Single Sign On with Nginx

Alex L. Demidov alexeydemidov на gmail.com
Пт Фев 26 23:02:26 MSK 2010


On Fri, Feb 26, 2010 at 09:25:00PM +0200, Gena Makhomed wrote:
> On 26.02.2010 20:33, Alex L. Demidov wrote:
> 
> >> в общем случае раскрытие логина пользователя не упростит
> >> подбор пароля, потому что нормальный пароль никак не связан
> >> с логином. и при достаточной сложности пароля подобрать его
> >> со скоростью один пароль в секунду - практически невозможно.
> 
> > Если бы еще пользователи выбирали себе нормальные пароли.
> >
> > Посмотрите на досуге анализ 10000 паролей украденных с Hotmail:
> > http://www.wired.com/threatlevel/2009/10/10000-passwords/
> >
> > и 20000 паролей с phpbb.com:
> > http://www.darkreading.com/blog/archives/2009/02/phpbb_password.html
> 
> слабый пароль - это частный случай. 

Слабый пароль - это не частный, а типичный случай. Цитаты из
вышеприведенной статьи:

I ran the phpbb passwords through various dictionary files and come
up with a 65% match (for a simple English dictionary) and 94% (for
"hacker" dictionaries). The dictionary words were overwhelmingly
simple ones, like "apple" or "orange," rather than complex words
like "pomegranate." 

16% of passwords matched a person's first name

14% of passwords were patterns on the keyboard, like "1234,"
"qwerty," or "asdf."

4% are variations of the word "password," such as "passw0rd,"
"password1," or "passwd."

> и проблема здесь не в пользователях,
> а в программистах, которые настолько криво создали эти две системы.

В вопросах безопасности всегда проблема в первую очередь в
пользователях. 

> например, Skype требует пароль от 6 до 20 символов,
> и чтобы там был как минимум один символ и как минимум одна цифра.

> Google требует при регистрации пароль минимум 8 символов
> и дает полезные рекомендации по выбору сильного пароля.

Это как-то предотвращает словарные атаки? 

> 
> то что из системы можно украсть пароль - это еще одна ошибка
> в проектировании такой системы, потому что пароль в базе данных
> не должен храниться в открытом виде, это же ведь очевидные факты.

Насколько я помню, пароли на hotmail были получены не через взлом, а
с фишингового сайта.

> и что-то я нигде в интернете не видел анализа 10000 паролей
> украденных из Skype или 20000 паролей, украденных из Google.
> хотя и Google и Skype не скрывают логины своих пользователей.

Читайте вышеприведенные статьи, там есть и о паролях с Google.

-- 
Alex L. Demidov (ALD9-RIPE).
http://alexd.vinf.ru/



Подробная информация о списке рассылки nginx-ru