Гмыл очень настойчиво предлагает задать опции для восстановления паролей, так настойчиво, что я просто не мог отказаться и решил попробовать. Вдруг гнусный злоумышленник уведет мой пароль через сниффер и будет использовать аккаунт в своих грязных целях. Так что надо пресечь, во избежание.
Так что я попробовал, и прифигел. Можно указать секретный вопрос, дополнительный адрес почты или номер мобильника. Но все три опции без малейших проблем удаляются, если ты знаешь пароль от аккаунта. Так что если кто и уведет мой пароль — польза от всех этих трех опций будет одинаковой, нулевой. Злоумышленник сидит и торжествует.
По моему, господа, это ппц. Зачем вообще нужно такое восстановление паролей? Для помощи маразматикам, которые не могут вспомнить свой пароль? Так они и секретный вопрос наверняка забудут. И адрес от почты
И вдогонку еще одна мысль. Почему не сделать вместо этого вторичный пароль, который можно ввести в случае угона основного, чтобы восстановить доступ к аккаунту? Поскольку в нормальных условиях вторичный пароль нигде не светится, то и шансы на угон близки к нулю.
Удалить или изменить вторичный пароль, естественно, должно быть невозможно без знания этого вторичного пароля.
Здравствуйте, bugmenot, Вы писали:
B>Гмыл очень настойчиво предлагает задать опции для восстановления паролей, так настойчиво,
это работает только если пароль был забыт. против хакеров это не работает, ес-но. недопилили.
алгоритм допила:
если указан сотовый или другое мыло, то при смене пароля на него высылается временный pin, который нужно ввести для завершения операции смены основного пароля. в сша в некоторых случаях этот пин даже высылается (опционально) бумажной почтой на указанный при регистрации адрес (не для гугла конечно). по мне так довольно надежная защита.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
М>если указан сотовый или другое мыло, то при смене пароля на него высылается временный pin, который нужно ввести для завершения операции смены основного пароля. в сша в некоторых случаях этот пин даже высылается (опционально) бумажной почтой на указанный при регистрации адрес (не для гугла конечно). по мне так довольно надежная защита.
ага мне банк для доступа к счету уже штук 5 разных номеров и пинов высылал, часть номеров надо говорить только по телефону, а часть только онлайн.
Да еще и 2 разных пароля — один просто на доступ онлайн (в добавок к номерам), другой когда оплачиваешь что-то картой через инет.
Толку то, я не запомню столько номеров, поэтому на рабочем столе лежит bank.txt куда подсматриваю за нужным пином/номером =)
Здравствуйте, мыщъх, Вы писали:
М>если указан сотовый или другое мыло, то при смене пароля на него высылается временный pin, который нужно ввести для завершения операции смены основного пароля. в сша в некоторых случаях этот пин даже высылается (опционально) бумажной почтой на указанный при регистрации адрес (не для гугла конечно). по мне так довольно надежная защита.
Бесполезная, если сотовый/второе мыло можно удалить без такого же подтверждения.
Здравствуйте, bugmenot, Вы писали: B>Гмыл очень настойчиво предлагает задать опции для восстановления паролей
да дурью маются
если вы, например, студент в общаге то кто-нить пока вы в душе может взять ваш телефон, "восстановить" пароль и потом глумиться над вами
если вы бизнесмен и у вас на gmail е переписка идет важная, оформить на себя липоую доверенность на ваше имя, "восстановить симку взамен утерянной" в любом салоне связи, и получить на нее пароль от вашей почты — тоже нехитрое дело. такие случаи были
все это фигня для склеротиков. пароль свой нужно только помнить, другого надежного способа пока не придумали. и кстати секретный вопрос ставить не советую тоже. многие даже не догадываются как просто подобрать ответ.
Здравствуйте, __kot2, Вы писали:
__>все это фигня для склеротиков. пароль свой нужно только помнить, другого надежного способа пока не придумали. и кстати секретный вопрос ставить не советую тоже. многие даже не догадываются как просто подобрать ответ.
Ну тут какбэ люди грамотные, должны понимать, что прочность системы равна прочности самого слабого звена. Если пароль у вас сложный, типа 45jGr0tgKL086IoiOrpPo89iWLgw, а ответ на секретный вопрос "Вася", то нетрудно догадаться, где ниточка порвется.
Здравствуйте, __kot2, Вы писали:
__>все это фигня для склеротиков. пароль свой нужно только помнить, другого надежного способа пока не придумали. и кстати секретный вопрос ставить не советую тоже. многие даже не догадываются как просто подобрать ответ.
А что насчет моей идеи про вторичный пароль?
Вероятность увода основного пароля все-таки нельзя исключать.
Здравствуйте, bugmenot, Вы писали:
B>Здравствуйте, __kot2, Вы писали:
__>>все это фигня для склеротиков. пароль свой нужно только помнить, другого надежного способа пока не придумали. и кстати секретный вопрос ставить не советую тоже. многие даже не догадываются как просто подобрать ответ.
B>А что насчет моей идеи про вторичный пароль? B>Вероятность увода основного пароля все-таки нельзя исключать.
Вероятность, что твой вторичный пароль будет забыт близка в единице (да я бы на тебя посмотрел, как бы ты с легкостью вспомнил бы сложный пароль, который ты используешь раз в дцать лет).
Здравствуйте, DOOM, Вы писали:
DOO>да я бы на тебя посмотрел, как бы ты с легкостью вспомнил бы сложный пароль, который ты используешь раз в дцать лет).
Легко. Используй мнемоническую фразу — и будет тебе щастье =))
Здравствуйте, bugmenot, Вы писали:
B>Здравствуйте, DOOM, Вы писали:
DOO>>да я бы на тебя посмотрел, как бы ты с легкостью вспомнил бы сложный пароль, который ты используешь раз в дцать лет).
B>Легко. Используй мнемоническую фразу — и будет тебе щастье =))
Не напасешься. Ты ведь не только гуглом пользуешься.
В общем, у тебя либо будут все пароли где-то записаны, либо они будут все одинаковые.
Хорошо, если они у тебя будут записаны в криптографически защищенное хранилище.
Здравствуйте, DOOM, Вы писали:
DOO>Не напасешься. Ты ведь не только гуглом пользуешься. DOO>В общем, у тебя либо будут все пароли где-то записаны, либо они будут все одинаковые. DOO>Хорошо, если они у тебя будут записаны в криптографически защищенное хранилище.
Какие "все"? Достаточно 1-2 для почты, это самое важное. Все остальные легко восстановить.
Здравствуйте, bugmenot, Вы писали:
B>Какие "все"? Достаточно 1-2 для почты, это самое важное. Все остальные легко восстановить.
Отучаемся говорить за всех.
Гугловская учетная запись для меня, например, ничем не ценнее учетной записи на RSDN.
Учетная запись на moikrug уже ценнее.
А Windows Love ID уже имеет измеримую коммерческую ценность (сейчас даже на мне висит достаточно много лицензий на VLSC).
Также имеют вполне конкретную ценность мои учетные записи на oracle, VMware, Symantec, aladdin.
А есть еще учетные данные в интернет банке.
Есть еще всякая ерунда типа vkontake и одноклассников.
И т.д. и т.п.
Почему из всего этого надо уделять внимание только гугловой почте —
Здравствуйте, DOOM, Вы писали:
DOO>Почему из всего этого надо уделять внимание только гугловой почте —
Не обязательно гугловской. Сохранив адрес почты, можно легко восстановить пароль любого другого ресурса, который ты на этот адрес зарегал. Поэтому почта — важнее, всё остальное второстепенно. Live ID, кстати — та же самая почта.
Что касается меня, то у меня три пароля на разные случаи жизни. Один — сложный, для самых важных ресурсов, используется на google accounts и Live ID.
Второй — попроще, для менее важных вещей, используется на десятке ресурсов.
И еще один — самый простой, используется на всех говносайтах, регистрацию которых не жалко потерять.
Ну а что касается необходимости иметь уникальный пароль на каждый сайт, то это глупость. Помнить все невозможно, а потеряв файл с ключами и мастер-пароль из-за какого нибудь трояна, ты потеряешь все и сразу, без малейших шансов восстановить хоть что-нибудь.
Здравствуйте, bugmenot, Вы писали: B>А что насчет моей идеи про вторичный пароль? B>Вероятность увода основного пароля все-таки нельзя исключать.
проблема есть. над ней многие думают. но решения ее нет. фиктически единственное применяемое на практике половинчатое решение — всю важную почту хостить у себя. пароль у тебя если и кто уведет — ты ж админ, сам сменишь. почту если кто и потрет — из бекапа возьмешь. но могут прочитать.
Здравствуйте, __kot2, Вы писали:
__>фиктически единственное применяемое на практике половинчатое решение — всю важную почту хостить у себя. пароль у тебя если и кто уведет — ты ж админ, сам сменишь. почту если кто и потрет — из бекапа возьмешь. но могут прочитать.
Здравствуйте, bugmenot, Вы писали:
B>Здравствуйте, DOOM, Вы писали:
DOO>>Почему из всего этого надо уделять внимание только гугловой почте —
B>Не обязательно гугловской. Сохранив адрес почты, можно легко восстановить пароль любого другого ресурса, который ты на этот адрес зарегал. Поэтому почта — важнее, всё остальное второстепенно.
Да только все важные учетки у меня сохранены на корпоративную почту — а там совсем уже другая сказка.
B>Live ID, кстати — та же самая почта.
Live ID это все подряд. Это доступ в портал MCP.
Это доступ к партнерсокму разделу своей организации (иногда с правами админа).
Это доступ к лицензионным ключам и дистрибутивам на VLSC.
А почта у меня не подключена на Live ID.
B>Что касается меня, то у меня три пароля на разные случаи жизни.
Это утопия. Многие сайты обладают своими требованиями к паролям и, как следствие, общее количество паролей существенно больше 3-х.
Здравствуйте, bugmenot, Вы писали:
B>Здравствуйте, __kot2, Вы писали:
__>>фиктически единственное применяемое на практике половинчатое решение — всю важную почту хостить у себя. пароль у тебя если и кто уведет — ты ж админ, сам сменишь. почту если кто и потрет — из бекапа возьмешь. но могут прочитать.
B>А если пароль от админа на хостинге уведут?
нужен физически доступный комп, а не просто некий хостинг где-то
Здравствуйте, DOOM, Вы писали:
DOO>Live ID это все подряд. Это доступ в портал MCP.
gmail — тоже далеко не только почта. Это и аналитикс, адвордс, и еще много чего.
DOO>Это утопия. Многие сайты обладают своими требованиями к паролям и, как следствие, общее количество паролей существенно больше 3-х.