Гляну, спасибо. Но заранее:) могу сказать, что мне очень было бы запарно запоминать и вводить в разные ресурсы сложные пароли - при том, что никто пока не озаботился взломом меня.

Я так понимаю, что Вы, Анатолий, говорите "Уэрэли" (URLи)?
Забавно. Я всегда слышал и говорил только URLы.

подозреваю, что даже «юэрэли», а не у-.

когда утек файл с паролями к вконтакте (50 тыщ логинов) было интересно посмотреть самые частые, вот статистика:

123456 -> 165 (0.327%)
123456789 -> 97 (0.192%)
qwerty -> 94 (0.186%)
111111 -> 71 (0.141%)
123321 -> 45 (0.089%)
1234567890 -> 45 (0.089%)
666666 -> 44 (0.087%)
7777777 -> 43 (0.085%)
1234567 -> 41 (0.081%)
123123 -> 37 (0.073%)
000000 -> 34 (0.067%)
zxcvbnm -> 30 (0.059%)
qazwsxedc -> 28 (0.055%)
12345678 -> 28 (0.055%)
qwertyuiop -> 28 (0.055%)
любовь -> 27 (0.053%)
gfhjkm -> 25 (0.049%)
654321 -> 24 (0.047%)
1q2w3e4r -> 24 (0.047%)
555555 -> 24 (0.047%)
zxcvbn -> 20 (0.040%)
1q2w3e -> 20 (0.040%)
samsung -> 20 (0.040%)

Номер телефона («8» или «7» или «+7» и 10 цифр) использовался в качестве пароля 587 раз.

да, совершенно угадываемый и знакомый списо, хотя "любовь" добавляет интересный местный колорит :)

Спасибо, очень интересная статья. Но я вижу flaw в рассуждениях - действительно, с экономической точки зрения *в среднем* это не выгодно, но ведь вообще никакая страховка не выгодна *в среднем*. Есть еще одна метрика - вероятность катастрофичных потерь.

Offtopic: статья - интересный пример изменения значения слова moot в современном английском языке - moot court (учебный суд, в котором тренируются lawyers) -> moot point (вопрос, совершенно неважный практически, обсуждаемый с целью тренировки) -> this point is moot (этот вопрос неважен практически) -> the benefit is entirely moot (выгода на самом деле не существует)

> Вообще никакая страховка не выгодна *в среднем*

Что за странная идея? Страховые компании делят людей на очень небольшое число групп (и разные страховые делят по-разному). Практически для каждой ситуации можно найти страховую компанию, которая Ваши риски оценивает неправильно и помещает Вас в дешёвую группу. На этом строится огромный бизнес страховых брокеров, отслеживающих изменения условий у страховых компаний и подбирающих для Вас оптимальный вариант.

Я вообще не понимаю, что делать с паролями. В каждой интернетовской подворотне требуют завести логин и пассворд. Я бы и завёл универсальных паролей штуки 4-5 (по степени секретности), так ведь нет, за меня ещё решают, сколько в них должно быть символов, сколько цифр, может или не может быть знаков препинания...
"Моя голова не помойка, оставьте меня в покое!" (C)

Связку ключей можно положить в сундук, и носить с собой только ключ от сундука. Есть масса программ, позволяющих генерировать и хранить сложные пароли (с учётом требований к длине и наличию/отсутствую спецсимволов). Хранить можно в файле на флешке, а можно и в интернете. Помнить достаточно лишь один мастер-пароль от программы. Желательно его выбрать посложнее, конечно :-).

Пока гром не грянет, мужик не перекрестится. Услугу настройки backup можно продать только тому, кто уже потерял данные. 123456 на что-то секьюрное меняет только пользователь, который из-за слабого пароля лично потерял деньги (или другую ценность, например репутацию). Пока таких мало. Для того, чтобы это вошло в привычку нужно, чтобы родители с детства приучали. Как руки мыть или на дороге в футбол не играть. Во взрослом возрасте на чужих ошибках люди практически не учатся.

Имхо, правильное поведение для непопадания на пхишинг-сайты - это никогда не вводить пароль в окошко, не вызванное по вашей личной инициативе. И тогда не надо учить 25 правил проверки урлов.

Типичный phishing сайт появляется в броузере после того, как юзер самостоятельно нажимает линк в своем email, по личной инициативе

Нельзя одновременно создавать сервисы, дизайн и интерактивные сценарии которых подразумевают, что пользователю не нужно ничего знать про URL. Но при этом рассчитывать, что он этим знанием будет обладать и использовать для собственной защиты.

Тоже мне откровение. "А мужики-то и не знают".
Но вообще-то некоторые пользователи даже понятия "пароль" и "логин" не различают. Спрашиваешь "какая ваша учётная запись?" - а в ответ пароль получаешь.

А что такое "учетная запись"?
(давно хотел спросить)

Чтобы пользователь не уклонялся от безопасных процедур, их не надо вообще доверять пользователю.

Например лучшая защита от фишинга - отсутствие паролей.
Один из вариантов - аутентификация по сертификату выдаваемому юзеру при регистрации на сайте и хранящемуся в хранилище сертификатов браузера и предоставляемому браузером после ввода пароля.
Например в таком режиме умеет работать сайт Webmoney.
Тут конечно тоже есть недостатки. Например невозможность работы с чужого компа, где нет инсталлированного сертификата.

Второй пример - программы для автоматического ввода паролей.
Это фактически мягкая реализация выше приведенного механизма сертификатов. Тут в роли сертификата юзера - пароль юзера на сайте, а в роли сертификата сайта - URL этого сайта, к которому привязан пароль. Недостатки правда те же. Но возможностей больше. Например можно создать в плагин к браузеру перехватывающий ввод имени и пароля и предупреждающий юзера если на этом хосте он еще не вводил паролей (отображая при этом например домен сайта первых 2-3 уровней без отвлекающих артефактов синтаксиса URL)

Много бед происходитт оттого, что вебсайты разрабатывают такие умные специалисты, как Вы.

Основная причина на мой взгляд в том, что пользователи знают что взлом банкинга или утечка номера кредитки им практически ничем не грозит. Все равно деньги восстановят при заявлении в банк.

Интересная статья. Но как все теоретики любят обсуждать сферическую безопасность в вакууме, мама дорогая! Сначала подсчитывают теоретическую устойчивость пароля из 8 символов разных групп, теперь пытаются подсчитать сколько микроцентов стоит запомнить/ввести символ из этого пароля :).

Дело даже не в сложной системе правил для "обычного пользователя", а в том, что сама система правил строится на скомпрометированной основе. Скомпрометированной полностью: от простейшей невозможности вывода authentic сообщения от операционной системы или приложения, сквозь чрезмерное количичество security warnings (те самые волки! волки!) и до сетевых джунглей.

Ты думаешь многие компьютерщики знают правила URL, и только ламеры попадались на штучки вроде www.paypal.com@1.2.3.4?blahblah (1.2.3.4 - IP evil.com, в качестве blahblah идет всякий мусор, с одной стороны пытающийся выглядеть типа логином, а с другой скрыть, что 1.2.3.4 - это хост, а не привычная на многих сайтах белиберда с параметрами)?

Но это опять-таки частный пример. Через год запоминания всех правил URL и сдачи пользователем экзамена вирус добавит строчку www.paypal.com 1.2.3.4 в файл hosts, о котором до сих пор знал 1 человек из миллиона, и что теперь? URL еше можно выучить, DNS и сертификаты -- no way :).

Поэтому попытки построить безопасную стальную дверь к лачуге из бумаги будут заранее а) чрезвычайно сложны и б) обречены на провал.

На фоне всего этого требование моего банка раз в 2 месяца менять пароль из 8 символов с заглавными/строчными/цифрами и спецсимволами есть невероятный идиотизм и неоправданное усложнение и без того сложной системы. И даже livejournal.com ругается, что пароль, ишь, не безопасный. Вот нахрена livejournal.com-у безопасный пароль?!

Вы знаете, я реально сталкивался с проблемой stealing identity в ЖЖ. И я бы сказал, что случай тот был довольно болезненным. В деньгах его оценить трудно - но и потери денег, и потери времени были, и серьёзные.

Как раз недавно решал для себя проблему запоминания множества сложных паролей для каждого сайта, где у меня логин. Решил. Теперь все свои пароли я генерю и храню в интеренете.

Любопытная деталь: оказывается все сайты имеют разное ограничение на максимальную длину пароля, а также на допустимые символы. Так что теперь у меня обратная ситуация - многие сайты не принимают мои сложные пароли, приходится упрощать и резать.

Рекорд минимума максимальной длины пароля - пока на одноклассниках.

Пароли - одно, а когда их надо каждые два месяца менять и не использовать ни один из старых, да еще и назойливые емейлы получать с напоминанием каждый день последние две недели - это - новый уровень abuse

пользователям может быть экономически невыгодно следовать этим советам

Прикладная арифметика этого автора напоминают количественные оценки "экономистами" ущерба от забастовок или, скажем, ураганов. При большом количестве слабо поддающихся количественной оценке факторов можно обосновать любую точку зрения. Яркий пример - параграф 7.3.

администраторы недооценивают их сложность.

А этот вывод явно следует из неоднократно цитируемой работы #21

Где тут "research" - непонятно

Вообще тон статьи и некоторых источников умиляет - "может, эти пользователи и не дураки вовсе, хотя, конечно, запоминать пароли и отличать добро от зла good.com от bad.com не умеют".