|
|
|
Hannibal61
Стаж: 15 лет 7 месяцев Сообщений: 17913
|
Hannibal61 ·
09-Июн-24 17:22
(1 год 3 месяца назад)
Apic писал(а):
86358507...и потеряйте половину
FakinTosh
Если не больше: периодически проходят возмущённые посты, типа, "почему нельзя скачать все раздачи с сайта без регистрации", а вы предлагаете ...
|
|
|
|
x86-64
Стаж: 7 лет 3 месяца Сообщений: 28895
|
x86-64 ·
09-Июн-24 17:35
(спустя 13 мин.)
Hanabishi
Даже я не хочу этим заморачиваться. А какой смысл вкладывать силы и время в функцию, которой будут пользоваться 0.5% юзеров
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 18:09
(спустя 34 мин.)
Apic писал(а):
86358645... а кто не хочет - у того и так аккаунт в безопасности...
Справедливо. Расширьте тогда максимальную длину пароля символов до 40-50 что ли.
|
|
|
|
x86-64
Стаж: 7 лет 3 месяца Сообщений: 28895
|
x86-64 ·
09-Июн-24 18:10
(спустя 37 сек.)
Hanabishi
Зачем?  По вашему 20 символов недостаточно?
|
|
|
|
yandrey0
Стаж: 18 лет 1 месяц Сообщений: 607
|
yandrey0 ·
09-Июн-24 18:23
(спустя 13 мин.)
Нужно не количество символов увеличивать, а делать фильтр-запрет на простые пароли!
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 18:26
(спустя 2 мин.)
x86-64 писал(а):
86358851По вашему 20 символов недостаточно?
Достаточно для случайно сгенерированных паролей. С учетом, что разрешено использовать спецсимволы, это ~100 бит энтропии - невозможно взломать существующими средствами.
А вот с "человеческими" паролями вопрос открытый. У меня самый длинный такого рода, который вводился на память, был символов 30-40.
Хотя наверное вы правы. Тем кому пофиг продолжат ставить 12345 в качестве пароля. А для тех кому нужна безопасность, рандомного пароля в 20 символов достаточно.
|
|
|
|
x86-64
Стаж: 7 лет 3 месяца Сообщений: 28895
|
x86-64 ·
09-Июн-24 18:46
(спустя 20 мин.)
Hanabishi
на эту тему нарисована прекрасная картинка
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 19:36
(спустя 49 мин., ред. 09-Июн-24 19:38)
x86-64 писал(а):
86358992на эту тему нарисована прекрасная картинка
Ну так в нашем случае как раз трудно использовать парольные фразы из-за ограничения. Что я собственно и пытался сказать в своем сообщении: correct horse battery staple - 29 символов.
А рандомные пароли в принципе не предназначены для запоминания. Их нужно хранить в менеджере паролей.
|
|
|
|
FakinTosh
Стаж: 17 лет Сообщений: 2223
|
FakinTosh ·
09-Июн-24 19:37
(спустя 59 сек.)
Apic писал(а):
86358507.и потеряйте половину
По умолчанию - выкл. Кому нужно будет - включит. Так что, хоть что то дополнительное нужно для подтверждения что я это я.
Hanabishi писал(а):
86358912Достаточно для случайно сгенерированных паролей
А как это защитит от утечки базы данных самого трекера и если скажем таки взломают со всем шифрованием и все пароли будут как на ладони? А сейчас слить базу данных, взломать потом, вообще не проблема. Это подтверждают всякие крупные утечки о которых каждый из нас где то да читал.
Например я знаю что пароли сервиса где есть игра батлфилд где то да гуляют. Мне не однократно на ёмайл приходили письма что совершён вход в профиль - подтвердите вход. Kак только включил 2FA - письма перестали приходить. Я даже пароль там не менял.
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 19:42
(спустя 5 мин.)
FakinTosh писал(а):
86359180А как это защитит от утечки базы данных самого трекера
Никак. Только вот 2FA тоже никак не защитит. Исходная строка для генерации одноразовых кодов так же хранится в базе рядом с паролем. При чем лежит она в открытом виде, в отличие от пароля, от которого хранится только хеш.
Короче если слита база, то и сгенерировать коды для 2FA ничего не стоит.
|
|
|
|
FakinTosh
Стаж: 17 лет Сообщений: 2223
|
FakinTosh ·
09-Июн-24 19:50
(спустя 8 мин.)
Hanabishi писал(а):
86359192Исходная строка для генерации одноразовых кодов
Генерит код приложение. На телефоне. Или Пк. Ввёл код с приложения на сайте - если правильный то пустит в профиль.
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 19:54
(спустя 3 мин.)
FakinTosh писал(а):
86359214Генерит код приложение. На телефоне. Или Пк. Ввёл код с приложения на сайте - если правильный то пустит в профиль.
А вам в голову не приходил вопрос откуда сервис знает, что введенный код правильный?
Ответ: на стороне сервиса хранится та же исходная строка для генерации кодов. Если злоумышленник получает эту строку, он так же сможет генерировать ваши коды.
|
|
|
|
FakinTosh
Стаж: 17 лет Сообщений: 2223
|
FakinTosh ·
09-Июн-24 19:59
(спустя 5 мин.)
Hanabishi
С хабра:
Цитата:
Насколько надежна двухфакторная аутентификация
Это хороший вопрос. 2FA не является непроницаемой для злоумышленников, однако она серьезно усложняет им жизнь. «Используя 2FA вы исключаете достаточно крупную категорию атак», – говорит Джим Фентон (Jim Fenton), директор по безопасности OneID. Чтобы взломать двухфакторную аутентификацию «плохим парням» придется украсть ваши отпечатки или получить доступ к cookie-файлам или кодам, сгенерированным токенами.
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 20:08
(спустя 8 мин., ред. 09-Июн-24 20:10)
FakinTosh писал(а):
86359244С хабра:
Так сами и прочитайте еще раз то что прислали.
Если токен для генерации кодов утекает - все, конец. Токен как правило хранится в той же базе рядом с паролем. 2FA не защищает от слива базы.
Хоть раз добавьте данные для аутентификации вручную, а не через дурацкий QR-код, тогда может поймете.
|
|
|
|
FakinTosh
Стаж: 17 лет Сообщений: 2223
|
FakinTosh ·
09-Июн-24 20:22
(спустя 13 мин.)
Hanabishi
Значит надо использовать стандартный пароль 12345 без всяких 2fa 
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 20:35
(спустя 13 мин.)
FakinTosh писал(а):
86359338Значит надо использовать стандартный пароль 12345 без всяких 2fa
Нет, я же сам высказывался за ее наличие выше.
Одноразовые коды хорошо помогают от проблем на стороне пользователя. Если украли пароль, если угнали почту - двухфакторка спасает.
Но раз сами админы считают, что их сервис недостаточно важный для таких мер, что поделать.
|
|
|
|
x86-64
Стаж: 7 лет 3 месяца Сообщений: 28895
|
x86-64 ·
09-Июн-24 20:38
(спустя 2 мин.)
Hanabishi
не надо приписывать другим то, чего они не говорили
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 20:41
(спустя 3 мин., ред. 09-Июн-24 20:41)
Кстати я сейчас внезапно понял откуда такое количество краденых аккаунтов. Думаю причиной являются левые зеркала.
Очень много народу сюда ходит через них. И они вбивают там свой логин-пароль для входа, своими же руками отдавая их злоумышленникам. Оттуда массовость.
x86-64 писал(а):
86359405не надо приписывать другим то, чего они не говорили
Это о чем комментарий?
Если ответ на
Hanabishi писал(а):
86359396Но раз сами админы считают, что их сервис недостаточно важный для таких мер
то я отсылаюсь на сообщение выше
Apic писал(а):
86358645Так и смысла нет тогда заморачиваться.
|
|
|
|
xpkhp
Стаж: 15 лет 2 месяца Сообщений: 6388
|
xpkhp ·
09-Июн-24 20:43
(спустя 1 мин.)
хранение писем увеличили в ЛС!?
а то старое покраснело уведомление
|
|
|
|
x86-64
Стаж: 7 лет 3 месяца Сообщений: 28895
|
x86-64 ·
09-Июн-24 20:45
(спустя 2 мин., ред. 09-Июн-24 20:46)
Hanabishi
и где там хоть слово про
Hanabishi писал(а):
86359408их сервис недостаточно важный для таких мер
?)
Apic писал(а):
86358645Угоняют профили с паролями qwerty, password, 123456 или =нику.
Человек с таким паролем двухфакторку не включит.
|
|
|
|
yandrey0
Стаж: 18 лет 1 месяц Сообщений: 607
|
yandrey0 ·
09-Июн-24 20:51
(спустя 5 мин.)
Предлагаю закрыть ЛС (кроме избранных групп) нет лички - нет проблем
|
|
|
|
Hanabishi
Стаж: 15 лет 5 месяцев Сообщений: 3056
|
Hanabishi ·
09-Июн-24 21:18
(спустя 27 мин., ред. 09-Июн-24 21:19)
x86-64, я не говорю конкретно о текущей спам атаке.
Безопасность аккаунтов это очень серьезный вопрос. Пароли могут быть украдены и у нормальных пользователей другими путями.
Потому данное высказывание я могу трактовать только двумя способами:
1. Администрация не имеет достаточно компетенции в вопросе безопасности и недооценивает риск.
2. Администрация не считает аккаунты своих пользователей достаточно важными.
И со вторым вариантом я в принципе согласен. В местных аккаунтах объективно мало ценности, никаких личных данных. 99% зарегистрированы только чтобы нажать кнопку скачивания. Остальные в основном состоят из срачей на форуме.
Из важного есть релизеры, но угон одного мало что дает.
И аккаунты самой администрации конечно. Кстати на их месте я бы добавил двухфакторку уже хотя бы ради безопасности админсостава, ведь угон 1 такого аккаунта уже может нанести серьезный вред.
|
|
|
|
FakinTosh
Стаж: 17 лет Сообщений: 2223
|
FakinTosh ·
09-Июн-24 23:49
(спустя 2 часа 31 мин.)
Hanabishi писал(а):
86359566уже хотя бы ради безопасности админсостава, ведь угон 1 такого аккаунта уже может нанести серьезный вред
Но к щастию это не важно и можно жить и так. Ну угонят вдруг у кого то из админов акк из за отсутствия проверки по одноразовому паролю, ну с кем не бывает. Это не страшно
|
|
|
|
Goldfarb
Стаж: 17 лет 3 месяца Сообщений: 1871
|
Goldfarb ·
10-Июн-24 03:19
(спустя 3 часа, ред. 10-Июн-24 03:19)
yandrey0 писал(а):
86359455Предлагаю закрыть ЛС (кроме избранных групп) нет лички - нет проблем
Так в настройках профиля пользователя есть пункт "Отключить получение и отправку ЛС:"
|
|
|
|
Aleks Punk
Стаж: 13 лет 9 месяцев Сообщений: 13176
|
Aleks Punk ·
10-Июн-24 07:19
(спустя 4 часа)
Goldfarb писал(а):
86360362
yandrey0 писал(а):
86359455Предлагаю закрыть ЛС (кроме избранных групп) нет лички - нет проблем
Так в настройках профиля пользователя есть пункт "Отключить получение и отправку ЛС:"
Но этот шаг приведет к тому что наравне со спамерами и просто врагами будут отключены и все друзья.
|
|
|
|
Xant1k
Стаж: 17 лет 4 месяца Сообщений: 3775
|
Xant1k ·
10-Июн-24 14:00
(спустя 6 часов)
Цитата:
Кстати я сейчас внезапно понял откуда такое количество краденых аккаунтов. Думаю причиной являются левые зеркала.
Очень много народу сюда ходит через них. И они вбивают там свой логин-пароль для входа, своими же руками отдавая их злоумышленникам. Оттуда массовость.
или e-mail временный)
Угоняют базу трекера.
Ждут когда закончится домен временной почты.
Поднимают сервер с доменом закончившейся почты.
На трекере делают восстановления пароля.
Мало кто о таком знает(я сам прочитал где-то на лоре или опеннете в комментах).
Раньше в десятых годах и нулевых почту на мылесру ломали и восстанавливали акки с разных онлайн проектов попутно угоняя бд.
От такого поможет доп. идентификация владельца.
А вообще зачем почта? Есть же логины по сертификатам или ключам. По-моему даже стандарты для этого созданы.
|
|
|
|
Apic
Стаж: 19 лет 2 месяца Сообщений: 61834
|
Apic ·
10-Июн-24 18:40
(спустя 4 часа, ред. 10-Июн-24 18:40)
Xant1k писал(а):
86361486или e-mail временный)
Нет.
Все профили последних спамеров с нормальными почтами. Просто пароли не очень...
|
|
|
|
Xant1k
Стаж: 17 лет 4 месяца Сообщений: 3775
|
Xant1k ·
10-Июн-24 19:23
(спустя 42 мин., ред. 10-Июн-24 19:23)
Во
Реализовать новый тэг mediainfo и для логов в аудио разделе. И добавить кнопку копирования содержимого.
|
|
|
|
xpkhp
Стаж: 15 лет 2 месяца Сообщений: 6388
|
xpkhp ·
12-Июн-24 09:45
(спустя 1 день 14 часов)
снова красное уведомления, а письма нет
|
|
|
|
Aleks Punk
Стаж: 13 лет 9 месяцев Сообщений: 13176
|
Aleks Punk ·
12-Июн-24 09:49
(спустя 3 мин., ред. 12-Июн-24 09:49)
xpkhp писал(а):
86367504снова красное уведомления, а письма нет
Значит забанили спамера, до того, как вы успели прочесть спам от него. Красное уведомление остается пока вы не зайдете в ЛС.
А раз зашли, это считается что прочли. И неважно что письма уже нет. Система рутрекера засчитала что прочли.
Со мной тоже такое было за последние дни пару раз. Спамеры массово шлют всем письма и их банят.
|
|
|
|
