или меня ломанул кто и всё кривым поломаным оставил - ибо на форумах по датам все пишут нормально.

У меня сейчас так же только в Опере, через Гугл Хром всё нормально.

Добавлено спустя 54 секунды:
В общем-то я сменил пароль на новый как велело, возможно его у меня так украли и старый и новый? Обхитрили?

Добавлено спустя 1 минуту 1 секунду:
Кстати это всё равно не помогло, так что верну старый пароль как было.

Добавлено спустя 1 минуту 27 секунд:
А ещё я не могу больше 10 раз редактировать свой пост выше...

Куда делать правка? Что бы я мог редактировать по 10 раз свой пост?

Добавлено спустя 1 минуту 7 секунд:
Varg, пора бы меня запустить в VIP раздел про политику.

А мне почему-то не велело . Просто редирект на личный раздел где логин-пароль. И во всех браузерах одинаково. Редактировать свои посты тут не могу почему-то.

Мда ... в каждом городе\регионе есть свой, крупный, форум где есть разделы с барахолкой. И продавать легче, и быстрее. Это не объяснение причины принудительной смены пароля. И да, почему подтверждение не покреплено ссылкой на почту. Вот уж действительно задумаешься, а не воры ли?

я понимаю что пароль менять надо, но зачем это делать разным регистром? 100% я его забуду через месяц.

Действительно, за что? Ну решила администрация менять пароли, пусть себе и меняет. А мой пароль - это мое дело, и только мне решать, менять его или нет. А тем более указывать, как мне его писать, большими буквами, маленькими, или еще как. И вообще, по хорошему так не делается. Можно было хоть как-то предупредить пользователей, что будет смена паролей. Например через ЛС.

Пароль уже очень давно, лет пять как, должен иметь буквы обоих регистров. Если ваш не имеет - вы не меняли его вообще никогда или в совсем бородатые времена.

Я понимаю, безопасность, забота о пользователях. Но можно же было оповестить об этом? Разослать уведомление через ЛС или повесить где-нибудь объявление. Хорошо, у меня пароль записан был. А если бы нет? Заводить новый аккаунт и писать письма администрации?

Varg
при смене почту пишем - почем не присылать новый пароль на нее?

Да у меня ещё прикольнее получилась. Обновил браузер до крайней лысы 45.0ю1esr и тут пароль вдруг меняй, аж захотелось надеть шапочку из фольги. Стал думать..., что это взаимосвязано... как на некоторых сайтах
А тут вот оно как

10 лет пароль не менял, а тут вдруг на тебе. Хоть бы плашку где повесили или просто большими жирными буквами написали что мол необходимо поменять пароль и старый действует ещё сколько то там времени. А то просто молча кидает в личный профиль в форму смены пароля и всё, думай что хочешь.

Да уж, с паролями это нечто. Ток не понятно от кого шифруемся.