Перейти до змісту

Електронна пошта ukr.net


Рекомендовані повідомлення

Опубліковано

Не знаю, чи у тому розділі відкриваю тему, якщо щось не так, то нехай модератори перенесуть.

Отже суть.

Маю скриньку на @ukr.net, досить часто користуюся. Декілька днів назад виявив "фішку".

Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку.

Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. Браузери паролі не зберігають, відмітку "чужий комп'ютер" ставлю.

Пишу на тех. підтримку з викладенням проблеми, отримую відповідь, що все дійсно так, і зроблено це для зручності авторизації. Зручно, не сперечаюсь, але виникають сумніви щодо надійності та конфіденційності скриньки при такій "фішці" з авторизацією. Чи у мене паранойя?

Опубліковано

це все фігня, я колись заходжу на пошту, пароль в мене завжди збереженій, а мені відкривається зовсім не моя пошта, а пошта якоїсь зовсім незнайомої мені людини. За мій пк в той день ніхто не сідав, 100 відсотків. От такі приколи від укр нет)

Опубліковано

один із критеріїв надійності - не використовуйте паролів, які складаються із поширених комбінацій цифр, літер, абревіатур, слів у будь-якій розкладці. Використовуйте поєднання цифр та літер + різний регістр та дозволені символи. Це виключить можливість підібрати пароль методом брутфорса.

Опубліковано

Чи у мене паранойя?

ukrnet просто виправляє помилки користувача тому, що...

Пароль не повинен бути менше за 6 символів та не більше 16 символів. Пароль залежить від реєстру, тобто "UkrNet", "ukrnet" і "UKRNET" — різні паролі. Літери кирилицею та спецсимволи неприпустимі!

Опубліковано

Є багато інших додаткових методів захисту від брутфорса ...

Залежить від технології Укр.нет.

Якщо там зберігаються при створенні пароля одразу хеші у всіх розкладках ... непереймайтеся впринципі єдине що ви врачаете це 2 спроби хакера якщо він отримав Ваш пароль хук.кей методом :). При брутфорсі втрати мікроскопічні для цього "спрощення" сервісу .

Якщо пароль там зберігається в явному вигляді і порівнюється сдвигом символів по розкладці то звідти тре тікати :) (не думаю що таке можливо для укр.нет адже сервіс на 1000+ користувачів не може дозволити собі такий рівень)

Опубліковано

Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку. Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту.

PuntoSwitcher часом не встановлений? :_08:

Опубліковано

PuntoSwitcher часом не встановлений? :_08:

Цікаве питання.Так щоб спеціально, то не ставив, в "установка-удаление програм" немає, а ярличок на панелі задач вчора хз чого вискочив.

Опубліковано

Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...

Опубліковано

PuntoSwitcher часом не встановлений? :_08:

те ж саме хотів спитати. Зачасту, зборки вінди аля Звєрь, мають в собі купу нікому не потрібного хламу, у вигляді "додаткового безкоштовного програмного забезпечення".

І тулять туди кончений ПунтоСвтчер. Ненавиджу цю приблуду..

Опубліковано

...Тепер же у яку б розкладку клавіатуру не переводив,

пароль все рівно дає можливість зайти в пошту.

Попробовал. Не пустило.

post-961-0-86630500-1405491925_thumb.jpg

...Пишу на тех. підтримку з викладенням проблеми,

отримую відповідь, що все дійсно так,

і зроблено це для зручності авторизації...

Это уже интересно, так как выпадает из здравого смысла.

Можно посмотреть переписку?

Опубліковано

На мобільних пристроях немає українських буковок на кнопках в англійській розкладці. Попробуй набери слово "Пароль" по памяті на англ. клаві. ))

Опубліковано

То шо був банальний пунто свічер???

Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...

Що мішае зберігати 2,3,4 значення хеш-функції в базі і звіряти почергово :)

Опубліковано

для чого вам ці всі складні матерії?

я трохи вище давав цитату з укрнета з вимогами до пароля: пароль не може містити кирилиці!

а тому, алгоритм простий: якщо укрнет помічає в отриманому паролі кирилицю, він автоматично робить табличну заміну символів і тоді звіряє результат зі своєю базою

ніяких 100500 хешів йому не потрібно

з точки зору безпеки це може бути навіть корисно, бо "обманює" клавіатурні шпіони

Опубліковано

В Кирилиці букв більше :)

Ну а загалом для ТС, зрозуміло що втрат у безпеці при такому алгоритмі практично немає?... Якщо так кажіть нехай тему закривають :)

Опубліковано

Так пробуєте і невиходить ?(ну бажано уточнення, які помилки і тд.):

http://wiki.ukr.net/.../OutlookExpress

(особоисто я думаю тре звернути увагу на пункт "ШАГ 6" десь мабуть там щось не так)

Опубліковано

В Кирилиці букв більше

софт у нас, як правило, весь буржуйський, а їм зайвий геморой з кирилицею не потрібен

ось, до речі, кусок коду укрнета, про який я говорив


function transliterate(entry) {
var ru = "йцукенгшщзхъїёфыівапролджэєячсмитьбюЙЦУКЕНГШЩЗХЪЇЁФЫІВАПРОЛДЖЭЄЯЧСМИТЬБЮ№";
var en = "qwertyuiop[[[[assdfghjkl;[[zxcvbnm,.QWERTYUIOP[[[[ASSDFGHJKL;[[ZXCVBNM,.#";
var code = "";
var i=0;
for(i = 0; i < ru.length; i++) {
code = code+"entry = entry.replace(/"+ru.charAt(i)+"/g, '"+en.charAt(i)+"');\n";
}
return eval(code);
}

Опубліковано

Да ну я поняв і з прошлого поста про що йдеться :)

P.S. Фунція названа Транслітерація, - насправді такою неявляється :). Переіменуте в

function PuntoSwicherVidUkrNet(entry)

:0153:

Опубліковано

...Тепер же у яку б розкладку клавіатуру не переводив,

пароль все рівно дає можливість зайти в пошту.

Попробовал. Не пустило.

post-961-0-86630500-1405491925_thumb.jpg

...Пишу на тех. підтримку з викладенням проблеми,

отримую відповідь, що все дійсно так,

і зроблено це для зручності авторизації...

Это уже интересно, так как выпадает из здравого смысла.

Можно посмотреть переписку?

Ось, копіюю з листів (прінтскрін не працює)

Дякую за оперативну відповідь.

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

--- Оригінальне повідомлення ---

Від кого: Andrey Neshcheret <[email protected]>

Дата: 15 липня 2014, 21:17:16

Доброго дня.

Це зроблено для зручності авторизації у поштову скриньку.

15.07.2014 21:13, ...... пишет:

Доброго дня, шановні розроники.

Прошу пояснити, що саме відбувається у ел. пошті @ukr.net

Приклад: пароль від ел. поштової скриньки
телевизор4
в англійській розкладці клавіатури.

Яку б розкладку клавіатури не вибирав, EN , RU чи UK , все рівно це дає змогу зайти в ел. пошту.

Зміна пароля результату не дає, все відбувається так само.

--

Andrey Neshcheret

Support Department

ISP UkrNet

Після зміни пароля перший раз не пускає, на другий залюбки.

Опубліковано

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

Так все ж написали вже: сумніви безпідставні.

Якщо вірити фунції роглядається 73 символи кирилиці...(відповідно 73 значення латиниці) + цифри(10)

Орієнтовно у Вас варіантів символів 83 якщо Ваш пароль 10 символьний, то щоб перебрати банально всі варіанти тре перепробувати 83 в десятій степені(83^10)(якщо математику незабув) ймовірність вгадати 1 до 83^10. Якщо перебирати ще й кирилицю там також маємо туж ймовірність 1 до 83^10. Ітого торібно 2 рази перебирати кирицю і латинцю, пи цьому ймовірність знайти 2 до 2*83^10 тобто нічого нзмінюється!

--- Оригінальне повідомлення ---

Від кого: Andrey Neshcheret <[email protected]>

Аж до розробників добралися... Допекло їх мабуть

Опубліковано

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

Так все ж написали вже: сумніви безпідставні.

Ну і добре, що безпідставні. До речі, у випадку з введенням логіна все так, як має бути Всім дякую за роз"яснення.

Можна закривати тему.

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



×
×
  • Створити...