Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Single Sign On with Nginx

To: nginx-ru@xxxxxxxxx
Subject: Re: Single Sign On with Nginx
From: Gena Makhomed <gmm@xxxxxxxxx>
Date: Fri, 26 Feb 2010 21:25:00 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=csdoc.com; s=dkim; t=1267212300; bh=HJk1UtBeedcidX0aKizS/d3xxXxyXj10rTYZFUP9H7s=; h=Message-ID:Date:From:User-Agent:MIME-Version:To:Subject: References:In-Reply-To:Content-Type:Content-Transfer-Encoding; b=N 7mzF3hfxKdSs+9iX0wNa8uyHcphD/gtspOv+xtjy1tHb3yGvEG07tdLvjhC0hTyARjk q2GDRs8UCrUw1s6EFHNAuDBhBSCv87Ch6WNLOycMc/5QQ6PTPFTUzrRtNMVGr9xQbjK NjQlZHhF4LuFrPRnsmtYa4k79qUbISG8XdQE=
In-reply-to: <20100226183302.GA83868@xxxxxxxxxxxxxx>
References: <d4574cb31002231618h20d867eo88679514713805e8@xxxxxxxxxxxxxx> <bc79dd601002232248g493bb5ah7363436fbd8254fe@xxxxxxxxxxxxxx> <d4574cb31002240130k272532cr73ef4f491df0e2ab@xxxxxxxxxxxxxx> <bc79dd601002250832w5e21c3a1qd36a31c565d58739@xxxxxxxxxxxxxx> <4B87724C.6000407@xxxxxxxx> <bc79dd601002260022q238c6eeey27f8ff2878890c31@xxxxxxxxxxxxxx> <4B879633.3010900@xxxxxxxx> <4B87AD8D.3050800@xxxxxxxxx> <20100226142440.T24085@xxxxxxxxxxxxx> <4B880CBE.1010406@xxxxxxxxx> <20100226183302.GA83868@xxxxxxxxxxxxxx>

On 26.02.2010 20:33, Alex L. Demidov wrote:

в общем случае раскрытие логина пользователя не упростит
подбор пароля, потому что нормальный пароль никак не связан
с логином. и при достаточной сложности пароля подобрать его
со скоростью один пароль в секунду - практически невозможно.

Если бы еще пользователи выбирали себе нормальные пароли.

Посмотрите на досуге анализ 10000 паролей украденных с Hotmail:
http://www.wired.com/threatlevel/2009/10/10000-passwords/

и 20000 паролей с phpbb.com:
http://www.darkreading.com/blog/archives/2009/02/phpbb_password.html


слабый пароль - это частный случай. и проблема здесь не в пользователях,
а в программистах, которые настолько криво создали эти две системы.

например, Skype требует пароль от 6 до 20 символов,
и чтобы там был как минимум один символ и как минимум одна цифра.

Google требует при регистрации пароль минимум 8 символов
и дает полезные рекомендации по выбору сильного пароля.

то что из системы можно украсть пароль - это еще одна ошибка
в проектировании такой системы, потому что пароль в базе данных
не должен храниться в открытом виде, это же ведь очевидные факты.

и что-то я нигде в интернете не видел анализа 10000 паролей
украденных из Skype или 20000 паролей, украденных из Google.
хотя и Google и Skype не скрывают логины своих пользователей.

--
Best regards,
 Gena


_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru

Follow-Ups:
- Re: Single Sign On with Nginx
  - From: Alex L. Demidov

References:
- Re: Single Sign On with Nginx
  - From: Daniel Podolsky
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Daniel Podolsky
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko
- Re: Single Sign On with Nginx
  - From: Mikhail Fursov
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko
- Re: Single Sign On with Nginx
  - From: Gena Makhomed
- Re: Single Sign On with Nginx
  - From: Andrew Kopeyko
- Re: Single Sign On with Nginx
  - From: Gena Makhomed
- Re: Single Sign On with Nginx
  - From: Alex L. Demidov

Prev by Date: Re: Single Sign On with Nginx
Next by Date: Re: Single Sign On with Nginx
Previous by thread: Re: Single Sign On with Nginx
Next by thread: Re: Single Sign On with Nginx
Index(es):
- Date
- Thread