lleo (lleo) wrote,
lleo
lleo

Categories:

Удивительная история с паролями

это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2018/10/31_password.html

По несколько раз в день мне продолжают во множестве приходить спам-письма со сказкой о том, будто мой компьютер заражен вирусом, который установил шпионский софт (ага, на мой Линукс, хотел бы я посмотреть на это), и потому все мои пароли, все контакты и почему-то вдруг найденные там ужасные порноссылки — всё это теперь в руках злоумышленников. Мой имидж, брак, карьера, деловые связи и доверие банков в одночасье повисли на волоске. Но за серьезный выкуп в биткоинах (в разных письмах сумма колеблется в эквиваленте от 500$ до 5000$) они, уж так и быть, оставят меня в покое и не расскажут моему якобы контакт-листу о моих якобы порноссылках...

Я уже и писал об этом в дневнике несколько месяцев назад: http://lleo.me/dnevnik/2018/08/03.html

И даже стишки слагал: http://lleo.me/dnevnik/2018/10/06_kulichi.html

А письма продолжают приходить...

[ ТЕКСТ ПОД КАТОМ: Доступен только в оригинальной заметке на сайте ]

Письма прибывают одинаковые, но иногда текст меняется, а иногда меняется сам пароль, о котором идет речь. История бы не стоила и выеденного говна, но они присылают мои реальные пароли. Ну, то есть как мои... Я таких паролей не использую, не знаю и не помню. Мне даже скрывать их от вас нет резона, пользуйтесь:

Subject: password (evtyz3gth) is compromised

Subject: password (uytdbr4uytdbr) is compromised

Subject: Your password on moment of crack: tipatupo

Но с другой стороны я хорошо понимаю, что вышеперечисленные комбинации букв «уменя3пер», «гневик4гневик» и «tipatupo» мог сочинить только я и никто кроме. Узнаю авторский стиль и градус абсурда. С этой точки зрения пароли мне совершенно родные. Но до сегодняшнего дня оставался неясным вопрос: что же это был за говносайт такой, на котором в былые годы я подозрительно часто заводил регистрации с мусорными паролями, после напрочь о них забывал, а теперь этот сайт хакнули, и база паролей утекла? Причем, тут еще надо понимать, что сайт был сделан очень криворуко. Скажем, если хакнут пользовательскую базу моего lleo.me, то никто ваших паролей не получит — хранить чужие пароли преступление, хранятся только крепко пересоленные хэши, из которых пароль восстановить невозможно.

Я даже поклялся себе, что отныне в свои пароли буду вставлять маркер сайта, по которому, спустя годы, можно будет догадаться, какой из сайтов слил базу. Но сегодня вдруг пришло новое письмо. То самое, что выше под катом. И в нем по чистой случайности содержался пароль-ответ, безошибочный маркер:

I have bad news for you. 06/28/2018 — on this day I hacked your operating system and got full access to your account. On that day your account password was: cegpftfk100hfp

Вы поняли? Отгадка оказалась проста: «супзаебал100раз»! СУП!! ЗАЕБАЛ!!! СТО!!! РАЗ!!! Я не помню, когда это было, и что за логин я заводил, но зато теперь абсолютно точно знаю, что это был за сайт и как выглядела эта сцена. Это крик отчаяния десятилетней давности. После того, как livejournal.com был куплен российскими представителями, он стал принадлежать компании «SUP Media». СУП не сразу, но заебал. И вот я пытаюсь завести анонимный аккаунт для какого-нибудь очередного конкурса Грелки, где тщательно шифруюсь дважды в год последние 18 лет. И тут на меня наваливается вся тупость интерфейса ЖЖ, которому я ввожу варианты паролей, а он всякий раз отвечает бесконечными требованиями сделать пароль подлиннее, понадежнее, добавить цифр... СУП ЗАЕБАЛ СТО РАЗ!!! — кричу я. «Годится!» — наконец отвечает СУП и регистрирует аккаунт. Уверен, так и было. И как это я сразу не догадался, что это мог быть за говносайт, на котором я в незапамятные времена заводил столько новых аккаунтов?! Вообще же без вариантов!

Так поздравим ЖЖ, «SUP Media» и лично Александра Мамута с непревзойденной криворукостью местных программистов в напрочь загубленном проекте. А на дворе шел 2018 год, между прочим.

Кстати, это заодно неплохой кейс для объяснения молодым, что пароль вовсе не должен быть длинным, кудрявым, содержать обязательно цифры, буквы разных регистров и обязательно хотя бы один знак препинания. Это всё — бред перепуганных дилетантов. Подобрать пароль невозможно. Вообще никак, если система нормально спроектирована. Даже если пароль из четырех цифр. Кто так не считает — пройдите нахуй к ближайшему банкомату и попробуйте там подобрать пин-код. Всего четыре цифры, вперед. Мой самый первый любимый пароль я придумал в 1991 году, использовал время от времени на самых родных и надежных сайтах, и он до сих пор служит мне верой и правдой в некоторых банковских админках. Другой пароль мне выдал на бумажке провайдер Зенон в 1995 году — это был довольно короткий пароль к диалапу: две цифры и четыре буквы. Он до сих пор служит мне паролем почтового ящика. Никто его не подобрал за все эти годы. Потому что пароль подобрать невозможно. Зато, как мы видим, его можно круто потерять в составе гигантской базы — либо продать, либо проебать. Но в этом случае не имеет никакого значения, сколько там было символов, знаков препинания и переключений регистра. И «tipatupo» и «CEGpft,fk100hfp» угоняются одинаково легко и одновременно, на одном и том же терабайтном носителе. Только вину за это не надо вешать на нас. Это ваша вина — криворукие админы и необразованные проект-менеджеры.



это перепост заметки, оригинал находится на моем сайте: http://lleo.me/dnevnik/2018/10/31_password.html
Tags: как не надо программировать, ни минуты без ебанутых, по просьбам трудящихся в гандоны рядящих
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 4 comments