ReSQL.ru
     
powered by simpleCommunicator - 2.0.38     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Обсуждение нашего сайта (архив) [закрыт] [закрыт для гостей] / Храните пароль открытым текстом? Ну спасибо
72 сообщений из 72, показаны все 3 страниц
  все  
Храните пароль открытым текстом? Ну спасибо
    #12590668
Mamut
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Mamut
Участник
Нажал на восстановление пароля, мне пришел тот пароль, что я ввел еще нцать лет тому назад, а не новый пароль. Храните пароль открытым текстом? Ну спасибо
...
Рейтинг: 0 / 0
21.05.2012, 18:08
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590727
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Mamut 
Нажал на восстановление пароля, мне пришел тот пароль, что я ввел еще нцать лет тому назад, а не новый пароль. Храните пароль открытым текстом? Ну спасибо
А что, жалко? Боитесь, украдут?
...
Рейтинг: 0 / 0
21.05.2012, 18:23
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590820
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Mamut 
Нажал на восстановление пароля, мне пришел тот пароль, что я ввел еще нцать лет тому назад, а не новый пароль. Храните пароль открытым текстом? Ну спасибо
а новый пароль не открытым бы текстом пришел?
...
Рейтинг: 0 / 0
21.05.2012, 18:53
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590839
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
iscrafm 
а новый пароль не открытым бы текстом пришел?
Хекс-кодом
...
Рейтинг: 0 / 0
21.05.2012, 19:01
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590840
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
хеш-кодом*
...
Рейтинг: 0 / 0
21.05.2012, 19:01
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590842
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Hett 
хеш-кодом*
Т.е. при восстановлении пароля надо будет руками сей хеш-код отбрутфорсить и получить новый пароль? O_o
...
Рейтинг: 0 / 0
21.05.2012, 19:03
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590844
Edd.Dragon
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Edd.Dragon
Участник
iscrafm 
а новый пароль не открытым бы текстом пришел?
Наличие его в письме никак не означает наличие его в БД. Хоть старый, хоть новый, хоть пользователем придуманный, хоть сервером - назачем его хранить то?
...
Рейтинг: 0 / 0
21.05.2012, 19:04
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590861
Edd.Dragon
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Edd.Dragon
Участник
Гавриленко Сергей Алексеевич 
Hett 
хеш-кодом*
Т.е. при восстановлении пароля надо будет руками сей хеш-код отбрутфорсить и получить новый пароль? O_o
Вы что, никогда не видели процедуры "восстановления" пароля, по которой присылается не пароль на доступ к акку, а пароль и ссылка по которой:

- введите код, который пришел в письме;
- введите новый пароль;
- подтвердите новый пароль.

?
...
Рейтинг: 0 / 0
21.05.2012, 19:07
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590884
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Edd.Dragon 
Гавриленко Сергей Алексеевич 
пропущено...
Т.е. при восстановлении пароля надо будет руками сей хеш-код отбрутфорсить и получить новый пароль? O_o
Вы что, никогда не видели процедуры "восстановления" пароля, по которой присылается не пароль на доступ к акку, а пароль и ссылка по которой:

- введите код, который пришел в письме;
- введите новый пароль;
- подтвердите новый пароль.

?
Нет. В лучшем случае приходила или ссылка на страницу, где я его мог его поменять, или сгенерированный новый. Вот прямо чтобы какой-то код, который мне надо копипастить из письма и вставлять куда-то в веб-форму - это только вебмани любят мозг взрывать, да и то с активацией оборудования. И, заметьте, хеш от пароля мне тоже никто никогда не присылал.
...
Рейтинг: 0 / 0
21.05.2012, 19:13
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590896
Фотография Esofter
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Esofter
Участник
Mamut,

думаешь пароль от твоего аккаунта на скуле предоставляет хоть какую-то информационную ценность?
...
Рейтинг: 0 / 0
21.05.2012, 19:14
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590933
Фотография Яростный Меч
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Яростный Меч
Участник
Гавриленко Сергей Алексеевич 
Вот прямо чтобы какой-то код, который мне надо копипастить из письма и вставлять куда-то в веб-форму
обычно предоставляют готовую ссылку, по которой надо просто кликнуть
...
Рейтинг: 0 / 0
21.05.2012, 19:22
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590937
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
до того как пользоваться манагером пароля я ставил одинаковые. Было 3 уровня паролей: для говносайтов, для нормальных сайтов и для почты :)))
...
Рейтинг: 0 / 0
21.05.2012, 19:23
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590939
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
то есть у меня было всего 3 пароля
...
Рейтинг: 0 / 0
21.05.2012, 19:24
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12590944
Гаджимурадов Рустам
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гаджимурадов Рустам
Участник
Сделано так, как сделано. Возмущенцам предлагаю сразу
перейти к конкретным претензиям - чем сабж им мешает.

Posted via ActualForum NNTP Server 1.5
...
Рейтинг: 0 / 0
21.05.2012, 19:25
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591006
Edd.Dragon
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Edd.Dragon
Участник
Гавриленко Сергей Алексеевич 
Нет. В лучшем случае приходила или ссылка на страницу, где я его мог его поменять, или сгенерированный новый. Вот прямо чтобы какой-то код, который мне надо копипастить из письма и вставлять куда-то в веб-форму - это только вебмани любят мозг взрывать, да и то с активацией оборудования. И, заметьте, хеш от пароля мне тоже никто никогда не присылал.
А в этой ссылке кроме самого урла есть так же хеш, пароль, код - назовите как хотите.

И для порядку, на странице должно быть поле, в которое этот код можно ввести вручную (мало ли, не получается из письма по ссылке пройти).

Вот об этом способе и речь. Хотя конечно, не знаю, что именно имел ввиду Hett, но буду удивлен, если он имел ввиду не что-то подобное, а именно хеш от логина, который нужен серверу, но не юзеру ))
...
Рейтинг: 0 / 0
21.05.2012, 19:42
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591142
Mamut
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Mamut
Участник
iscrafm 
а новый пароль не открытым бы текстом пришел?
Заново сгенерированный — пожалуйста. А то, что мне пришел мой же пароль открытым текстом явно говорит о том, что пароли где-то хранятся открытым текстом, не?
...
Рейтинг: 0 / 0
21.05.2012, 20:38
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591143
Mamut
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Mamut
Участник
Edd.Dragon 
Наличие его в письме никак не означает наличие его в БД. Хоть старый, хоть новый, хоть пользователем придуманный, хоть сервером - назачем его хранить то?
Да, действительно. То, что мне пришел мой старый пароль открытым текстом ну никак не означает его наличие в БД
...
Рейтинг: 0 / 0
21.05.2012, 20:38
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591145
Mamut
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Mamut
Участник
Гаджимурадов Рустам,

Напрягает наплевательское отношение к безопасности.
...
Рейтинг: 0 / 0
21.05.2012, 20:40
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591171
Edd.Dragon
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Edd.Dragon
Участник
Mamut 
Edd.Dragon 
Наличие его в письме никак не означает наличие его в БД. Хоть старый, хоть новый, хоть пользователем придуманный, хоть сервером - назачем его хранить то?
Да, действительно. То, что мне пришел мой старый пароль открытым текстом ну никак не означает его наличие в БД
Вопрос был о новом, а не о старом
...
Рейтинг: 0 / 0
21.05.2012, 20:52
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591172
Edd.Dragon
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Edd.Dragon
Участник
Mamut 
Гаджимурадов Рустам,

Напрягает наплевательское отношение к безопасности.
Может у них БД защищена получше всех Пентагонов и ФБРов вместе взятых!
...
Рейтинг: 0 / 0
21.05.2012, 20:53
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591336
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
сервер от инета отключен шоль? :)))
...
Рейтинг: 0 / 0
21.05.2012, 21:49
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591402
Фотография judge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
judge
Участник
В базе, пароли не лежат в открытом виде.

Это мой пароль.

0xCB4C23127361DEC138C35EFE77A1D6C267EE5367AE2727CF

Все равно с этим ничего не сделаете.
То что хеш надежнее - спорить не буду. Действительно так.
...
Рейтинг: 0 / 0
21.05.2012, 22:18
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591511
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
judge 
В базе, пароли не лежат в открытом виде.

Это мой пароль.

0xCB4C23127361DEC138C35EFE77A1D6C267EE5367AE2727CF

Все равно с этим ничего не сделаете.
То что хеш надежнее - спорить не буду. Действительно так.
Шифрование?
...
Рейтинг: 0 / 0
21.05.2012, 23:09
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591547
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Эта не шифрование, а хеш называется.
...
Рейтинг: 0 / 0
21.05.2012, 23:22
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591562
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
ShSerge 
Эта не шифрование, а хеш называется.
Из хеша невозможно восстановить изначальный пароль (кроме как брутфорсом). Однако, если ткнуть "восстановить пароль", то на почту этот пароль приходит. Отсюда два варианта: или пароли хранятся где-то в другом месте в открытом виде, или это не хеш, а зашифрованный пароль, который можно хотя бы одним способом расшифровать.
...
Рейтинг: 0 / 0
21.05.2012, 23:26
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591585
Гаджимурадов Рустам
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гаджимурадов Рустам
Участник
Mamut> Напрягает наплевательское отношение к безопасности.

В чем оно выражается?

Posted via ActualForum NNTP Server 1.5
...
Рейтинг: 0 / 0
21.05.2012, 23:37
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591785
kDnZP
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kDnZP
Участник
Гавриленко Сергей Алексеевич 
ShSerge 
Эта не шифрование, а хеш называется.
Из хеша невозможно восстановить изначальный пароль (кроме как брутфорсом). Однако, если ткнуть "восстановить пароль", то на почту этот пароль приходит. Отсюда два варианта: или пароли хранятся где-то в другом месте в открытом виде, или это не хеш, а зашифрованный пароль, который можно хотя бы одним способом расшифровать.
Именно. И это не есть хорошо(((. Я, как человек ленивый, использую форумный-пароль-который-не-жалко еще на 100500 ресурсах. Значит judge имеет потенциальную возможность зайти на любой из этих ресурсов под моим именем, как впрочем и любой другой человек, который получит доступ к базе паролей и алгоритму шифрования. Это печально.

* Слова, что мой (или чей-то другой) пароль нафиг никому не нужен - утешают слабо честно говоря. У меня нет паранойи, но хорошей практикой считается всеже пароли не хранить, а то ведь всякое может ВНЕЗАПНО случаться.
...
Рейтинг: 0 / 0
22.05.2012, 01:52
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591801
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Яростный Меч 
Гавриленко Сергей Алексеевич 
Вот прямо чтобы какой-то код, который мне надо копипастить из письма и вставлять куда-то в веб-форму
обычно предоставляют готовую ссылку, по которой надо просто кликнуть
вариантов масса. И старый пароль присылают и новый, сгенерированный, который можно сразу изменить, и просто ссылку на страницу для смены пароля...
...
Рейтинг: 0 / 0
22.05.2012, 02:17
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591802
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Mamut 
iscrafm 
а новый пароль не открытым бы текстом пришел?
Заново сгенерированный — пожалуйста. А то, что мне пришел мой же пароль открытым текстом явно говорит о том, что пароли где-то хранятся открытым текстом, не?
нет. Это ни о чем не говорит. Разве что о том, что тебе прислали твой старый пароль
...
Рейтинг: 0 / 0
22.05.2012, 02:18
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591804
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
kDnZP 
Я, как человек ленивый, использую форумный-пароль-который-не-жалко еще на 100500 ресурсах. Значит judge имеет потенциальную возможность зайти на любой из этих ресурсов под моим именем, как впрочем и любой другой человек, который получит доступ к базе паролей и алгоритму шифрования. Это печально.
цирк какой-то. :-D
...
Рейтинг: 0 / 0
22.05.2012, 02:19
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591805
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
kDnZP 
хорошей практикой считается всеже пароли не хранить
:))) Кто здесь? Где это считается хорошей практикой?
...
Рейтинг: 0 / 0
22.05.2012, 02:20
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591807
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Хеш надо хранить.
...
Рейтинг: 0 / 0
22.05.2012, 02:23
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591808
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
ShSerge 
Хеш надо хранить.
естественно не в открытом виде.
...
Рейтинг: 0 / 0
22.05.2012, 02:24
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591810
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
iscrafm 
ShSerge 
Хеш надо хранить.
естественно не в открытом виде.
Это как? Хеш, тот же МД5, в обратную сторону не расшифровать.
ПС. А чё, есть алгоритм? Давай делиться. :)
...
Рейтинг: 0 / 0
22.05.2012, 02:26
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591813
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
ПС. А то, что judge может под чьим-то паролем войти - фигня! Ему проще сразу инсерт в базу написать. :)
...
Рейтинг: 0 / 0
22.05.2012, 02:28
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591818
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
ShSerge 
Ему проще сразу инсерт в базу написать. :)
паникеры об этом как раз не подумали:)))
...
Рейтинг: 0 / 0
22.05.2012, 02:35
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591831
Фотография judge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
judge
Участник
kDnZP 
Гавриленко Сергей Алексеевич 
пропущено...
Из хеша невозможно восстановить изначальный пароль (кроме как брутфорсом). Однако, если ткнуть "восстановить пароль", то на почту этот пароль приходит. Отсюда два варианта: или пароли хранятся где-то в другом месте в открытом виде, или это не хеш, а зашифрованный пароль, который можно хотя бы одним способом расшифровать.
Именно. И это не есть хорошо(((. Я, как человек ленивый, использую форумный-пароль-который-не-жалко еще на 100500 ресурсах. Значит judge имеет потенциальную возможность зайти на любой из этих ресурсов под моим именем, как впрочем и любой другой человек, который получит доступ к базе паролей и алгоритму шифрования. Это печально.

* Слова, что мой (или чей-то другой) пароль нафиг никому не нужен - утешают слабо честно говоря. У меня нет паранойи, но хорошей практикой считается всеже пароли не хранить, а то ведь всякое может ВНЕЗАПНО случаться.
База и алгоритм на разых серверах. Я думаю, для форума этого вполне достаточно. Переход на хешированые пароли в планах давно, но не с высоким приоритетом.

Наверное, все-таки уровень доверия должен быть - иначе, зачем вы используете тот же самый логин и пароль на других сайтах? Это исправать, как раз гораздо проще и сделать это можете вы сами.
...
Рейтинг: 0 / 0
22.05.2012, 02:55
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591833
Гаджимурадов Рустам
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гаджимурадов Рустам
Участник
kDnZP> Значит judge имеет потенциальную возможность зайти на любой
kDnZP> из этих ресурсов под моим именем, как впрочем и любой другой
kDnZP> человек, который получит доступ к базе паролей и алгоритму шифрования.

1. На всякий случай - кроме пароля нужно еще знать логин и
эти самые ресурс. Нафига такое конкретно администратору
ресурса (необязательно judge, а вообще) - оставим за кадром.

2. Если кто-то получит несанкционированный доступ к БД
(в т.ч. паролям), то поверьте, в таком случае Ваши пароли будут
не самым важным вопросом и проблемой для разработчиков,
администраторов и пр.

3. И да, безусловно, в первую очередь надо зазщищать БД, а не
пароли в ней, которые так волнуют паникеров из этого топика.

Posted via ActualForum NNTP Server 1.5
...
Рейтинг: 0 / 0
22.05.2012, 02:59
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12591979
Фотография Hett
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Hett
Участник
автор 
2. Если кто-то получит несанкционированный доступ к БД
(в т.ч. паролям), то поверьте, в таком случае Ваши пароли будут
не самым важным вопросом и проблемой для разработчиков,
администраторов и пр.
Вот это вот зачем вы написали?
...
Рейтинг: 0 / 0
22.05.2012, 07:32
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12592223
kDnZP
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kDnZP
Участник
judge 
Наверное, все-таки уровень доверия должен быть - иначе, зачем вы используете тот же самый логин и пароль на других сайтах? Это исправать, как раз гораздо проще и сделать это можете вы сами.
Гаджимурадов Рустам 
1. На всякий случай - кроме пароля нужно еще знать логин и
эти самые ресурс. Нафига такое конкретно администратору
ресурса (необязательно judge, а вообще) - оставим за кадром.
Дело в том, что логин и пароль у меня одни и те же самые на многих ресурсах. Ну мне просто так легче, т.е. перебрать 2-3 логина и 3-5 паролей проще, нежели иметь их 100500 вариантов, которые я неупомню и сам.
Точно также почтовый ящик для регистраций на форумах и прочих сайтах используется специальный "мусорный", т.е. ценности от утери никакой нет.

Скажу честно. Уверен, что ни мой пароль, ни мой логин нафиг никому не сдался. И именно это меня успокаивает, как и любого другого "неуловимого Джо".
...
Рейтинг: 0 / 0
22.05.2012, 09:29
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12592265
Фотография акуз-лингвист
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
акуз-лингвист
Участник
kDnZP 
Дело в том, что логин и пароль у меня одни и те же самые на многих ресурсах.
это крайне несоветуется практически всеми сайтами :)
...
Рейтинг: 0 / 0
22.05.2012, 09:39
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12592333
kDnZP
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kDnZP
Участник
акуз-лингвист 
kDnZP 
Дело в том, что логин и пароль у меня одни и те же самые на многих ресурсах.
это крайне несоветуется практически всеми сайтами :)
Много чего не советуется в этих интернетах. Для случаев, если завязаны деньги - то политика безопасности у меня гораздо более строгая. А вот для развлечений, - не дохожу я до фанатизма. Скажем так, зарегистрирован я на более чем паре десятков форумов/сайтов и т.д. Есть ли хоть какие-то шансы упомнить (возьмем для определенности) 20 логинов + 20 паролей? У меня таких шансов нет.

* В любом случае - я могу позволить себе наплевательское отношение к безопасности, т.к. потенциальный ущерб будет ограничен только мной. За других пользователей и их безопасность я ответственности не несу, так что некоторая разница всеж-таки есть.
...
Рейтинг: 0 / 0
22.05.2012, 09:58
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12593418
Khod
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Khod
Участник
Mamut 
Нажал на восстановление пароля, мне пришел тот пароль, что я ввел еще нцать лет тому назад, а не новый пароль. Храните пароль открытым текстом? Ну спасибо
А на каком ресурсе?
...
Рейтинг: 0 / 0
22.05.2012, 12:10
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12593532
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
акуз-лингвист 
kDnZP 
Дело в том, что логин и пароль у меня одни и те же самые на многих ресурсах.
это крайне несоветуется практически всеми сайтами :)
наверное именно по этой причине придумывают различные системы единой идентификации :)
...
Рейтинг: 0 / 0
22.05.2012, 12:23
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12593541
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
kDnZP 
зарегистрирован я на более чем паре десятков форумов/сайтов
8-o
это шутка?
...
Рейтинг: 0 / 0
22.05.2012, 12:24
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12593842
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
iscrafm 
kDnZP 
зарегистрирован я на более чем паре десятков форумов/сайтов
8-o
это шутка?
Наверное, это - гипербола. :)))
...
Рейтинг: 0 / 0
22.05.2012, 12:58
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12593847
Фотография акуз-лингвист
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
акуз-лингвист
Участник
iscrafm 
акуз-лингвист 
пропущено...
это крайне несоветуется практически всеми сайтами :)
наверное именно по этой причине придумывают различные системы единой идентификации :)
это никак не связано с одинаковыми логинами и паролями :)
...
Рейтинг: 0 / 0
22.05.2012, 12:58
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12594227
kDnZP
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
kDnZP
Участник
iscrafm 
kDnZP 
зарегистрирован я на более чем паре десятков форумов/сайтов
8-o
это шутка?
Почему шутка? У меня достаточно разнообразные интересы. И уж точно они не ограничены одним sql.ru...
Другое дело, что у меня нет возможности одновременно уделять достаточно времени каждому интересному ресурсу, но это вовсе не значит, что все они заброшены. Сколько их штук, я естественно не считал, но то что их более двух десятков - 100% (среди них нет ни одной соц. сети, если что).
_______________________
Ну и подытоживая свою точку зрения: хранить пароли не есть хорошо, но в моем конкретном случае, - без разницы, т.к. используется спец. пароль для форумов, который потерять совершенно не жалко. Но на самом-то деле я вполне доверяю sql.ru, поэтому вообще не вижу проблем. :-D
В результате текущее положение дел меня лично вполне устраивает.
...
Рейтинг: 0 / 0
22.05.2012, 13:35
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12596866
Фотография Alex721
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Alex721
Участник
iscrafm 
kDnZP 
зарегистрирован я на более чем паре десятков форумов/сайтов
8-o
это шутка?
я тоже зареган не меньше чем на 30 форумах.
имеется 3-5 стандартных логина, 5-6 паролей.
после того, как почтовых ящиков стало штук 15 да еще и на разных ресурсах, я принял решение оставить только 2 ящика.
хотя на другие ящики все равно записаны домены, логины и т.п.
последнее время для форумных регистраций предпочитаю юзать врменную почту, как здесь.
...
Рейтинг: 0 / 0
22.05.2012, 19:07
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12596877
Гаджимурадов Рустам
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гаджимурадов Рустам
Участник
Hett 
Вот это вот зачем вы написали?
Потому что это правда, нет? :)
...
Рейтинг: 0 / 0
22.05.2012, 19:11
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12603978
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Согласен с ТС, если пароль в базе хранится в открытом виде или даже зашифрованном виде с возможностью расшифровки, то это для студенческой курсовой подошло бы, но странно для весьма крупного ресурса
...
Рейтинг: 0 / 0
23.05.2012, 19:14
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12603986
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Согласен с ТС, если пароль в базе хранится в открытом виде или даже зашифрованном виде с возможностью расшифровки, то это для студенческой курсовой подошло бы, но странно для весьма крупного ресурса
Беда-беда.
...
Рейтинг: 0 / 0
23.05.2012, 19:16
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604030
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич 
Беда-беда.
В чем беда? Или вы считаете, что хранение открытых паролей в БД это нормально?
Тогда зачем в современных движках мало того, что используют хеши, так еще и соль применяют, паранойя?
...
Рейтинг: 0 / 0
23.05.2012, 19:28
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604374
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Аригато,

Вполне нормально. Не надо то, в чём Вы не копенгаген. В вэбе это дело - вполне приемлемо, если сервер не у какого-то дяди.
...
Рейтинг: 0 / 0
23.05.2012, 20:42
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604641
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Гавриленко Сергей Алексеевич 
Беда-беда.
В чем беда? Или вы считаете, что хранение открытых паролей в БД это нормально?
Если он открытый, то вас, наверное, не затруднит сказать пароль judje'а 12591402 ?
...
Рейтинг: 0 / 0
23.05.2012, 21:57
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604864
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Серьезно, ппц, дискуссия. Сервер не у какого-то дяди, а у кого тогда, у какой-то тети?
Гавриленко Сергей Алексеевич 
Если он открытый, то вас, наверное, не затруднит сказать пароль judje'а 12591402 ?
Не затруднит, имея доступ к БД.
...
Рейтинг: 0 / 0
23.05.2012, 23:20
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604865
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
...
Рейтинг: 0 / 0
23.05.2012, 23:22
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604874
locky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
locky
Участник
Аригато 
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
как правило, большинство алгоритмов шифрования доступны в исходных текстах.
И, опять-таки, как правило, знание алгоритма помогает только при наличии весьма и весьма неслабой специфической подготовки.
...
Рейтинг: 0 / 0
23.05.2012, 23:27
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604880
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
У открытости паролей данного сайта как-то много ограничений, вы не находите? И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать. В общем, почти "приходи, кто хочешь, бери, что хочешь".
...
Рейтинг: 0 / 0
23.05.2012, 23:30
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604889
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
locky 
Аригато 
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
как правило, большинство алгоритмов шифрования доступны в исходных текстах.
И, опять-таки, как правило, знание алгоритма помогает только при наличии весьма и весьма неслабой специфической подготовки.
Да уже даже услужливо все реализовано в винде в CryptoApi. Только функцию с правильными параметрами вызвать надо. Делов-то.
...
Рейтинг: 0 / 0
23.05.2012, 23:33
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604894
locky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
locky
Участник
Гавриленко Сергей Алексеевич 
locky 
пропущено...

как правило, большинство алгоритмов шифрования доступны в исходных текстах.
И, опять-таки, как правило, знание алгоритма помогает только при наличии весьма и весьма неслабой специфической подготовки.
Да уже даже услужливо все реализовано в винде в CryptoApi. Только функцию с правильными параметрами вызвать надо. Делов-то.
Знание алгоритма и наличие спецподготовки позволяет использовать другие методы, кроме брут-форса.
да! Под знанием алгоритма, разумеется, подразумевается не только банальное знание его названия, но и как он собственно устроен/работает/етк
...
Рейтинг: 0 / 0
23.05.2012, 23:35
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604903
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато,

А, кстати, у вас пластиковая карта есть? Если есть, вы тоже на форумах банка пишите, что он ее номер хранит в "открытом" виде?
...
Рейтинг: 0 / 0
23.05.2012, 23:41
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604935
Фотография Borland
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Borland
Участник
Гавриленко Сергей Алексеевич 
Аригато,

А, кстати, у вас пластиковая карта есть? Если есть, вы тоже на форумах банка пишите, что он ее номер хранит в "открытом" виде?
Не только номер но и CVV-коды:)))
...
Рейтинг: 0 / 0
23.05.2012, 23:52
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605062
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич 
У открытости паролей данного сайта как-то много ограничений, вы не находите? И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать. В общем, почти "приходи, кто хочешь, бери, что хочешь".
Если иметь доступ к скриптам и БД, то никакой ключ не остановит. Сколько человек имеют свободный доступ к этим данным?
Я еще раз повторю, большинство современных движков мало того, что хранят хеши, так еще и соль применяют. Это паранойя?
...
Рейтинг: 0 / 0
24.05.2012, 00:42
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605067
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Аригато 
Серьезно, ппц, дискуссия. Сервер не у какого-то дяди, а у кого тогда, у какой-то тети?
Гавриленко Сергей Алексеевич 
Если он открытый, то вас, наверное, не затруднит сказать пароль judje'а 12591402 ?
Не затруднит, имея доступ к БД.
:)))
...
Рейтинг: 0 / 0
24.05.2012, 00:45
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605070
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич 
И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать.
Алгоритм и ключ знать не обязательно. Достаточно доступа к движку и базе. Проще говоря, если сайт взломают и сольют базу, то пароли ВСЕХ пользователей будут у злоумышленников. Уверен, что многие эти пароли используют еще где-то. Ведь защита хешем делается как раз: а. на случай слива базы; б. против возможности получить доступ к данным имеющим доступ к серверу. Опять паранойя?
...
Рейтинг: 0 / 0
24.05.2012, 00:46
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605074
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
locky 
как правило, большинство алгоритмов шифрования доступны в исходных текстах
ну не нужно так парня разочаровывать!
...
Рейтинг: 0 / 0
24.05.2012, 00:47
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605077
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Гавриленко Сергей Алексеевич 
У открытости паролей данного сайта как-то много ограничений, вы не находите? И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать. В общем, почти "приходи, кто хочешь, бери, что хочешь".
Если иметь доступ к скриптам и БД, то никакой ключ не остановит. Сколько человек имеют свободный доступ к этим данным?
Я еще раз повторю, большинство современных движков мало того, что хранят хеши, так еще и соль применяют. Это паранойя?
Соль, нас всех соль спасет! А чеснок нет, уже не помогает?

Раз вы доступа не имеете, не надо говорить, что пароли хранятся в открытом виде. Это примерно как говорить, что "некоторое бабло в некотором баблохранилище плохо защищено, потому что лежит в открытом виде, не закопано, да еще и адрес не секретный; чтобы его спереть, надо всего-лишь получить туда свободный доступ на несколько минут". Дерзайте, получайте.
...
Рейтинг: 0 / 0
24.05.2012, 00:48
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605082
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Цитата 
соль применяют
а что такое "соль"? Или это студенческий сленг какой-то? подскажите плз
...
Рейтинг: 0 / 0
24.05.2012, 00:50
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605086
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
iscrafm 
Цитата 
соль применяют
а что такое "соль"? Или это студенческий сленг какой-то? подскажите плз
Это дословный перевод. http://en.wikipedia.org/wiki/Salt_(cryptography)
...
Рейтинг: 0 / 0
24.05.2012, 00:53
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605094
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Гавриленко Сергей Алексеевич 
iscrafm 
пропущено...

а что такое "соль"? Или это студенческий сленг какой-то? подскажите плз
Это дословный перевод. http://en.wikipedia.org/wiki/Salt_(cryptography)
нашел(вспомнил) уже, спасибо. Глупо говорить конечно о таком при условии "имея полный доступ к БД"
...
Рейтинг: 0 / 0
24.05.2012, 00:58
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605111
Фотография judge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
judge
Участник
Как я это уже сказал выше - хеширование в любом случае в списке задач по доработке и ближайшие месяцы будет реализовано.
На текущий момент, защита является вполне адекватной, относительно ценности хранимых данных. (пароли зашифрованы, алгоритм и база на разных серверах)
На этом тему закрываю, во избежании holy wars.
...
Рейтинг: 0 / 0
24.05.2012, 01:18
| Цитировать для копирования  
72 сообщений из 72, показаны все 3 страниц
  все  
Форумы / Обсуждение нашего сайта (архив) [закрыт] [закрыт для гостей] / Храните пароль открытым текстом? Ну спасибо
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru             Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?all=1&fid=8&tid=942698]:
 0ms
get settings:
 10ms
get forum list:
 10ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 49ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 84ms
get tp. blocked users:
 2ms
others: 290ms
total:  462ms
созд. / загр.: 462ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]