Ето за това дадох за пример МВР. Изискване за смяна на определено време има, но не и чак "специален" символ!

п.п. Значи ли, че по логиката на форума всички пароли по всички места трябва да се сменят?

Хипотетично, при положение че всеки има смартфон, лаптоп, каквото и да е устройство с камера, не би ли могло всички видове пароли, пин кодове и т.н., да бъде заменено просто с очно сканиране от коя да е камера, очите са уникални за всеки човек, така веднъж завинаги ще се решат проблемите с ел. подписи, егн-та, пароли, всичко свързано да докажеш че си ти, така даже може и да гласуваш от вкъщи без проблеми...? Или не е толкова просто както звучи?

Това са откровенни глупости, особено смяната на 6 месеца. Какво следва, 2FA?

А аз намирам целият този цирк с прословутите ЕВРО GDPR, искания за съгласие, за забравяне и за какво ли не още за правила които са създадени сякаш за деца в дом за умствени инвалиди... Аз съм пълнолетен и мога сам да преценявам къде да си вкарвам и какви данни, дали да се регистрирам или не и прочее и прочее...

И в същото това време, когато за една запетайка пропусната, буквално могат да фалират някой нормален човек, на НАП и вадят цялата база и я публикуват... И и налагат глоба която НАП плащат от МОЯ, твоя и на другите джобове... И така... А на фейсбук като им удариха базата и ПАК МОИТЕ ДАННИ ИЗЛЯЗОХА... Какво... еми нищо, той фейсбук е с друга юрисдикция... на луната..


И се радвайте всички докато не са вкарали изисквания за писмено нотариално съгласие за участие... тук...

Всъщност като се замисли човек, май това е добра стратегия а...

Неудобно е вяно...Форума си го чета всеки ден,не ми е проблем нова парола на 6 месеца.
От форума съм научил,...ми повече от училището,електротехникума и университета ....Може да е смешно,но е факт

Мислех че сме от една страна... на проблемите и флейма за КУКИТА-та (заради които няма и ЕДИН глобен за тях и особено това че ЕС ще се занимава с някакъв локален форум ако ще и да е на медия) много, МНОГО лошо... звучи и предимно разочароващо. Тук влизат (до колкото знам макар вече сигурно съвсем рядко) и такива които се занимават малко или много с юридически въпроси професионално (в ЕС областта макар и предимно търговско право) и за тях няма да изглежда само разочароващо... написаното.

Няма никакви ЕС изисквания за паролата да е такава, че да е СУПЕР неудобна за използване от мобилно устройство (директно си изтрих линковете за форума от телефона и и съм убеден че вече имате 30% потребители надолу заради мярката). Напоследък си писахме разни писма и с местния интернет доставчик (който използвам за бекъп) че и той заради ЕС имал право да ми спира сайтове и адреси... но се оказа че не е само така, а дори е точно обратното, като си „поговорихме“ малко... юридически и вече нямам никакви рестрикции, така че все пак си мисля че някой (целенасочено или не) Ви подвежда, че има такива изисквания.

С всяка година изчислителната мощност на компютрите става все по сериозна и пароли, които само преди 5 години са били супер сериозни сега се смятат под секунда. Потребителите, които не се сблъскват всеки ден с хакерси атаки си мислят, че мерките са прекалени, но реално не е така. В момента стандарта за сигурна парола е 11 символен стринг, а ние ползваме само 8, т.е. не сме се изхвърлили в прекалена сигурност както си мислите. Ето и таблица колко бързо се открива парола в днешно време:




Изискването в момента се налучква за 8 часа според тази примерна таблица, но това далеч не означава, че с малко повече изчислителна мощ тези 8 часа могат да падна то 20 мин. Покрай биткойните доста се развиха възможностите за смятане в домашни условия и подобна изчислителна мощ е достъпна вече.

Разбира се ще кажете какво ни пука ако ни разбере някой паролата - ами на вас може да не ви пука но на нас ни пука защото има вече закони, които са доста неясно написани и могат да ни цакат както си искат. Затова и трябва да можем да кажем, "че сме въвели нужните мерки за сигурност".

Що се отнася до помненето на паролата не е толкова трудно. Първоначално си я правите примерно:
Ped1r@si
после добавяте накрая 1,2,3,4, на всеки 6 месеца

Така като ни хакнат някой ден, което няма как да не стане, и почнат да налучват паролите ви няма да могат да ги използват за да ви присвоят фейсбука, мейла и пр.

Знам, че не е перфектно решение ама то перфектни решения няма, затова трябва да се задоволим с някакво решение и да продължим нататък.

Бъдете здрави и да се срещнем в гората!

Мислех просто да игнорирам това но все пак... това сериозно? Наистина ли така ни подценявате?

Някаква обща таблица за брутфорс и бих писал и много... интересни неща за нея и какво общо има с форум системи... Или... не много като се замисля. Наистина ли смятате че нещо подобно се прави ИЗОБЩО чрез механизъма с парола и оторизация особено за форумни системи които имат (прости и ефективни) защити за такова нещо от преди 20 години... IPB е изначало стартирал като комерсиална система и не може да няма такава система що годе работеща (изтърпях го до версия 2 около 2005г. мисля и не вярвам че може да са го влошили.. от това време, не че и би било възможно ).
Традиционно преди (че и сега) нещата стават с едни такива неща като сесии, SQL Injection, XSS.. и много трибуквени съкращения (от всякакво естество и не само) за които паролата каква е изобщо няма НИКАКВО значение.... А специално за IPB (а и за която и да е популярна форум система) си има отделна... област с подходящи експлойти и т.нт.

Наистина ли смятате че дължината на паролата и хеша им имат нещо особено общо с... Не няма да пиша в тази посока повече по въпроса, че ще звучи лошо...



БРАВО!“ Очаквах такова нещо от банкови системи и подобни неща където смятат че като сложат два вида ПИН и QR код, обединен със софтуерна токен система, някои така ще се впечатлят че няма да заобиколят просто всичко това.

Уви, все още се влага много в сложни и проблемни ключалки... и не се забелязва че оградата е паднала.

Първо се ядосах,че всеки път нещо не харесва в новата парола,но с няколо пъти мамата-стана. А паролата, вероятно утре ще съм Я забравил!

От цялата работа непрекъснато ще се генерират мейли за смяна на пароли и нищо повече.
Помня как преди години си купих лаптоп от обява в нета. Дискът изчистен, освен някакъв архив 2-3 гигабайта, който първоначално помисли хза драйвери...но понеже нямаше да качвам уиндоус, не му обърнах внимание и така си остана. По някое време обаче се сетих да видя какво има там. Опааа...данни на предишната собственичка на лаптопа. Име, адрес, данни на фирмата и, фактури на клиенти, пароли за какво ли не. Архивирала си жената всичко преди да остави компа за продаване, явно го е свалила на дискове...ама забравила да изтрие архива.

От смислените постове до тук оставам с впечатление, че ако направя изискванията за паролата 11 символа, но без изисквания от какво ще се състои е по-добро решение от сегашното.

Така ли е?

Който си я е сменил вече няма да е необходимо пак да я сменя.

аз имам един въпрос за новите пароли, ще допуска ли старата след 6-тия месец, т.е. мога ли да я върна след 6м. и един ден

Смятам че това е добър компромис, иначе ако трябва на всеки 6 месеца.....

OK, направих го на 11 символа минимум, без значение какви. Така определено ще се въвежда по лесно от мобилни устройства.

Благодаря за обратната връзка!

Записах си новата парола в няколко ел пощи, сега ще си я пратя и през вайбър
Умно. Нали