Тупое требование, да-да.
Если вы чего-то не понимаете, почему вы делаете из этого вывод, что тупой кто-то другой?
О чем, блджать, речь-то вообще?
раскрыть ветку (17)
Тебе скину ссыль на статью, где доподлинно считается, что просто пароль чуть длиннее будет надежнее, чем с ебнутыми требованиями?
раскрыть ветку (16)
Вообще это конечно так, но тогда у вас будет "тупое требование" в пароле минимум 20 символов, вместо, например, 8 - но с использованием верхнего регистра, цифр и спецсимволов.
В нашей компании мы сформулировали требование так: не менее 8 символов, и хотя бы 3 из 4 групп символов должны присутствовать: верхний регистр, нижний регистр, цифры, спецсимволы. Но у нас каждые полгода пользователь должен сменить пароль...
Вы, однако, не ответили на мой вопрос. Вы вообще о чем?
раскрыть ветку (14)
10 символов хватит, и человек не будет ебать себе мозги записывать на бумажечке, приклеенной к монитору. Вы статью не читали.
Я могу себя ставить умнее хоть Эйнштейна в локальном вопросе, если у меня есть объективные данные.
П.с. и да глобальные компании могут творить хуйню, я в двух работал- очень могут.
раскрыть ветку (13)
Да нет у вас объективных данных, вас же не ломали ни разу. В безопасности вообще не бывает объективных данных - есть только вероятности. Вероятность взлома пароля, состоящего из символов в нижнем регистре без цифр и спецсимволов велика даже не из-за возможности простого подбора - а просто потому, что люди будут использовать простые слова, которые перебираются за секунду с помощью словаря.
В любом случае, "достаточная безопасность" это оксюморон.
раскрыть ветку (12)
Правильно рассчитанные верятности как раз в данном случае и были бы объективными данные.
А вот ломали или не ломали тут как раз ни при чём — это единичный случай, а не статистика.
раскрыть ветку (2)
О, личный рекорд. Пока максимально отвечали на сообщение 3-месячной давности.
Неа. У вас нет критерия "правильности" этой вероятности. Понятно, что вам кажется, что вы подсчитали ее верно - но верно ли? На этот вопрос может ответить только статистика, а не теоретические расчеты. Теория должна подтверждаться экспериментом.
раскрыть ветку (1)
Я ничего не подсчитывал — у меня нет данных. Но тот, у кого они есть, может статистически их проанализировать и оценить вероятности.
На этот вопрос может ответить только статистика.
Так а я о чём и говорю?
В погоне а безопастностью в цифре, не забывайте про людей. Они будут тупые пароли записывать и в лучшем случае в ящик убирать. И "стажер" от конкурентов зайдет куда захочет.
П.с. не ломали, но раз сервера легли от вируса шифровчщка, я день отдыхал.
раскрыть ветку (8)
Стажер от конкурентов это куда сложнее, чем секундный перебор. И со стажерами от конкурентов можно бороться другими способами - и нужно бороться другими способами.
Что до записывания паролей, так они и простые записывают. И даже штрафы в 10% ЗП не каждого останавливают, как ни странно.
раскрыть ветку (7)
когда меня ебали "соответствует на 85% старому паролю- недопустимо" и я начал записывать. Если меняешь в пятницу, а особо перед отпуском...
П.с. вы в ящиках роетесь у сотрудников? 0_о
раскрыть ветку (6)
Да, соответствие старому паролю также недопустимо. Представьте, что пароль скомпрометирован. Например, у вас украли портмоне с документами, где в том числе была бумажка с паролем. Что нужно сделать? Правильно, сменить пароль. Но если у вас пароль Пекарь7, то логично, что злоумышленник попробует зайти и с паролем Пекарь8, и Пекарь0... В общем и целом это сделано для того, чтобы смена пароля приводила, собственно, к смене пароля, а не к смене циферки в конце.
Лайфхак - обычно на соответсвие проверяется только несколько последний паролей, в AD по-умолчанию 5, насколько я помню.То есть вы можете сменить пароль 5 раз, а в шестой раз - поставить тот, что и был, и он будет считаться смененным =Р
Нет, не роемся, но так добро бы они в ящики бы их хоть прятали. НА монитор клеят, под клавиатуру кладут. Причем им мало, сука, написать пароль - они и логин, блять, пишут на той же бумажке с паролем.
раскрыть ветку (5)
Дык фигня, когда винда пишет не повторять 6 последних паролей , но какая-то внутренняя херня безопасников не позволяет вообще повторять. 3 минуты потрачены, а тебе на встречу с заказчиком вот прям сейчас. Ну и вводишь ебанутый пас.
раскрыть ветку (4)
Винда предупреждает о необходимости смены пароля за 7 дней. Каждый раз после входа предупреждает...
раскрыть ветку (3)
да кто на неё хер не кладет? Она и про обновления предупреждает.
Синхронизировать смены пароля с аутлуком, чтоб встречам не мшали. Вот будет хорошо.
А то пришли клиенты, а ты такой qwrerty-qwerty-qwerty и всё. Заблочен,нужно звонить и разлочат тебя через час. Клиенты слились.
раскрыть ветку (2)
В том то и проблема, что хер на нее кладут, хотя могут организовать свое время так, чтобы это устраивало всех.
Хех. Кстати, это идея... Дата смены пароля - одно из свойств учетки юзера, создать событие в календаре тем же павершеллом наверное можно. В крайнем случае можно павершеллом через аутлук.
В общем, делать события календаря, на 5 минут за день до смены пароля с текстом "СМЕНИ ПАРОЛЬ, ХУЖЕ БУДЕТ!"
Нужно чуток погуглить, но на первый взгляд это одна строчка кода в автозапуск.
раскрыть ветку (1)