Електронна пошта ukr.net

[sss381]

Не знаю, чи у тому розділі відкриваю тему, якщо щось не так, то нехай модератори перенесуть.

Отже суть.

Маю скриньку на @ukr.net, досить часто користуюся. Декілька днів назад виявив "фішку".

Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку.

Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту. Браузери паролі не зберігають, відмітку "чужий комп'ютер" ставлю.

Пишу на тех. підтримку з викладенням проблеми, отримую відповідь, що все дійсно так, і зроблено це для зручності авторизації. Зручно, не сперечаюсь, але виникають сумніви щодо надійності та конфіденційності скриньки при такій "фішці" з авторизацією. Чи у мене паранойя?

[SanyaSS]

це все фігня, я колись заходжу на пошту, пароль в мене завжди збереженій, а мені відкривається зовсім не моя пошта, а пошта якоїсь зовсім незнайомої мені людини. За мій пк в той день ніхто не сідав, 100 відсотків. От такі приколи від укр нет)

[Saddy]

один із критеріїв надійності - не використовуйте паролів, які складаються із поширених комбінацій цифр, літер, абревіатур, слів у будь-якій розкладці. Використовуйте поєднання цифр та літер + різний регістр та дозволені символи. Це виключить можливість підібрати пароль методом брутфорса.

[guest]

Чи у мене паранойя?

ukrnet просто виправляє помилки користувача тому, що...

Пароль не повинен бути менше за 6 символів та не більше 16 символів. Пароль залежить від реєстру, тобто "UkrNet", "ukrnet" і "UKRNET" — різні паролі. Літери кирилицею та спецсимволи неприпустимі!

[DrWeird]

qwerty forever

[LSD]

Є багато інших додаткових методів захисту від брутфорса ...

Залежить від технології Укр.нет.

Якщо там зберігаються при створенні пароля одразу хеші у всіх розкладках ... непереймайтеся впринципі єдине що ви врачаете це 2 спроби хакера якщо він отримав Ваш пароль хук.кей методом . При брутфорсі втрати мікроскопічні для цього "спрощення" сервісу .

Якщо пароль там зберігається в явному вигляді і порівнюється сдвигом символів по розкладці то звідти тре тікати (не думаю що таке можливо для укр.нет адже сервіс на 1000+ користувачів не може дозволити собі такий рівень)

[Saddy]

Пароль (укр. слово) завжди вводив у англ. розкладці клавіатури, так було налаштовано з самого початку. Тепер же у яку б розкладку клавіатуру не переводив, пароль все рівно дає можливість зайти в пошту.

PuntoSwitcher часом не встановлений?

[sss381]

PuntoSwitcher часом не встановлений?

Цікаве питання.Так щоб спеціально, то не ставив, в "установка-удаление програм" немає, а ярличок на панелі задач вчора хз чого вискочив.

[xforester]

Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...

[Zheny@]

PuntoSwitcher часом не встановлений?

те ж саме хотів спитати. Зачасту, зборки вінди аля Звєрь, мають в собі купу нікому не потрібного хламу, у вигляді "додаткового безкоштовного програмного забезпечення".

І тулять туди кончений ПунтоСвтчер. Ненавиджу цю приблуду..

[Дартаньян]

...Тепер же у яку б розкладку клавіатуру не переводив,

пароль все рівно дає можливість зайти в пошту.

Попробовал. Не пустило.

...Пишу на тех. підтримку з викладенням проблеми,

отримую відповідь, що все дійсно так,

і зроблено це для зручності авторизації...

Это уже интересно, так как выпадает из здравого смысла.

Можно посмотреть переписку?

[-=Mr.BrooX=-]

qwerty forever

чуть добавлю - 123qwerty

[milana]

а якщо 123Qwerty то все - точно ніхто не взламає

[Leser]

На мобільних пристроях немає українських буковок на кнопках в англійській розкладці. Попробуй набери слово "Пароль" по памяті на англ. клаві. ))

[LSD]

То шо був банальний пунто свічер???

Так хеш-сума для слова йцукен і qwerty буде різною, хоча натискаються одні і ті ж клавіші. На поштовому сервері зберігається не власне пароль, а лише хеш, і при введенні користувачем свого паролю сервер порівнює його хеш-суму з тією, яка зберігається на сервері, і надає доступ до скриньки лише в тому випадку коли вони ідентичні. Так шо якась хрень получається...

Що мішае зберігати 2,3,4 значення хеш-функції в базі і звіряти почергово

[guest]

для чого вам ці всі складні матерії?

я трохи вище давав цитату з укрнета з вимогами до пароля: пароль не може містити кирилиці!

а тому, алгоритм простий: якщо укрнет помічає в отриманому паролі кирилицю, він автоматично робить табличну заміну символів і тоді звіряє результат зі своєю базою

ніяких 100500 хешів йому не потрібно

з точки зору безпеки це може бути навіть корисно, бо "обманює" клавіатурні шпіони

[LSD]

В Кирилиці букв більше

Ну а загалом для ТС, зрозуміло що втрат у безпеці при такому алгоритмі практично немає?... Якщо так кажіть нехай тему закривають

[Zalepok44]

Питання також по укр нету. Чомусь ніяк невиходить налаштувати укр нет на аутлук офіса. Хто стикався з даною проблемою?

[LSD]

Так пробуєте і невиходить ?(ну бажано уточнення, які помилки і тд.):

http://wiki.ukr.net/.../OutlookExpress

(особоисто я думаю тре звернути увагу на пункт "ШАГ 6" десь мабуть там щось не так)

[guest]

В Кирилиці букв більше

софт у нас, як правило, весь буржуйський, а їм зайвий геморой з кирилицею не потрібен

ось, до речі, кусок коду укрнета, про який я говорив

function transliterate(entry) {
var ru = "йцукенгшщзхъїёфыівапролджэєячсмитьбюЙЦУКЕНГШЩЗХЪЇЁФЫІВАПРОЛДЖЭЄЯЧСМИТЬБЮ№";
var en = "qwertyuiop[[[[assdfghjkl;[[zxcvbnm,.QWERTYUIOP[[[[ASSDFGHJKL;[[ZXCVBNM,.#";
var code = "";
var i=0;
for(i = 0; i < ru.length; i++)   {
  code = code+"entry = entry.replace(/"+ru.charAt(i)+"/g, '"+en.charAt(i)+"');\n";
}
return eval(code);
}

[LSD]

Да ну я поняв і з прошлого поста про що йдеться

P.S. Фунція названа Транслітерація, - насправді такою неявляється . Переіменуте в

function PuntoSwicherVidUkrNet(entry)

[sss381]

...Тепер же у яку б розкладку клавіатуру не переводив,

пароль все рівно дає можливість зайти в пошту.

Попробовал. Не пустило.

...Пишу на тех. підтримку з викладенням проблеми,

отримую відповідь, що все дійсно так,

і зроблено це для зручності авторизації...

Это уже интересно, так как выпадает из здравого смысла.

Можно посмотреть переписку?

Ось, копіюю з листів (прінтскрін не працює)

Дякую за оперативну відповідь.

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

--- Оригінальне повідомлення ---

Від кого: Andrey Neshcheret <[email protected]>

Дата: 15 липня 2014, 21:17:16

Доброго дня.

Це зроблено для зручності авторизації у поштову скриньку.

15.07.2014 21:13, ...... пишет:

Доброго дня, шановні розроники.

Прошу пояснити, що саме відбувається у ел. пошті @ukr.net

Приклад: пароль від ел. поштової скриньки

телевизор4

в англійській розкладці клавіатури.

Яку б розкладку клавіатури не вибирав, EN , RU чи UK , все рівно це дає змогу зайти в ел. пошту.

Зміна пароля результату не дає, все відбувається так само.

--

Andrey Neshcheret

Support Department

ISP UkrNet

Після зміни пароля перший раз не пускає, на другий залюбки.

[LSD]

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

Так все ж написали вже: сумніви безпідставні.

Якщо вірити фунції роглядається 73 символи кирилиці...(відповідно 73 значення латиниці) + цифри(10)

Орієнтовно у Вас варіантів символів 83 якщо Ваш пароль 10 символьний, то щоб перебрати банально всі варіанти тре перепробувати 83 в десятій степені(83^10)(якщо математику незабув) ймовірність вгадати 1 до 83^10. Якщо перебирати ще й кирилицю там також маємо туж ймовірність 1 до 83^10. Ітого торібно 2 рази перебирати кирицю і латинцю, пи цьому ймовірність знайти 2 до 2*83^10 тобто нічого нзмінюється!

--- Оригінальне повідомлення ---

Від кого: Andrey Neshcheret <[email protected]>

Аж до розробників добралися... Допекло їх мабуть

[sss381]

Такий спосіб авторизації дійсно зручний, але виникають сумніви щодо надійності збереження цілісності ел.скриньки при такому способі.

Так все ж написали вже: сумніви безпідставні.

Ну і добре, що безпідставні. До речі, у випадку з введенням логіна все так, як має бути Всім дякую за роз"яснення.

Можна закривати тему.