XF 2.1 Задать минимальные требования к паролю

[rdp4all]

Как можно задать минимальные требования к паролю? Потому что по умолчания насколько я понял их нет... Можно один символ в пароле поставить и зарегаться спокойно. И еще нужно добавить поле Повторите пароль.

 

[Captain]

Как же я люблю ненавижу подобные говносайты, которые придумывают излишние проблемы и требования для паролей.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[HAIM]

Ну вы сразу заказывайте плагин, чтобы взламывать браузер пользователя и снимать запоминание паролей. Ради вселенской безопасности, конечно же

 

[rdp4all]

Как же я люблю ненавижу подобные говносайты, которые придумывают излишние проблемы и требования для паролей.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Да, странно только что все крупные сайты требуют от пользователя сложный пароль. И вообще авторизация это зло.

 

[Captain]

Да, странно только что все крупные сайты требуют от пользователя сложный пароль. И вообще авторизация это зло.

Какие крупные? Чем XenForo.com не крупный?

100 Million+
(107.88)

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Discussions :5,939,014
Messages:119,832,834
Members:1,291,963
Тоже наверное маленький да?
Крупные наверное сайты, которые сливают и там не то что алгоритм используется какой нибудь md5 с солью или чистый sha1. Ну да вот он кладезь, лучше заместо страданий мнимой безопасносит подумать о хеширование паролей

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Который и поддерживают разработчики без проблем, как и много других кастомных шифрований.
А вот чем плох дефолтный bcrypt я думаю не стоит рассказывать какерам.

 

[25517]

OFFTOP

Требование для пароля - создают небольшую уязвимость.
Заключается она в том, что злоумышленник тоже будет знать минимальные требования для пароля, и ему легче будет брутфорсить (=

Но вряд ли, кто-то вообще будет этим заниматься. Это больше проблема для пользователя.

 

[Smalesh]

Заключается она в том, что злоумышленник тоже будет знать минимальные требования для пароля, и ему легче будет брутфорсить (=

Это надуманно. В больших IT давно везде висят требования к паролям и никто еще не умер.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

 

[rdp4all]

OFFTOP

Требование для пароля - создают небольшую уязвимость.
Заключается она в том, что злоумышленник тоже будет знать минимальные требования для пароля, и ему легче будет брутфорсить (=

Но вряд ли, кто-то вообще будет этим заниматься. Это больше проблема для пользователя.

В том то и дело что если их вообще не будет то половина пользователей будет ставить пароли типа 123 и qwerty и тогда злоумышленнику вообще ничего не придется делать

 

[West14]

rdp4all, проблема, исключительно, пользователя, который так относится к своей безопасности.

 

[Captain]

Это надуманно. В больших IT давно везде висят требования к паролям и никто еще не умер.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Это не показатель и уж темболее в винде
Эпоха восьмизначных паролей подходит к концу. NTLM пароль длинной в восемь символов можно подобрать за два с половиной часа при помощи HashCat 6.0.0 и восьми видеокарт Nvidia GTX 2080Ti в независимости от его сложности:

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

кхм а на минутку какой хеш в винде по дефолту?) NTLM.
Так что советы не имеют не какой важности. Имеет алгоритм хеширования

Ну да вот он кладезь, лучше заместо страданий мнимой безопасносит подумать о хеширование паролей

В том то и дело что если их вообще не будет то половина пользователей будет ставить пароли типа 123 и qwerty и тогда злоумышленнику вообще ничего не придется делать

Любой здравый человек не ставит 123 и qwerty. На говно сайтах я специально использую пароль 1

 

[Smalesh]

Это не показатель и уж темболее в винде

Как раз показатель. Примерные требования к паролю.

Любой здравый человек не ставит 123 и qwerty

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

На говно сайтах я специально использую пароль 1

Как раз затем и нужен плагин.

 

[Captain]

Как раз показатель. Примерные требования к паролю.

Где то что их пароли с любыми символами хоть чем угодно снимают за 2.5 часа. Ну ок да ошибся, тогда показатель это уровень безопасности.

Как раз затем и нужен плагин.

Плагин для мнимой безопасности которой нету. Если такое жжение у человека, проще принудительно использовать двухфакторную авторизацию гугла, чем надеяться на пароль и заставлять пользователей выдумывать пароли. Почему то за столько лет не получили доступа к не 1 аккаунту, не слушая советы придуманные кем то и зачем то.
Те самые эксперты которых и сливают не о чём не говорит, а пароли из года в год 1 и те же публикуются

 

[Smalesh]

Где то что их пароли с любыми символами хоть чем угодно снимают за 2.5 часа. Ну ок да ошибся, тогда показатель это уровень безопасности.

За неделю не сбрутишь. Несчастные 8 символов.

 

[Captain]

За неделю не сбрутишь. Несчастные 8 символов.

Ну да, а люди просто так сбручивают за 2.5 часа на 2080 картах нвидии. С выходом серии Ampere будет ещё быстрее всё делаться.
Так же просто так предоставляются услуги по бруту

 

[25517]

Smalesh, надуманно или нет, но доля логики есть.

Намного легче подобрать базу для брута, зная условия при которых этот пароль был создан.Самый разумный вариант, как по мне, так это отправлять уведомление с кодом на почту/телефон. А чтобы не мучать юзверя то и дело, можно установить критерии для отправки. (ip, страна, количество попыток(Что, кстати, в ксене есть))

 

[Smalesh]

Ну да, а люди просто так сбручивают за 2.5 часа на 2080 картах нвидии. С выходом серии Ampere будет ещё быстрее всё делаться.
Так же просто так предоставляются услуги по бруту

Ты под веществами? Еще раз говорю - ты не сбрутишь за неделю несчастные 8 символов.

Намного легче подобрать базу для брута, зная условия при которых этот пароль был создан

Достаточно чтобы не было в словаре при правильной стратегии сложности пароля? Легче? Ну, посчитай число вариантов, скажем на 5 и 8 символов, какой процент отпадет?

Самый разумный вариант, как по мне, так это

просто блочить аккаунт на разумное время. Двухфакторка - это не защита от брута, это защита от скомпрометированного пароля.

Что, кстати, в ксене есть

Поэтому кэп не и подберет пароль за неделю. Даже не буду уточнять, в какое место он собрался вставлять видеокарты.

 

[Captain]

Ты под веществами? Еще раз говорю - ты не сбрутишь за неделю несчастные 8 символов.

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

Я уже писал раз, во вторых если гуглить умеешь вперёд за информацией.

Поэтому кэп не и подберет пароль за неделю. Даже не буду уточнять, в какое место он собрался вставлять видеокарты.

Щас бы говорить о том, чего не знаешь и не о услугах которые без проблем предоставляются.

 

[Smalesh]

Щас бы говорить о том, чего не знаешь и не о услугах которые без проблем предоставляются.

Точно под веществами. Xenforo. Требования к паролю линком выше. 8 символов. За неделю не сбрутишь.

 

[Captain]

Точно под веществами. Xenforo. Требования к паролю линком выше. 8 символов. За неделю не сбрутишь.

Ага, кто ещё и под веществами. Каким образом тут xf, давая ссылку на мсдн и ссылаться на них, гениально. У xenforo есть ряд проблем со встроенным криптом который на сложные пароли не будет работать правильно. Опять таки об алгоритме я уже говорил выше

подумать о хеширование паролей

Длинный и сложный пароль не является панацеей и ограничивать пользователей в выборе своего пароля является решением за него какой использовать пароль. Длинный и сложный пароль со спец символами лишь выдумка мамкиных экспертов, которых сливали и досих пор сливают с сложными паролями.
Пароль должен быть таким, каким он устраивает тебя лично.

 

[Smalesh]

Каким образом тут xf, давая ссылку на мсдн и ссылаться на них, гениально.

Как пример, покатит. Так что там с

За неделю не сбрутишь. Несчастные 8 символов.