Перейти к публикации
buchakow

безопасность ЛК в сервисе

Рекомендованные сообщения

Добрый день!

 

Вопрос сисадминам по теме безопасности.

Вот сейчас с меня сайт требует сменить пароль, дескать не менял его более 6 месяцев.

Вопрос.

Вот до этого цифро-буквенный пароль я держал в памяти, потому что он считается по определенному алгоритму.

Если мне сейчас нужен новый конкретно под ваш сервис - мне придется его куда-то записать.

И скорее всего - записать на компьютере.

 

А теперь главный вопрос: а какая система более защищена?

Та, к которой пароль записан только в голове пользователя, или та, к которой каждые полгода пишется новый пароль в записную книжку?

 

Очень прошу дать пользователям право самостоятельно решать - нужно ли менять пароль в систему или нет.

Поделиться сообщением


Ссылка на сообщение

Для хранения паролей на компьютере рекомендуем использовать программу специально их шифрующую.

 

Если вы используете одинаковый пароль в нескольких системах, он по определению не защищен.

 

У нас к сожалению неоднократно были случаи когда хакеры пытались массово сверить сочетания "имейл-пароль" украденные где-то на других сервисах.

 

Потому мы никогда не советуем использовать одинаковые пароли на нескольких сервисах.

Поделиться сообщением


Ссылка на сообщение

Для хранения паролей на компьютере рекомендуем использовать программу специально их шифрующую.

 

Если вы используете одинаковый пароль в нескольких системах, он по определению не защищен.

 

У нас к сожалению неоднократно были случаи когда хакеры пытались массово сверить сочетания "имейл-пароль" украденные где-то на других сервисах.

 

Потому мы никогда не советуем использовать одинаковые пароли на нескольких сервисах.

двухфакторную надо вводить

PS помню на сегодня только мастер пароль от пассворд менеджера

Поделиться сообщением


Ссылка на сообщение

Для хранения паролей на компьютере рекомендуем использовать программу специально их шифрующую.

 

Если вы используете одинаковый пароль в нескольких системах, он по определению не защищен.

 

У нас к сожалению неоднократно были случаи когда хакеры пытались массово сверить сочетания "имейл-пароль" украденные где-то на других сервисах.

 

Потому мы никогда не советуем использовать одинаковые пароли на нескольких сервисах.

 

А с чего вы взяли что пользователи используют одинаковые пароли?

 

Пароли, которые я использую в ключевых системах: атс, банк клиент, основной имейл, админка в црм - они уникальны. С чего вы взяли что у меня один пароль? Зачем вы додумываете за клиента?

 

А вот программа, их шифрующая - это куча проблем. Вопрос синхронизации между устройствами и кроссплатформенности - раз. Вопрос как их восстановить, если умерла система - два. Вопрос устойчивости таких типовых стандартных систем ко взлому - три (если нашли уязвимость в такой системе - ВСЕ пароли пользотвателей такой системы как на ладошке).

 

Кроме того! Любой человек может сменить пароль, имея доступ к почтовому ящику. Т.е. это всеравно дырявое решето. Кто хочет - взломает.

Изменено пользователем buchakow

Поделиться сообщением


Ссылка на сообщение

Вы написали "конкретно под ваш сервис". Что навело на мысли что пароли похожи.

 

Никто не мешает вам изменить пароль незначительно, чтобы и дальше держать в памяти.

В этом случае уже будет достаточно так как шифрованная часть будет абсолютно иной и даже если у вас о где-то старый в нешифрованном виде найдется, его не применят а перебор не даст сделать система.

Поделиться сообщением


Ссылка на сообщение

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...