Single Sign On with Nginx
Gena Makhomed
gmm на csdoc.com
Пт Фев 26 22:25:00 MSK 2010
On 26.02.2010 20:33, Alex L. Demidov wrote:
>> в общем случае раскрытие логина пользователя не упростит
>> подбор пароля, потому что нормальный пароль никак не связан
>> с логином. и при достаточной сложности пароля подобрать его
>> со скоростью один пароль в секунду - практически невозможно.
> Если бы еще пользователи выбирали себе нормальные пароли.
>
> Посмотрите на досуге анализ 10000 паролей украденных с Hotmail:
> http://www.wired.com/threatlevel/2009/10/10000-passwords/
>
> и 20000 паролей с phpbb.com:
> http://www.darkreading.com/blog/archives/2009/02/phpbb_password.html
слабый пароль - это частный случай. и проблема здесь не в пользователях,
а в программистах, которые настолько криво создали эти две системы.
например, Skype требует пароль от 6 до 20 символов,
и чтобы там был как минимум один символ и как минимум одна цифра.
Google требует при регистрации пароль минимум 8 символов
и дает полезные рекомендации по выбору сильного пароля.
то что из системы можно украсть пароль - это еще одна ошибка
в проектировании такой системы, потому что пароль в базе данных
не должен храниться в открытом виде, это же ведь очевидные факты.
и что-то я нигде в интернете не видел анализа 10000 паролей
украденных из Skype или 20000 паролей, украденных из Google.
хотя и Google и Skype не скрывают логины своих пользователей.
--
Best regards,
Gena
Подробная информация о списке рассылки nginx-ru