?

Log in

No account? Create an account

Previous Entry | Next Entry

Парольная экология

Количество и сложность ИТ-систем растёт, а мозг человека остаётся прежним. Проверено экспериментами на людях: нормальный человек с высшим образованием в состоянии помнить три несловарных пароля длиной по 10-12 символов, меняя их раз в год. Расширение указанного разнообразия приводит к проблемам памяти.

Но в Интернете каждая форумная мелочь желает, чтобы пользователь на ней отдельно зарегистрировался и выбрал уникальный пароль. А мозг-то не резиновый! И работодатель настаивает, чтобы работник использовал в служебных целях свою память. А в ней всего-то 30-40 байтов!

В итоге либо пользователь записывает десятки и сотни своих уникальных паролей, либо задаёт в разных системах одинаковые пароли. То и другое не есть хорошо.

Представляется, что требовать от пользователя уникального (да ещё и длинного) пароля – это значит загрязнять ноосферу. И одновременно – снижать общий уровень безопасности. Каждый, кто делает так, снижает защиту не у себя, а у всех прочих ресурсов, на которых аутентифицируется тот же пользователь.

Давайте уже будем наказывать тех, кто портит ментальную экологию!


UPD: Вот и тов. Лукацкий подтверждает.


Comments

( 15 comments — Leave a comment )
e1am0
Mar. 20th, 2009 10:19 am (UTC)
ещё бы пруфлинк на эксперимент, а вообще мысль про загрязнение интересная
infowatch
Mar. 20th, 2009 11:02 am (UTC)
Пруфлинк
Будучи настоящим самоотверженным учёным, :) ваш покорный слуга эксперименты ставил на себе.
e1am0
Mar. 20th, 2009 11:44 am (UTC)
Re: Пруфлинк
Ну в таком случае, учитывая, что я тоже когда-то имел отношение к учёным, вынужден возразить прямо - выборка маловата будет :)
infowatch
Mar. 20th, 2009 02:44 pm (UTC)
Re: Пруфлинк
Я мог ошибиться раза в два. Но порядок величины - верный.
sontar
Sep. 4th, 2009 02:15 pm (UTC)
Re: Пруфлинк
а почему в два а не в три? а может быть в пять или десять?
sontar
Sep. 4th, 2009 02:16 pm (UTC)
хуета
sontar
Sep. 4th, 2009 02:17 pm (UTC)
у меня на форуме самый популярный пароль был 123456, пока я принудительно не сбросил для всех. подохуели одноклеточные
wulfdog
Sep. 11th, 2009 06:28 pm (UTC)
Хм...
с одной стороны, мысль здравая, с другой... не совсем верная.
Взять и сделать так, что бы паролями никто не интересовался, не воровал, не подсматривал, не подбирал, нереально. Но вот парольная грамотность присутствовать должна, хотя бы минимальная.
Например, на работе регулярно меняю два пароля, от своей учетки и доменного админа, из под которого работаю (ентерпрайз тоже помню, но не использую без крайней необходимости). Пароль вполне взрослый, порядка 10-15 символов (буквы, цифры, спец символы, разве что шифт не люблю ^_^) запоминается в течении двух дней, просто потому что за день раз 30 наберешь их. Это нормально не хранить пароли к удаленным подключениям и просто шарам.
А вот всякие форумы - фигорумы, не считаю важным. Есть один почтовый ящик со сложным паролем, его никогда и нигде не сохраняю. Собственно, на него завязаны все активации и пр. Да, единая точка отказа, но для некритичной информации. Для остального есть набор из нескольких логинов и паролей (которые и между собой комбинируются). Считаю этого достаточно. Не скажу, что мое решение единственное верное... Вообще считаю нужно все на сертефикаты в etoken'ы цеплять ;)
Ну еще и мозг должен быть в голове =) хранить на говнокласниках или хрентактах компромат, значит не бояться его доступности третьим лицам. А если отсуствует мозг, то все вышесказанное для них безсмыслица ))
ivanaxe
Sep. 23rd, 2009 08:31 pm (UTC)
У меня как раз на всякой форумной мелочи, которую 'не жалко', одинаковые пароли. Ибо память жалко.
А для всякой совсем редкоиспользуемой мелочи я вообще не запоминаю пароли, раз в полгода честно тычу в 'забыл пароль'
(Deleted comment)
infowatch
Nov. 26th, 2011 04:57 pm (UTC)
Плохой!

Вы, конечно же, круты как Агент 007, у вас всё получится. Но средний Вася Пупкин будет такой контейнер держать в мобилке, которую потеряет через месяц.
(Deleted comment)
(Anonymous)
Feb. 26th, 2013 07:20 am (UTC)
Re: радиоперехват нажатий клавиш из соседней комнаты...
С одной стороны, троян на компьютере встречается чаще, чем оборудование для радиоперехвата. С другой стороны - а почему бы не воспользоваться экранной клавиатурой и мышью. Кстати, в программе Password Safe (автор - известный специалист по криптографии Брюс Шнайер) предусмотрена экранная клавиатура с возможностью перетасовать на ней литеры.
(Deleted comment)
karpion
Sep. 9th, 2012 12:01 am (UTC)
В принципе, при подборе второго пароля можно использовать тот факт, что вероятность появления буквы в тексте зависит от соседних букв.

Edited at 2012-09-09 12:02 am (UTC)
(Deleted comment)
infowatch
Dec. 28th, 2011 01:48 pm (UTC)
Надо считать и сравнивать стоимость рисков в каждом случае. Для кого-то выгоднее будет доверять "чужим", для кого-то - полагаться на "своё".
Denis Kolesnik
Dec. 28th, 2011 01:53 pm (UTC)
Кстати есть еще вариант авторизации одного сервиса, через другой. Вот в ЖЖ я сейчас логинюсь при помощи аккаунта гугла. Гуглу я доверяю и авторизациюя в гугл у меня двухэтапная, при помощи постоянного+одноразового пароля (генерится в андроиде ихней же прогой).
В общем, такая себе авторизация по OpenID.
(Anonymous)
Aug. 16th, 2013 06:14 am (UTC)
Дорогой автор! Зачем загрязняете интернет дипрессивно–параноидальными текстами? Если у вас всё плохо в жизни, не стоит выливать свою дипрессию на других людей. Лучше пишите о чём нибудь добром, а не нойте и не плачте. И тренируйте свою память.

С Уважением, Михаил.
( 15 comments — Leave a comment )

Latest Month

October 2017
S M T W T F S
1234567
891011121314
15161718192021
22232425262728
293031    

Tags

Powered by LiveJournal.com
Designed by Tiffany Chow