История №1440356
Как-то у меня возникла проблема с входом не помню куда, и я, естественно, обратился в поддержку. После многотомной переписки вход мне восстановили с ИХ паролем, который я мог бы сменить. Я попытался сменить на старый, но... Мне сообщили, что мой пароль "скомпрометирован", и я не могу его использовать. Причем "скомпрометирован" он был лично мной, ДБ. Это значит, что у них где-то там в недоступном для меня месте хранится один из моих паролей. Если какому-то гангстеру потребуется доступ к моим банковским картам или почте и при этом у него на руках будет этот самый скомпрометированный парол, то этой сволочи потребуется в разы меньше времени для взлома остальных паролей.
Сегодня полдня посовокуплялся с Авито - в декабре поменял телефон, Авитом давно не пользовался, совсем забыл, что там тоже надо поменять бы телефончик. "А когда вы платили последний раз и скока денех у вас в кошельке?" - Да платил я 1 раз в жизни лет 6-7 назад, и осталось там у меня то ли 7 рублей, то ли 35, хз.
А еще был случай (лет 7-8 назад), когда переехал в другой регион и сменил телефон. Пришел в банк, чтобы сменить, а мне и говорят: "Щас придет код подтверждения на СТАРЫЙ телефон" - Ага, а у него уже и тушка остыла.
В общем, по моему мнению, в таких местах подтверждать личность проще и точнее всего по номеру паспорта - обычно эти данные спрашивают при регистрации.
Вообще уже давно используется биометрия в качестве пароля. Отпечаток пальца, Face ID, ни запоминать, ни подделать. Был в Китае один случай, когда две китаянки айфон не смог отличить и разблокировался, но это единственное исключение и было давно, сейчас поправили. Ну и в серьезных компаниях используется single sign in - запоминаешь ОДИН пароль от центральной системы, все остальные получают авторизацию по LDAP протоколу от центральной. Так сделана авторизация в майкрософт, гугл и еще кое-где. Никто не мешает сделать также и для личного пользования.
Пустая полка➦Svintusus• 01.02.24 07:55
Две проблемы.
Во-первых, если ваша биометрия утечет, то что будете делать. У нас в магазине, можно платить отпечатком ладони - очень удобно: подносишь ладонь к сканеру и не надо даже карточку доставать из кошелька.
Но если пароль увели (что часто происходит), то я его меняю и все. А если их базу биометрии уведут, то что делать?
Во-вторых, биометрия не является паролем. Пароли в системе все равно хранятся. Биометрия окрывает доступ на к этим паролям. Вы открываете программу отпечатком пальца (или еще как), но дальше передается пароль. Так что проблема с уводом паролей (радужными таблицами, ...) никуда не девается.
Ктототам➦Svintusus• 12.02.24 08:50
Пароль у вас в голове. Биометрия у вас буквально на лице (или на ладони). Риторический вопрос: что легче узнать?
А ещё биометрия ненадёжна. Поранишь, обожжёшь пальцы - всё. Даже грязные или потные пальцы уже могут быть не распознаны. Получишь травму - твоё лицо не распознается.
Не знаю, как в банке, но в нормальных местах хранится не пароль, а хеш. То есть, проверить на соответствие можно, а узнать, какой он - нельзя.
Serge712➦evengerova• 31.01.24 16:37
Можно хранить старый пароль, после того как поменял пароль. Как иначе они знают, что этот пароль был раньше? Вроде никакого вреда от этого нет, пароль ведь недействительный? Но это и есть уязвимость, если хакер получит старые пароли, он сможет вычислить закономерность т новый пароль на этом и на других аккаунтах.
evengerova➦Serge712• 31.01.24 18:23
Еще раз: хранятся не сами пароли (старые или актуальные), а их хеш-суммы. При логине вычисляется хеш-функция от вводимого пароля и сравнивается с хешем-суммой актуального пароля. При конфигурении нового пароля, его хеш-сумма сравнивается со хеш-суммами всех старых паролей (чтобы, если что, поругаться на скомпрометированный), потом записывается, а то, что ввел в окошечке пользователь, забывается навсегда.
Serge712➦evengerova• 31.01.24 21:06
Каким образом тогда отвергаются пароли, которые не точно такие, как старый пароль, но похожие? Если новый пароль отличается на одну цифру от старого, иди от того, которые был до того, система может его не пропустить.
evengerova➦Serge712• 31.01.24 21:14
Я с таким не сталкивалась. Возможно, кто-то и хранит сами пароли, но это нехорошо.
Serge712➦evengerova• 31.01.24 21:36
Может быть, сейчас пытался проверить, не позволяет заменить на точно такой, как был когда-то раньше, но позволяет заменить на похожий. Не помню, где я такое видел.
ЛасковоеХуило➦Serge712• 31.01.24 23:02
Serge712, всё очень просто: хранится как хеш всего пароля для определения его соответствия, так и два хеша его половинок, как раз с целью не допустить смену на похожий. Если после смены хеш хотя бы одной половинки совпадает, значит пользователь использует похожий пароль. Обходится ограничение легко - достаточно добавить/заменить что-то в начале и конце пароля и система не поймёт, что пароль похож, хотя по факту похож
Пустая полка➦evengerova• 01.02.24 07:56
Я однажды сталкивался - система хранила пароль, причем в открытом виде. Как только это выяснил, тут же закрыл у них аккаунт.
Yamashi➦evengerova• 01.02.24 08:35
Теоретически, если узнать метод шифрования, то можно узнать пароль из хэша. На практике проще восстановить через функцию смены пароля.
Ктототам➦Yamashi• 12.02.24 08:33
При использовании определённых методов шифрования, это невозможно даже теоретически.
Но зная хэш, возможно подобрать пароль путём перебора, если иметь достаточно мощный компьютер, а пароль достаточно короткий. Например, пароль длиной 8 символов на современном ПК можно подобрать меньше, чем за сутки. 9 символов - уже порядка месяца. На суперкомпьютере, соответственно, - в тысячи раз быстрее, там месяц потребуется уже на 11-12 символов.