Resetowanie hasła co 90 dni.

chcesz powiedziec, ze nie istnieje (i nie istnial!) sposob na jednorazowe zdobycie hasla i trzymanie go sobie przez > 90 dni?
czy chcesz powiedziec, ze obligatoryjna zmiana hasla co x dni nie ma wplywu na bezpieczenstwo?
czy co chcesz powiedziec, bo sie pogubilem?

ja wiem, ze wymuszanie zmiany hasel ma swoje minusy (i to inne niz "niewygoda", ale nie bede sie rozpisywal jakie) ale w tym wypadku nie sadze, aby te minusy byly wieksze niz plusy.

Cytuj:

---

zakius napisał

>>w 90 dni mozna zlamac slabe haslo
>nie jeśli jest solone

---

ale solenie tu nie ma nic do rzeczy. logujesz sie x razy uzywajac hasel ze slownika i masz zlamane.

a i odnosnie password policy, to ja wiem, ze sa rozne fajne rozwiazania, np. 2FA czy sprzetowe tokeny, ale niekoniecznie mamy je tutaj zaimplementowane...

Cytuj:

---

spleen napisał

chcesz powiedziec, ze obligatoryjna zmiana hasla co x dni nie ma wplywu na bezpieczenstwo?

---

ma, ale negatywny

Cytuj:

---

spleen napisał

logujesz sie x razy uzywajac hasel ze slownika i masz zlamane

---

samo forum ma wbudowane zabezpieczenie przed tym, ale nie wiem na ile dobre
poza tym wykorzystanie zdalnego serwera, który odpytujesz zajmuje nieporównywalnie więcej czasu, niż lokalne hashowanie
i jasne, teoretycznie da się bruteforcem zdobyć nawet posolone hasło, w końcu sól jest jawna, ALE długość soli istotnie zwiększa czas przetwarzania + uniemożliwia łamanie wielu haseł na raz, trzeba łamać konkretnego użytkownika
inna sprawa, że algorytm hashowania w vB 4 (4.1 pewnie też) jest tak idiotyczny, że to aż strach się bać i należy to załatać możliwie szybko

Tak się tylko zastanawiam co takiego cennego jest na FM żeby to chronić bo strzelam, że ten dział jest równie a nawet bardziej martwy niż reszta forum.
Już większy sens by to miało dla użytkowników z dużym stażem i dużą ilością postów aby nieświadomie nie kliknąć w kejloggera

Cytuj:

---

zakius napisał

ma, ale negatywny

---

to polprawda - ma wplyw zarowno pozytywny, jak i negatywny (o czym pisalem, ale nie chce elaboratow robic, kogo to interesuje, to sobie znajdzie).
i moim zdaniem w tym wypadku jest wiecej plusow niz minusow.

Cytuj:

---

zakius napisał

samo forum ma wbudowane zabezpieczenie przed tym, ale nie wiem na ile dobre
poza tym wykorzystanie zdalnego serwera, który odpytujesz zajmuje nieporównywalnie więcej czasu, niż lokalne hashowanie

---

no wlasnie "srednio" dobre, bo hasla w ten sposob byly na naszym forum lamane i to nie byly przypadki jednostkowe, gwarantuje Ci, ze jest z nami user, majacy hasla do przynajmniej kilkudziesieciu innych kont.

Cytuj:

---

Filia the Dragon napisał

Tak się tylko zastanawiam co takiego cennego jest na FM żeby to chronić bo strzelam, że ten dział jest równie a nawet bardziej martwy niż reszta forum.

---

dziadzia splen opracowuje plan rewitalizacji forumka (nowy regulamin i wiecej kadrowiczow bo aktualne 30% aktywnych userow to nadal malo)

zmiana hasła co 90 dni jest dobra, zniechęca mnie to znowu do szukania waszych haseł. Chociaż większość zmienia na dwa te same co 90 dni lub zmienia cyferkę ostaniom xd


Pozdrawiam

Cytuj:

---

Urlak napisał

zmiana hasła co 90 dni jest dobra, zniechęca mnie to znowu do szukania waszych haseł. Chociaż większość zmienia na dwa te same co 90 dni lub zmienia cyferkę ostaniom xd


Pozdrawiam

---

oddawaj moje konto :zaba

Cytuj:

---

Rafix napisał

oddawaj moje konto :zaba

---

sam se odzyskaj, masz doświadczenie :kappa

Dotyka mnie to samo nieszczęście, a również nie mam dostępu do FM. Wychodzi więc na to, że zasłużeni dla forum są tutaj piętnowani xD
Niby zmiana hasła 4x w roku to niewielka sprawa, no ale...

Cytuj:

---

spleen napisał

zdjac to wymaganie, bo tam to rzeczywiscie niepotrzebne.
jak znajde chwile to poprawie.

---

Usunąłem ten wymóg dla Zasłużonych bez FM.