Możemy usunąć to coś? ja już się gubię jakie mam hasła i nie widzę sensu tego całego zmieniania hasła co 90 dni dla bezpieczeństwa.
Wersja do druku
Możemy usunąć to coś? ja już się gubię jakie mam hasła i nie widzę sensu tego całego zmieniania hasła co 90 dni dla bezpieczeństwa.
nie wiem o co chodzi szczerze bo od poczatku jak mam konto na torgu mam jedno i to samo haslo
ja tak samo ciągle to samo hasło nigdy nie miałem nawet powiadomienia ani nic by zmienić
Masaker pewnie na innych warunkach :d j od 2006 to samo haslo
co 90 dni wchodząc na forum dostaje info "twoje hasło jest przestarzałe, proszę je zmienić ze względów bezpieczeństwa" czy jakoś tak.
to powinno być ustawione tylko dla osób mających dostęp do FM
chociaż i tak uważam to za głupotę, no ale co ja mogę
Możesz zmienić na nowe a później w ustawieniach na stare z powrotemCytuj:
Masaker napisał
Kolega mówił, że tak robi :kappa
i tak jest ustawione.Cytuj:
zakius napisał
i bynajmniej nie jest to glupota, patrzac na to co sie na tym forum wielokrotnie dzialo. co wiecej, 90 dni to duzo.
a jak ktos nie potrafi nad tym zapanowac, to polecam https://keepass.info/
jest tez wersja na urzadzenia mobilne.
ewentualnie rezygnacja z dostepu do FM pozostaje, bo jak ktos zdobedzie haslo usera, to nas to nie boli tylko usera wtedy.
@edit
a glupota jest to co kolega Meo proponuje :-)
wymuszanie zmiany hasła nic nie daje, jak ktoś raz zdobył hasło danego użytkownika to drugi i trzeci też zdobędzie, najprawdopodobniej w chwilę po zmianie
chyba ze ma dump bazy z przed pol roku, a nowego nie.
Problem jest taki, że bodaj jakieś 3 albo 4 (!) lata temu dyskutowaliśmy nad tym, aby zasłużeni nie mieli dostępu do FM, więc raczej mnie ta zmiana hasła dotyczyć nie powinna, ponieważ dostępu nie posiadam, chyba, że o czymś nie wiem :>
chyba nawet prosilem jeszcze w tamtych czasach spleena albo aliena zeby recznie dostep zabrano
a to inna bajka - widocznie nikt nie ogarnal przy tworzeniu grupy dla zasluzonych bez dostepu do FM, zeby zdjac to wymaganie, bo tam to rzeczywiscie niepotrzebne.
jak znajde chwile to poprawie.
chyba nie chcesz mi powiedzieć, że jeden z najpopularniejszych silników forum kiedykolwiek miał słaby algorytm hashowania? :pCytuj:
spleen napisał
zawsze można to załatać nawet samodzielnie, wymusić zmianę i z głowy
chce powiedziec, ze np. jeden moderator sie uparl na haslo czteroznakowe kiedys.
albo ze hasze popularnych hasel sa znane.
albo ze w 90 dni mozna zlamac slabe haslo.
rozne rzeczy mozna powiedziec :-)
no to wlasnie wymuszamy przeciez, dla bezpieczenstwa co 90 dni.Cytuj:
zakius napisał
na to są password policy, chociaż i tak w wypadku samego wycieku bazy to nic nie zmieniaCytuj:
spleen napisał
nie jeśli są soloneCytuj:
spleen napisał
nie jeśli jest soloneCytuj:
spleen napisał
ale wymuszenie jest konieczne wyłącznie po zmianie algorytmu na sensownyCytuj:
spleen napisał
chcesz powiedziec, ze nie istnieje (i nie istnial!) sposob na jednorazowe zdobycie hasla i trzymanie go sobie przez > 90 dni?
czy chcesz powiedziec, ze obligatoryjna zmiana hasla co x dni nie ma wplywu na bezpieczenstwo?
czy co chcesz powiedziec, bo sie pogubilem?
ja wiem, ze wymuszanie zmiany hasel ma swoje minusy (i to inne niz "niewygoda", ale nie bede sie rozpisywal jakie) ale w tym wypadku nie sadze, aby te minusy byly wieksze niz plusy.
ale solenie tu nie ma nic do rzeczy. logujesz sie x razy uzywajac hasel ze slownika i masz zlamane.Cytuj:
zakius napisał
a i odnosnie password policy, to ja wiem, ze sa rozne fajne rozwiazania, np. 2FA czy sprzetowe tokeny, ale niekoniecznie mamy je tutaj zaimplementowane...
ma, ale negatywnyCytuj:
spleen napisał
samo forum ma wbudowane zabezpieczenie przed tym, ale nie wiem na ile dobreCytuj:
spleen napisał
poza tym wykorzystanie zdalnego serwera, który odpytujesz zajmuje nieporównywalnie więcej czasu, niż lokalne hashowanie
i jasne, teoretycznie da się bruteforcem zdobyć nawet posolone hasło, w końcu sól jest jawna, ALE długość soli istotnie zwiększa czas przetwarzania + uniemożliwia łamanie wielu haseł na raz, trzeba łamać konkretnego użytkownika
inna sprawa, że algorytm hashowania w vB 4 (4.1 pewnie też) jest tak idiotyczny, że to aż strach się bać i należy to załatać możliwie szybko
Tak się tylko zastanawiam co takiego cennego jest na FM żeby to chronić bo strzelam, że ten dział jest równie a nawet bardziej martwy niż reszta forum.
Już większy sens by to miało dla użytkowników z dużym stażem i dużą ilością postów aby nieświadomie nie kliknąć w kejloggera
to polprawda - ma wplyw zarowno pozytywny, jak i negatywny (o czym pisalem, ale nie chce elaboratow robic, kogo to interesuje, to sobie znajdzie).Cytuj:
zakius napisał
i moim zdaniem w tym wypadku jest wiecej plusow niz minusow.
no wlasnie "srednio" dobre, bo hasla w ten sposob byly na naszym forum lamane i to nie byly przypadki jednostkowe, gwarantuje Ci, ze jest z nami user, majacy hasla do przynajmniej kilkudziesieciu innych kont.Cytuj:
zakius napisał
dziadzia splen opracowuje plan rewitalizacji forumka (nowy regulamin i wiecej kadrowiczow bo aktualne 30% aktywnych userow to nadal malo)Cytuj:
Filia the Dragon napisał
zmiana hasła co 90 dni jest dobra, zniechęca mnie to znowu do szukania waszych haseł. Chociaż większość zmienia na dwa te same co 90 dni lub zmienia cyferkę ostaniom xd
Pozdrawiam
oddawaj moje konto :zabaCytuj:
Urlak napisał
sam se odzyskaj, masz doświadczenie :kappaCytuj:
Rafix napisał
Dotyka mnie to samo nieszczęście, a również nie mam dostępu do FM. Wychodzi więc na to, że zasłużeni dla forum są tutaj piętnowani xD
Niby zmiana hasła 4x w roku to niewielka sprawa, no ale...
Usunąłem ten wymóg dla Zasłużonych bez FM.Cytuj:
spleen napisał