Single Sign On with Nginx
Alex L. Demidov
alexeydemidov на gmail.com
Пт Фев 26 23:02:26 MSK 2010
On Fri, Feb 26, 2010 at 09:25:00PM +0200, Gena Makhomed wrote:
> On 26.02.2010 20:33, Alex L. Demidov wrote:
>
> >> в общем случае раскрытие логина пользователя не упростит
> >> подбор пароля, потому что нормальный пароль никак не связан
> >> с логином. и при достаточной сложности пароля подобрать его
> >> со скоростью один пароль в секунду - практически невозможно.
>
> > Если бы еще пользователи выбирали себе нормальные пароли.
> >
> > Посмотрите на досуге анализ 10000 паролей украденных с Hotmail:
> > http://www.wired.com/threatlevel/2009/10/10000-passwords/
> >
> > и 20000 паролей с phpbb.com:
> > http://www.darkreading.com/blog/archives/2009/02/phpbb_password.html
>
> слабый пароль - это частный случай.
Слабый пароль - это не частный, а типичный случай. Цитаты из
вышеприведенной статьи:
I ran the phpbb passwords through various dictionary files and come
up with a 65% match (for a simple English dictionary) and 94% (for
"hacker" dictionaries). The dictionary words were overwhelmingly
simple ones, like "apple" or "orange," rather than complex words
like "pomegranate."
16% of passwords matched a person's first name
14% of passwords were patterns on the keyboard, like "1234,"
"qwerty," or "asdf."
4% are variations of the word "password," such as "passw0rd,"
"password1," or "passwd."
> и проблема здесь не в пользователях,
> а в программистах, которые настолько криво создали эти две системы.
В вопросах безопасности всегда проблема в первую очередь в
пользователях.
> например, Skype требует пароль от 6 до 20 символов,
> и чтобы там был как минимум один символ и как минимум одна цифра.
> Google требует при регистрации пароль минимум 8 символов
> и дает полезные рекомендации по выбору сильного пароля.
Это как-то предотвращает словарные атаки?
>
> то что из системы можно украсть пароль - это еще одна ошибка
> в проектировании такой системы, потому что пароль в базе данных
> не должен храниться в открытом виде, это же ведь очевидные факты.
Насколько я помню, пароли на hotmail были получены не через взлом, а
с фишингового сайта.
> и что-то я нигде в интернете не видел анализа 10000 паролей
> украденных из Skype или 20000 паролей, украденных из Google.
> хотя и Google и Skype не скрывают логины своих пользователей.
Читайте вышеприведенные статьи, там есть и о паролях с Google.
--
Alex L. Demidov (ALD9-RIPE).
http://alexd.vinf.ru/
Подробная информация о списке рассылки nginx-ru