XF 2.1 Задать минимальные требования к паролю

Версия XenForo
2.1.6

rdp4all

Только чтение
Сообщения
72
Реакции
-4
Баллы
143
Как можно задать минимальные требования к паролю? Потому что по умолчания насколько я понял их нет... Можно один символ в пароле поставить и зарегаться спокойно. И еще нужно добавить поле Повторите пароль.
 
Как же я люблю ненавижу подобные говносайты, которые придумывают излишние проблемы и требования для паролей.
 
Последнее редактирование:
Ну вы сразу заказывайте плагин, чтобы взламывать браузер пользователя и снимать запоминание паролей. Ради вселенской безопасности, конечно же
 
Как же я люблю ненавижу подобные говносайты, которые придумывают излишние проблемы и требования для паролей.
Да, странно только что все крупные сайты требуют от пользователя сложный пароль. И вообще авторизация это зло.
 
Да, странно только что все крупные сайты требуют от пользователя сложный пароль. И вообще авторизация это зло.
Какие крупные? Чем XenForo.com не крупный?
1578743669959.png
100 Million+
(107.88)
Discussions :5,939,014
Messages:119,832,834
Members:1,291,963
Тоже наверное маленький да?
Крупные наверное сайты, которые сливают и там не то что алгоритм используется какой нибудь md5 с солью или чистый sha1. Ну да вот он кладезь, лучше заместо страданий мнимой безопасносит подумать о хеширование паролей
Который и поддерживают разработчики без проблем, как и много других кастомных шифрований.
А вот чем плох дефолтный bcrypt я думаю не стоит рассказывать какерам.
 
Последнее редактирование:
OFFTOP


Требование для пароля - создают небольшую уязвимость.
Заключается она в том, что злоумышленник тоже будет знать минимальные требования для пароля, и ему легче будет брутфорсить (=

Но вряд ли, кто-то вообще будет этим заниматься. Это больше проблема для пользователя.

 
Заключается она в том, что злоумышленник тоже будет знать минимальные требования для пароля, и ему легче будет брутфорсить (=
Это надуманно. В больших IT давно везде висят требования к паролям и никто еще не умер.
 
OFFTOP


Требование для пароля - создают небольшую уязвимость.
Заключается она в том, что злоумышленник тоже будет знать минимальные требования для пароля, и ему легче будет брутфорсить (=

Но вряд ли, кто-то вообще будет этим заниматься. Это больше проблема для пользователя.

В том то и дело что если их вообще не будет то половина пользователей будет ставить пароли типа 123 и qwerty и тогда злоумышленнику вообще ничего не придется делать
 
Это надуманно. В больших IT давно везде висят требования к паролям и никто еще не умер.
Это не показатель и уж темболее в винде
Эпоха восьмизначных паролей подходит к концу. NTLM пароль длинной в восемь символов можно подобрать за два с половиной часа при помощи HashCat 6.0.0 и восьми видеокарт Nvidia GTX 2080Ti в независимости от его сложности:
кхм а на минутку какой хеш в винде по дефолту?) NTLM.
Так что советы не имеют не какой важности. Имеет алгоритм хеширования
Ну да вот он кладезь, лучше заместо страданий мнимой безопасносит подумать о хеширование паролей

В том то и дело что если их вообще не будет то половина пользователей будет ставить пароли типа 123 и qwerty и тогда злоумышленнику вообще ничего не придется делать
Любой здравый человек не ставит 123 и qwerty. На говно сайтах я специально использую пароль 1
 
Это не показатель и уж темболее в винде
Как раз показатель. Примерные требования к паролю.

Любой здравый человек не ставит 123 и qwerty

На говно сайтах я специально использую пароль 1
Как раз затем и нужен плагин.
 
Как раз показатель. Примерные требования к паролю.
Где то что их пароли с любыми символами хоть чем угодно снимают за 2.5 часа. Ну ок да ошибся, тогда показатель это уровень безопасности.
Как раз затем и нужен плагин.
Плагин для мнимой безопасности которой нету. Если такое жжение у человека, проще принудительно использовать двухфакторную авторизацию гугла, чем надеяться на пароль и заставлять пользователей выдумывать пароли. Почему то за столько лет не получили доступа к не 1 аккаунту, не слушая советы придуманные кем то и зачем то.
Те самые эксперты которых и сливают не о чём не говорит, а пароли из года в год 1 и те же публикуются
 
Где то что их пароли с любыми символами хоть чем угодно снимают за 2.5 часа. Ну ок да ошибся, тогда показатель это уровень безопасности.
За неделю не сбрутишь. Несчастные 8 символов.
 
За неделю не сбрутишь. Несчастные 8 символов.
Ну да, а люди просто так сбручивают за 2.5 часа на 2080 картах нвидии. С выходом серии Ampere будет ещё быстрее всё делаться.
Так же просто так предоставляются услуги по бруту
 
Smalesh, надуманно или нет, но доля логики есть.

Намного легче подобрать базу для брута, зная условия при которых этот пароль был создан.Самый разумный вариант, как по мне, так это отправлять уведомление с кодом на почту/телефон. А чтобы не мучать юзверя то и дело, можно установить критерии для отправки. (ip, страна, количество попыток(Что, кстати, в ксене есть))
 
Ну да, а люди просто так сбручивают за 2.5 часа на 2080 картах нвидии. С выходом серии Ampere будет ещё быстрее всё делаться.
Так же просто так предоставляются услуги по бруту
Ты под веществами? Еще раз говорю - ты не сбрутишь за неделю несчастные 8 символов.

Намного легче подобрать базу для брута, зная условия при которых этот пароль был создан
Достаточно чтобы не было в словаре при правильной стратегии сложности пароля? Легче? Ну, посчитай число вариантов, скажем на 5 и 8 символов, какой процент отпадет?

Самый разумный вариант, как по мне, так это
просто блочить аккаунт на разумное время. Двухфакторка - это не защита от брута, это защита от скомпрометированного пароля.

Что, кстати, в ксене есть
Поэтому кэп не и подберет пароль за неделю. Даже не буду уточнять, в какое место он собрался вставлять видеокарты.
 
Ты под веществами? Еще раз говорю - ты не сбрутишь за неделю несчастные 8 символов.
Я уже писал раз, во вторых если гуглить умеешь вперёд за информацией.
Поэтому кэп не и подберет пароль за неделю. Даже не буду уточнять, в какое место он собрался вставлять видеокарты.
Щас бы говорить о том, чего не знаешь и не о услугах которые без проблем предоставляются.
 
Точно под веществами. Xenforo. Требования к паролю линком выше. 8 символов. За неделю не сбрутишь.
Ага, кто ещё и под веществами. Каким образом тут xf, давая ссылку на мсдн и ссылаться на них, гениально. У xenforo есть ряд проблем со встроенным криптом который на сложные пароли не будет работать правильно. Опять таки об алгоритме я уже говорил выше
подумать о хеширование паролей
Длинный и сложный пароль не является панацеей и ограничивать пользователей в выборе своего пароля является решением за него какой использовать пароль. Длинный и сложный пароль со спец символами лишь выдумка мамкиных экспертов, которых сливали и досих пор сливают с сложными паролями.
Пароль должен быть таким, каким он устраивает тебя лично.
 
Современный облачный хостинг провайдер | Aéza
Назад
Сверху Снизу