sss381 Опубліковано 15 Липня, 2014 в 19:19 #1 Опубліковано 15 Липня, 2014 в 19:19 Не знаю, чи у тому розділі відкриваю тему, якщо щось не так, то нехай модератори перенесуть.Отже суть.Маю скриньку на @ukr.net, досить часто користуюся. Декілька днів назад виявив "фішку".Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку.Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. Браузери паролі не зберігають, відмітку "чужий комп'ютер" ставлю.Пишу на тех. підтримку з викладенням проблеми, отримую відповідь, що все дійсно так, і зроблено це для зручності авторизації. Зручно, не сперечаюсь, але виникають сумніви щодо надійності та конфіденційності скриньки при такій "фішці" з авторизацією. Чи у мене паранойя?
SanyaSS Опубліковано 15 Липня, 2014 в 19:25 #2 Опубліковано 15 Липня, 2014 в 19:25 це все фігня, я колись заходжу на пошту, пароль в мене завжди збереженій, а мені відкривається зовсім не моя пошта, а пошта якоїсь зовсім незнайомої мені людини. За мій пк в той день ніхто не сідав, 100 відсотків. От такі приколи від укр нет)
Saddy Опубліковано 15 Липня, 2014 в 19:26 #3 Опубліковано 15 Липня, 2014 в 19:26 один із критеріїв надійності - не використовуйте паролів, які складаються із поширених комбінацій цифр, літер, абревіатур, слів у будь-якій розкладці. Використовуйте поєднання цифр та літер + різний регістр та дозволені символи. Це виключить можливість підібрати пароль методом брутфорса.
guest Опубліковано 15 Липня, 2014 в 19:33 #4 Опубліковано 15 Липня, 2014 в 19:33 Чи у мене паранойя?ukrnet просто виправляє помилки користувача тому, що...Пароль не повинен бути менше за 6 символів та не більше 16 символів. Пароль залежить від реєстру, тобто "UkrNet", "ukrnet" і "UKRNET" — різні паролі. Літери кирилицею та спецсимволи неприпустимі!
LSD Опубліковано 15 Липня, 2014 в 19:42 #6 Опубліковано 15 Липня, 2014 в 19:42 Є багато інших додаткових методів захисту від брутфорса ... Залежить від технології Укр.нет. Якщо там зберігаються при створенні пароля одразу хеші у всіх розкладках ... непереймайтеся впринципі єдине що ви врачаете це 2 спроби хакера якщо він отримав Ваш пароль хук.кей методом . При брутфорсі втрати мікроскопічні для цього "спрощення" сервісу . Якщо пароль там зберігається в явному вигляді і порівнюється сдвигом символів по розкладці то звідти тре тікати (не думаю що таке можливо для укр.нет адже сервіс на 1000+ користувачів не може дозволити собі такий рівень)
Saddy Опубліковано 15 Липня, 2014 в 19:44 #7 Опубліковано 15 Липня, 2014 в 19:44 Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку. Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. PuntoSwitcher часом не встановлений?
sss381 Опубліковано 15 Липня, 2014 в 20:01 Автор #8 Опубліковано 15 Липня, 2014 в 20:01 PuntoSwitcher часом не встановлений? Цікаве питання.Так щоб спеціально, то не ставив, в "установка-удаление програм" немає, а ярличок на панелі задач вчора хз чого вискочив.
xforester Опубліковано 15 Липня, 2014 в 21:03 #9 Опубліковано 15 Липня, 2014 в 21:03 Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...
Zheny@ Опубліковано 16 Липня, 2014 в 06:11 #10 Опубліковано 16 Липня, 2014 в 06:11 PuntoSwitcher часом не встановлений? те ж саме хотів спитати. Зачасту, зборки вінди аля Звєрь, мають в собі купу нікому не потрібного хламу, у вигляді "додаткового безкоштовного програмного забезпечення". І тулять туди кончений ПунтоСвтчер. Ненавиджу цю приблуду..
Дартаньян Опубліковано 16 Липня, 2014 в 06:29 #11 Опубліковано 16 Липня, 2014 в 06:29 ...Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. Попробовал. Не пустило. ...Пишу на тех. підтримку з викладенням проблеми,отримую відповідь, що все дійсно так, і зроблено це для зручності авторизації... Это уже интересно, так как выпадает из здравого смысла. Можно посмотреть переписку?
-=Mr.BrooX=- Опубліковано 16 Липня, 2014 в 06:41 #12 Опубліковано 16 Липня, 2014 в 06:41 qwerty forever чуть добавлю - 123qwerty
milana Опубліковано 16 Липня, 2014 в 14:03 #13 Опубліковано 16 Липня, 2014 в 14:03 а якщо 123Qwerty то все - точно ніхто не взламає
Leser Опубліковано 16 Липня, 2014 в 16:39 #14 Опубліковано 16 Липня, 2014 в 16:39 На мобільних пристроях немає українських буковок на кнопках в англійській розкладці. Попробуй набери слово "Пароль" по памяті на англ. клаві. ))
LSD Опубліковано 16 Липня, 2014 в 18:31 #15 Опубліковано 16 Липня, 2014 в 18:31 То шо був банальний пунто свічер??? Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається... Що мішае зберігати 2,3,4 значення хеш-функції в базі і звіряти почергово
guest Опубліковано 16 Липня, 2014 в 19:09 #16 Опубліковано 16 Липня, 2014 в 19:09 для чого вам ці всі складні матерії?я трохи вище давав цитату з укрнета з вимогами до пароля: пароль не може містити кирилиці!а тому, алгоритм простий: якщо укрнет помічає в отриманому паролі кирилицю, він автоматично робить табличну заміну символів і тоді звіряє результат зі своєю базоюніяких 100500 хешів йому не потрібноз точки зору безпеки це може бути навіть корисно, бо "обманює" клавіатурні шпіони
LSD Опубліковано 16 Липня, 2014 в 19:26 #17 Опубліковано 16 Липня, 2014 в 19:26 В Кирилиці букв більше Ну а загалом для ТС, зрозуміло що втрат у безпеці при такому алгоритмі практично немає?... Якщо так кажіть нехай тему закривають
Zalepok44 Опубліковано 16 Липня, 2014 в 19:34 #18 Опубліковано 16 Липня, 2014 в 19:34 Питання також по укр нету. Чомусь ніяк невиходить налаштувати укр нет на аутлук офіса. Хто стикався з даною проблемою?
LSD Опубліковано 16 Липня, 2014 в 19:50 #19 Опубліковано 16 Липня, 2014 в 19:50 Так пробуєте і невиходить ?(ну бажано уточнення, які помилки і тд.):http://wiki.ukr.net/.../OutlookExpress(особоисто я думаю тре звернути увагу на пункт "ШАГ 6" десь мабуть там щось не так)
guest Опубліковано 16 Липня, 2014 в 19:56 #20 Опубліковано 16 Липня, 2014 в 19:56 В Кирилиці букв більшесофт у нас, як правило, весь буржуйський, а їм зайвий геморой з кирилицею не потрібенось, до речі, кусок коду укрнета, про який я говоривfunction transliterate(entry) {var ru = "йцукенгшщзхъїёфыівапролджэєячсмитьбюЙЦУКЕНГШЩЗХЪЇЁФЫІВАПРОЛДЖЭЄЯЧСМИТЬБЮ№";var en = "qwertyuiop[[[[assdfghjkl;[[zxcvbnm,.QWERTYUIOP[[[[ASSDFGHJKL;[[ZXCVBNM,.#";var code = "";var i=0;for(i = 0; i < ru.length; i++) { code = code+"entry = entry.replace(/"+ru.charAt(i)+"/g, '"+en.charAt(i)+"');\n";}return eval(code);}
LSD Опубліковано 16 Липня, 2014 в 20:07 #21 Опубліковано 16 Липня, 2014 в 20:07 Да ну я поняв і з прошлого поста про що йдеться P.S. Фунція названа Транслітерація, - насправді такою неявляється . Переіменуте в function PuntoSwicherVidUkrNet(entry)
sss381 Опубліковано 16 Липня, 2014 в 20:10 Автор #22 Опубліковано 16 Липня, 2014 в 20:10 ...Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. Попробовал. Не пустило. ...Пишу на тех. підтримку з викладенням проблеми,отримую відповідь, що все дійсно так, і зроблено це для зручності авторизації... Это уже интересно, так как выпадает из здравого смысла. Можно посмотреть переписку? Ось, копіюю з листів (прінтскрін не працює) Дякую за оперативну відповідь.Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі. --- Оригінальне повідомлення --- Від кого: Andrey Neshcheret <[email protected]> Дата: 15 липня 2014, 21:17:16 Доброго дня. Це зроблено для зручності авторизації у поштову скриньку. 15.07.2014 21:13, ...... пишет: Доброго дня, шановні розроники. Прошу пояснити, що саме відбувається у ел. пошті @ukr.net Приклад: пароль від ел. поштової скриньки телевизор4 в англійській розкладці клавіатури. Яку б розкладку клавіатури не вибирав, EN , RU чи UK , все рівно це дає змогу зайти в ел. пошту. Зміна пароля результату не дає, все відбувається так само. -- Andrey Neshcheret Support Department ISP UkrNet Після зміни пароля перший раз не пускає, на другий залюбки.
LSD Опубліковано 16 Липня, 2014 в 20:35 #23 Опубліковано 16 Липня, 2014 в 20:35 Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі. Так все ж написали вже: сумніви безпідставні. Якщо вірити фунції роглядається 73 символи кирилиці...(відповідно 73 значення латиниці) + цифри(10) Орієнтовно у Вас варіантів символів 83 якщо Ваш пароль 10 символьний, то щоб перебрати банально всі варіанти тре перепробувати 83 в десятій степені(83^10)(якщо математику незабув) ймовірність вгадати 1 до 83^10. Якщо перебирати ще й кирилицю там також маємо туж ймовірність 1 до 83^10. Ітого торібно 2 рази перебирати кирицю і латинцю, пи цьому ймовірність знайти 2 до 2*83^10 тобто нічого нзмінюється!--- Оригінальне повідомлення ---Від кого: Andrey Neshcheret <[email protected]>Аж до розробників добралися... Допекло їх мабуть
sss381 Опубліковано 17 Липня, 2014 в 07:26 Автор #24 Опубліковано 17 Липня, 2014 в 07:26 Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі. Так все ж написали вже: сумніви безпідставні.Ну і добре, що безпідставні. До речі, у випадку з введенням логіна все так, як має бути Всім дякую за роз"яснення.Можна закривати тему.
Рекомендовані повідомлення
Заархівовано
Ця тема знаходиться в архіві та закрита для подальших відповідей.