Здравствуйте, aios, Вы писали:
A>Правда, или врут?
Правда.
Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Здравствуйте, Xander Zerge, Вы писали:
XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Здравствуйте, VladFein, Вы писали:
VF>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.
Здравствуйте, John1979, Вы писали:
VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль J>Из чего сделан такой далекоидущий ввывод ? Может они просто переводят введенный пароль в нижний/верхний регистр перед хешированием.
Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
Здравствуйте, Pzz, Вы писали:
VF>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Pzz>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...
Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...
Здравствуйте, VladFein, Вы писали:
VF>Из теории вероятностей Если они изобрели "не чувствительный к регистру" пароль, должны были изобрести что-то еще...
В гугле, например, игнорируют точки в адресах. Т.е адреса mail@google.com и m.ai.l@google.com абсолютно равнозначны.
Страшно подумать, что у них там может быть с хранением почты и паролей
Здравствуйте, Xander Zerge, Вы писали:
XZ>Но не вижу прямо такой вот проблемы-проблемы. Например, по-умолчанию, они выдают пароль из 8 символов, 4 из которых буквы. Т.е. на этой фиче теряем 4 бита. Ну добавь один символ, и это будет компенсировано.
Но это надо знать что надо компенсировать выпавшие большие буквы. Поведение непривычное и довольно неожиданное.
Хотя, большинство аудитории не задумывается про такие мелочи и сложность пароля вообще.
Здравствуйте, velkin, Вы писали:
V>Проверил сейчас сбербанк онлайн. Да, правда. Если бы не двухфакторная аутентификация, я бы сказал, что они поступают очень не умно.
Я тебе одну умную вещь скажу, только ты не удивляйся. Для входа в мобильный банк логин с паролем так-то и не нужны
Здравствуйте, aios, Вы писали:
A>Правда, или врут?
Да, верно. Я им даже вопрос задавал об этом и получил ответ — штатное поведение.
Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.
— Я точно помню свой пароль, а он меня не пускает, помогите, что делать ?
— А как Вы его набирали — заглавными или строчными ?
— А я не помню. А не все ли равно ?
Что касается безопасности, то тут проблемы нет. Как уже отметил Xander Zerge, добавь один символ и будет компенсировано. Реально же и вообще ничего делать не надо, и сообщать об этом тоже.
P.S. Кстати, существуют языки, где один регистр букв. Иврит, например.
VF>>>Проблема, похоже, в том, что они хранят не хэш пароля, а сам пароль
Pzz>>Можно было бы, например, вычислять хэш, переведя сначала строку в нижний регистр...
VF>Можно... А еще можно сделать поправку на (возможно) непереключенную раскладку (опять же, для удобства). Ну и типичные опечатки учесть...
И это тоже можно делать, храня только хэш пароля. Достаточно привести к некоторому нормальному виду перед вычислением хэша (с учётом регистра, раскладки, опечаток и т.п.).
Более того, в теории можно даже добавлять новые варианты нормализации пошагово и обновлять хэши паролей при следующем входе.
Я тоже сначала посмеялся, но, если задуматься, то в системах, для которых брутфорс не является угрозой, это было бы очень хорошим решением, повышающим удобство пользователей.
Хотя большинство, конечно, давно хранит пароли в браузере и вручную их не вводит.
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов.
Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
Здравствуйте, Mihas, Вы писали:
M>Здравствуйте, Pavel Dvorkin, Вы писали:
PD>>Могу дать свое объяснение. Им хочется иметь меньше жалоб от клиентов. M>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
лучше сразу позволять набирать любой пароль, все будут верными
Здравствуйте, Pavel Dvorkin, Вы писали:
PD>Здравствуйте, Mihas, Вы писали:
M>>Тоже так думаю. А следующим шагом можно сделать независимость от раскладки
PD>Это имело бы смысл на компьютере, но не на телефоне или планшете. На экранной клавиатуре набрать пароль на другой раскладке практически невозможно.
Я и пользуюсь на компе. И то была шутка
