https://www.opennet.me/openforum/vsluhforumID3/111590.html Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM.<br><br>Всего удалось получить доступ к 15495 учётным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учётным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакеты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Ко https://www.opennet.me/openforum/vsluhforumID3/111590.html#109 Sat, 07 Oct 2017 08:00:47 GMT Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, &#8212; дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.<br> https://www.opennet.me/openforum/vsluhforumID3/111590.html#108 Sat, 07 Oct 2017 08:00:26 GMT Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, &#8212; дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.<br> https://www.opennet.me/openforum/vsluhforumID3/111590.html#107 Tue, 04 Jul 2017 10:40:49 GMT Да я бы сказал, и 1234567 тоже секьюрный пароль, в шестизначной базе его нет. Как нет его и в семифигурной базе окончаний. И набирать удобно - именно по этому принципу и выбираются пароли.<br> https://www.opennet.me/openforum/vsluhforumID3/111590.html#106 Thu, 29 Jun 2017 12:45:29 GMT &gt;[оверквотинг удален]<br>&gt; (с помощью административного ресурса) требуешь обосновать необходимость - начинают что-то <br>&gt; неразборчиво мямлить.<br>&gt; Потому что необходимостей две - пароли украдены из инфраструктуры борца за их <br>&gt; сменяемость - ну, сам понимаешь... и пароль кто-то смог подсмотреть (перехватить <br>&gt; - это предыдущий пункт).<br>&gt; Во втором случае крайне маловероятно, что его подсмотрели и занесли в папочку <br>&gt; "хранить вечно" - скорее всего, сразу и употребят, и меняешь ты <br>&gt; его раз в две недели или вовсе раз в три дня <br>&gt; - почти без разницы (а месячные и больше интервалы вообще фатально <br>&gt; бессмысленны).<br><br>Может быть. Но отсутствие практики смены паролей даст атакующим возможность долгосрочно пользоваться доступом к аккаунту. Не спешить, не приступать прямо сейчас к действиям, которые раскроют факт взлома, а тихонько пользоваться аккаунтом в конкурентном режиме с владельцем. Чем выше вероятность смены пароля, тем менее эта стратегия привлекательна.<br>Но, отмечу -- действительно, может быть оно и https://www.opennet.me/openforum/vsluhforumID3/111590.html#105 Thu, 29 Jun 2017 06:25:24 GMT &gt; Чем сложнее поменять пароль, тем реже и неохотнее пользователи будут это делать.<br><br>так менять и не надо (вообще). Это тоже очередной псевдо-безопасный жупел, когда (с помощью административного ресурса) требуешь обосновать необходимость - начинают что-то неразборчиво мямлить. <br>Потому что необходимостей две - пароли украдены из инфраструктуры борца за их сменяемость - ну, сам понимаешь... и пароль кто-то смог подсмотреть (перехватить - это предыдущий пункт).<br><br>Во втором случае крайне маловероятно, что его подсмотрели и занесли в папочку "хранить вечно" - скорее всего, сразу и употребят, и меняешь ты его раз в две недели или вовсе раз в три дня - почти без разницы (а месячные и больше интервалы вообще фатально бессмысленны).<br><br>А так да - я обычно использую сложный неподбираемый пароль - ровно до прихода сообщения что его, оказывается, раз в три месяца надо новый и несовпадающий с пятьюдесятью тысячами старых. После чего меняю на что-то вроде приведенного qwerty, и вешаю на монитор... Звиняйте, ребята, мне р https://www.opennet.me/openforum/vsluhforumID3/111590.html#104 Wed, 28 Jun 2017 19:16:58 GMT Ох. Спасибо, я этого не заметил.<br><br>Я сюда перешёл по ссылке &#171;[смотреть все]&#187; у комментария со страницы новости.<br> https://www.opennet.me/openforum/vsluhforumID3/111590.html#103 Wed, 28 Jun 2017 19:12:12 GMT &gt;&gt; Вы в тесте новости смотрите, а не в левом черновике на форуме.<br>&gt; В смысле?<br><br>Актуальный текст на https://www.opennet.ru/opennews/art.shtml?num=46768<br><br>На https://www.opennet.ru/openforum/vsluhforumID3/111590.html начальный черновик, который начали обсуждать до публикации, а поправить забыли (сейчас уже поправили).<br> https://www.opennet.me/openforum/vsluhforumID3/111590.html#102 Wed, 28 Jun 2017 19:09:16 GMT &gt;&gt; Вы в тесте новости смотрите, а не в левом черновике на форуме.<br>&gt; Я как раз и жалуюсь на то, что вот этот перевод слишком <br>&gt; левый.<br><br>Кстати, кажется, поправили. И это хорошо =).<br> https://www.opennet.me/openforum/vsluhforumID3/111590.html#101 Wed, 28 Jun 2017 19:06:47 GMT &gt; Вы в тесте новости смотрите, а не в левом черновике на форуме. <br><br>Я как раз и жалуюсь на то, что вот этот перевод слишком левый.<br>