Неа, не о том речь.
Есть радикально большое количество пользователей, не понимающих, что такое "безопасный пароль" и не желающих понимать. И в общем, они не должны.
Спрашивается - как сохранить их чувство безопасности?

По-моему, никак.

Почему это?

Потому что отношение к своим дневникам у этого радикально большого количества столь же радикально различно. Собственно, это очень хорошо видно в репликах - я не помню, где я это видел на днях, возможно, что и в вашем журнале - когда один говорит, что для него его журнал ценность значительно большая, чем почтовый архив, а другой ему отвечает в том духе, что журнал мол что, журнал это так, безделка, главное чтобы хулиганящие мущины не добралися бы именно что до почты.

Если серьезно, то безопасность (как и комфорт) вещь не абсолютная. Один будет готов для ее поддержания тратить столько-то времени и прилагать такие-то усилия, другой будет склонен тратить больше этого, третий - меньше и т.п. Поэтому решение поставленной задачи ("сохранить их чувство безопасности") и возможно только рыночным образом - предложением целого спектра решений, разных по цене и мощности. Такое предложение обеспечивают предприниматели - они тут, кажется есть, хотя и работают не только за деньги (как и всякие нормальные предприниматели). Т.е., я тут, проясняя свою реакцию, пришел, конечно, к отрицанию своего отрицания, но вот да, так как-то.

А почему они его потеряли? Или теряют?

Потому что в ЖЖ появились киллеры, они взламывают аккаунты и уничтожают дневники.

Я бы описал это так: потому что в ЖЖ появились идиоты, которых пока недосуг никому было серьезно бить.

Да, я знаю. Я ниже по ветке развила мысль. Если захотят хакнуть, хакнут, ничем не остановишь. Надо, чтоб захотели, а на радикально большое количество пользователей это вряд ли распространяетс.

Попробуйте, пожалуйста, сублимированно изъясниться. Вы за что?

За то, чтоб не дергаться. И за OpenID is a decentralized single sign-on system. Using OpenID-enabled sites, web users do not need to remember traditional authentication tokens such as username and password. Instead, they only need to be previously registered on a website with an OpenID "identity provider", sometimes called an i-broker. Since OpenID is decentralized, any website can employ OpenID software as a way for users to sign in; OpenID solves the problem without relying on any centralized website to confirm digital identity. (http://en.wikipedia.org/wiki/OpenID)

Собственно, разовью мысль. Есть много фильмов и историй о том, как люди грабят суперзащищенные объекты ("Как украсть миллион", "Афера Томаса Крауна", номерные Оушены и так далее). С другой стороны, я недавно уехала на неделю, забыв закрыть на ключ дверь квартиры. Обнаружила по приезде, однако в доме все было в порядке.

Как бы вы ни защищались, если захотят хакнуть именно ваш журнал, хакнут: взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном... (http://vitus-wagner.livejournal.com/)

Большинство же может спать спокойно. Относительно, конечно.

Можно провести аналогию с реальной жизнью. После взрывов домов прошло уже какое-то время и люди перестали постоянно об этом думать, можно сказать - почти не вспоминают. Но стоит только появиться угрозе - как все страхи вспыхнут с новой силой. То есть к тому спокойствию и безмятежности, как до взрывов, мы уже никогда не вернемся. В ЖЖ, наверное, то же самое. Спокойствие очень относительно. Страх, что тебя взломают - есть у каждого юзера.

Римма, это очень плохая аналогия.
Насчет того, что тебя могут взломать, постоянно помнят 10% от силы.

Да, наверное. Это я по себе сужу. А большинству свойственен пофигизм. Как и в жизни.

Есть также фильмы о том, как из одной клетки воскресили динозавров, и, если уж на то пошло, как с компьютера "макинтош" загрузили вирус в иноземный компьютер. Не стоит верить всему, что показывают в кино. Что же касается тезиса о том, что если захотят хакнуть - то хакнут, то он не совсем верен. Ну, то есть, хакнут, возможно, но замаются в процессе. Вся фишка - сделать хаканье более дорогим (в плане денег, времени, усилий), чем выгода от взлома (будь она финансовой, моральной или еще какой). А это сделать не так уж и сложно.

Дима, точно нам пора идти с Вами по городам и весям бесплатные лекции от общества "Знание" читать.

Да я готов даже гусям проповедовать, если гуси после этого усвоят простые правила сетевой безопасности.

Простите мой цинизм, не усвоят.
И, кстати, это правильно.

Есть надежда, что хотя бы небольшой процент усвоит. А другого пути нет, на этом сошлись все специалисты по компьютерной безопасности. Как говорится, if you think your system is foolproof, you seriously underestimate the ingenuity of the fools.

А вот что постфактум прикажете делать, господа Ассизские, если уж - как сказано (http://avva.ljgate.com/1084134.html) - безопасность ЖЖ полностью зависит от первой-неудаляемой почты, которую приклеиваешь "до" журнала и до понимания?
Зашел в дом, а внутри табличка: не так надо было заходить, теперь голову отрубят.

Можно обратиться в АТ, и они удалят первый адрес.

Ну да, и точно так же можно их попросить, чтобы восстановили хакнутый журнал:-)
Все решаемо (?..), но лучше, чтоб заранее и автоматически.

Ну да, и точно так же можно их попросить, чтобы восстановили хакнутый журнал:-)

О примерах удаления первого адреса слышал, о восстановлении стертых журналов - нет.

Есть также фильмы о том, как из одной клетки воскресили динозавров
Есть, есть. А громких ограблений суперзащищенных объектов в жизни как раз нет :)) Фильмы здесь -- просто для яркости примера, если Вы не догадались.

Но мысль-то понятна? Вы даже и согласны, что хакнут, если захотят. Но большинство жкрналов никому, кроме узкого круга друзей, не нужны. А хакеру нужен не миллион, ему нужна слава. Так что защищаться по-серьезному нужно авторам популярных журналов, а они уж кое-как поднаторели. Что не спасает, как видим.

Вы даже и согласны, что хакнут, если захотят.

Это упрощение, конечно. Если систему защищают профессионалы, и все ее пользователи обучены простым правилам, и выполняют их - то не хакнут. Увы, пользователи были и остаются слабым местом системы. А авторы, как мы видим, не поднаторели, используют слабые пароли, увы.

Как же, вот здесь ниже по треду говорят, что у Лабаса был суперзащищенный пароль?

Нет, не было у него суперзащищенного пароля. Его пароль был - cicca1960relli. Это фамилия достаточно известной личности, разрезанная пополам годом его (этой личности) рождения. Это плохой пароль.

Да, пароль слабоват, это правда. Но у Мальгина-то, кажется, были более затейливые пароли?

Не знаю, увы, какие у него были пароли. Было бы любопытно узнать.

У Мальгина почта была на мэйл.ру, а там, как утверждает Аммосов - можно просто так получить чужой пароль через систему напоминания.

Кстати, верно ли я понимаю, что И.Петрова взломали, когда он физически был в Германии и пользовался местным халявосервисом? Почему-то я подозреваю, что если пзвонить в халявосервис по-немецки и убедительно поговорить про забытый пароль - вышлют.

А Хелл в каком городе живет, я забыл... В Бонне, что ли?

Про Хэлла слышала только, что в Германии.

Чем этот пароль плох? Его легко "подобрать"?

Именно этим.

Дима, а ничего, если я попрошу Вас дать мне ссылку на программы, которые его легко подбирают? С указанием времени, требуемого на подбор.
Заранее спасибо.

Тут дело не в программе (программ таких множество, могу порекомендовать те три, с которыми приходилось иметь дело: crack, l0phtcrack и "john the ripper"), а в списке слов, которым данная программа оперирует при переборе, и в списке правил, которые она использует для манипуляции словами. Списоков этих существует множество, как минимум один из них включает в себя искомую фамилию, я проверял (например, вот этот: ftp://ftp.ibiblio.org/pub/linux/distributions/openwall/wordlists/). Также все вышеперечисленные программы умеют вставлять в начале, конце и середине слов из списка какую-нибудь цифру либо число. Этого, в общем-то, уже достаточно для взлома данного пароля, но можно предположить и более эффективный способ: когда существуют правила, согласно которым слова из списка рассматриваются не просто как слова, а как, например, фамилии, и комбинуются с важными датами (год рождения, смерти, получения нобелевской премии) в жизни обладателя данной фамилии.

Ну, блин, там дальше чистый спектакль начинается.

ну вот у Игоря был, полагаю, супербезопасный пароль.
а толку?
или я тоже чего-то не понимаю?
хотя и желаю.

Нет, у Игоря был плохой пароль.

Блин.
Какой бы ни был у меня пароль, сервисы, за которые я плачу деньги, должны в 2007 году предоставлять мне
1. гарантии работы;
2. гарантии юридической безопасности.
Что мы, в самом деле, в игрушку "ориентируйся в 1994" играемся?

А как это? Что должно входить в эти гарантии?

Ну, это значит, что если я просыпаюсь и вижу, что мой дневник удален, я пишу одно простое письмо, и все восстанавливается.
Непонятно нешто?

Хе, это, конечно, хорошо бы. Как только? Я вот тоже хотела бы (и не только я), чтобы identity-theft преступления разруливались бы одним коротеньким письмецом, типа это я вот, а тот, который там, -- это совсем не я, а креветко поганое. Но людям приходится разруливать такие ситуации годами, увы.

Хотя, конечно, простенькую системку бэкапа недурно бы.

Я рад, что эта простая мысль стала Вам очевидна.

Почему самим не бэкапить тогда?
А они другие пакости придумают, dimrub уже парочку возможностей обозначил. Их есть, как говорится.

Знаете, мне вообще все равно. Не моя проблема. Хотите - бэкапте. Мне-то чего?

Я как раз не хочу: мой журнал вряд ли кому-то нужен. Да и вопрос задали Вы.

Роман Григорьевич, Вы как считаете, есть реально надежда убедить 6а бэкапить журналы?

Я пробую убедить Антона сделать это.

Ой, а что это было? Вчера после моей последней реплики я вдруг перестала видеть Ваш журнал. Вы его на время прикрыли, что ли? Чтобы доходчивей было? Меня даже ночью совесть немного помучила, не я ли способствовала? Буду впредь осторожнее :))

Я это делаю, когда беседы перегреваются.
НО вчера это был неудачный ход, в контексте обсуждаемого.

Ну вот, а я из угрызений совести даже написала этот пост :))

Тут есть две разные темы - про бекапы и про identity. То есть часть пожелания - которая про "...и все восстанавливается" - реализовать очень несложно. А вот насчет "я пишу простое письмо", тут все сложней гораздо. Ну вот скажем, получили администраторы сервера письмо - мол, враг похитил мой пароль, верните мне все обратно скорее. Ну и как им предлагается удостовериться в том, что письмо написал реальный владелец аккаунта? А не наоборот, враг - в целях завладения паролем?
Вокруг этого как раз и крутятся все страдания с воровством аккаунтов. Нет достоверной идентификации владельца.

но наиболее проблемная сейчас именно с восстановлением. насколько я знаю, все те чьи дневники взломали относительно быстро вернули себе контроль. только там уж ничего не было.

Роман Григорьевич, я всего лишь ответил на заданный вопрос. Что же касается тезиса о том, что юзер может проявлять сколь угодную халатность, и при этом требовать сохранности своих данных - то я с ним не согласен. Ну, допустим, сделают нам возможность отката, так хакеры будут подзамки в свободный доступ вывешивать. Что тогда будем делать? Чего еще от СУПа или 6апарта можно будет потребовать?

Вы ставите меня в крайность, в смысле отчества.
Что такое "халатность"? Надо вывесить список паролей, не рекомендуемых для использования? Смешно, ага.

Список рекомендуемых.

Может, киллеров вызвать? Пусть отстреливают хакеров. Превентивно.

Вообще, набить морду полуграмотному хакеру, нагло стирающему чужой дневник с годами текстов и комментов - это вполне объяснимое желание. Как и желание высечь, скажем, море, которое только что разметало с таким трудом построенный мост. С тем же примерно результатом.

Нет, Дима, не с таким же.

Вы ставите меня в крайность, в смысле отчества.

Вы первый начали, назвав на Вы с большой буквы :). На самом деле, долго думал, Роман показалось слишком официальным, Рома - слишком фамильярным. В общем, как скажете, так и буду называть :).

Что такое "халатность"? Надо вывесить список паролей, не рекомендуемых для использования? Смешно, ага.

Да нет, зачем же. Есть же простые совсем правила, как хорошие пароли создавать. Если кому фантазия отказывает - всегда можно автоматическими генераторами воспользоваться. Каждый может потратить 5 минут на смену пароля, и еще 10 - на его запоминание, зато потом не надо будет думать, взломают, не взломают. Ну, то есть, может и взломают, но с куда меньшей вероятностью.

Дима, у меня нет такой проблемы.
Я заплатил уже больше стони долларов за сервис.
Я считаю, этого достаточно, чтобы требовать решения вопроса о мудаках.

Так ведь не требуешь. Значит, не считаешь. Или заплатил еще недостаточно.

Полная лажа это, про пароли. И названный пароль вовсе не так легко подобрать - так что ломали наверняка не подбором.
Никто по нынешним временам паролей не подбирает - есть трояны для этого.

кстати, если вЕлик не изобретать, и с fingerprintами не связываться, то есть же one-time-password решения. secureID всякие. они ясно на enterprise ориентированы, но коли блогосервис платный и ценный создателю, то +$20-30 в год за герметичную генерилку на пять лет - это нормально.

но мне кажется, что mail password hack не "брутфорсенный".
очень уж стремно мне это допускать - это значит немцы мышей не ловят и таймауты не повышают автоматически.
но это надо логи смотреть.

Пожалуй, что не брутфорсенный. Имеются еще варианты, судя по всему.

ага.
Дмитрий, а тут кто-то упоминал, что вы наиболее предполагаемые варианты описывали; не сошлетесь?

я в трояна не очень верю. хотя, почтовоклиентские вполне могут, как я понимаю.

Ну, я думал, наиболее вероятный вариант - подбор пароля. Например, если тот же пароль, что и на почте, используется на другом, легко взламываемом ресурсе, то с того ресурса можно добыть файл паролей, а там уже подбором легко - благо, как я тут и писал, пароль этот подбирается в принципе. Но теперь я уже так не думаю.

Ну кое-что можно потребовать, но в целом я согласен, чисто технического решения недостаточно.

Пароль у него был неудачный.

Но сохранить чувство или всё-таки повысить настоящую безопасность?

Это разные вопросы.
Вообще говоря, на состояние 2007 года нету таких проблем. Сервис, за который я лично плачу исправно, с моей точки зрения, должен разбираться сам с доморощенными торквемадами.
Ну, перестану платить, конечно.

=Ну, перестану платить, конечно.
Который раз?

ask google

Он до стольки считать не умеет.

А я перманентный, мне чего перестать?

Я согласен, что вопросы разные, потому и уточнил.

1.Заставлять пользоваться навязаным им сгенерированным паролем.
2.Использовать сертификаты, хранящиеся на флешках.