Вчера, когда я получил от них это письмо, сперва подумал что это фишинг. Особенно забавно, что они пишут про взлом 6-го ноября, а я лично восстанавливал пароль 7-го.
Когда ты вызываешь операцию смены пароля, новый пароль приходит тебе в твою личную почту Или оператор колл-Центра высылает тебе его на твой Личный телефон Жулику мало знать кодовое слово ему надо попутно взломать почту или украсть телефон, чтобы узнать новый пароль или сменить его. Так что все данные остались только у вас и никаких последствий для вас от этого нет
У большинства людей пароль один, что на почту, что на сайт. Либо вариации. На почту приходит не пароль, а ссылка для reset. И она приходит, кстати, после процедуры... задания нового пароля.
Что/как там на практике с кодовым словом - не знаю, могу только в теории предполагать.
Кстати, только мне показалось, что новый сайт rzd полное г...о в плане удобства ? На старом было более-менее удобно смотреть расписание, теперь смотрю на другом ресурсе.
По теме топика - мне кажется уже просто подросло целое поколение, которое даже не задумывается обо всей этой логике, типа "задумайтесь, зачем нужно хэширование пароля, если для его изменения достаточно знать ответ на секретный вопрос" Никто не задумываелся. Сделали просто, как у других, "чтоб было". Высокое начальство разумеется не шарит в этом. А начальство разработчиков - видимо какие-то родственники или знакомые, которые тоже не видят в этом ничего такого.
Не только. Но это общее место. Что больше всего раздражает - замена обычных форм ввода на скриптовые без id полей. Раньше заполняя все формы можно был просто жмакнуть "вниз", выбрать данные и табом перейти дальше.
Да это еще всё мелочи жизни все эти ржд бонусы, банки и прочая ритейл хрень. Все эти галочки идиотские и законы про "согласие на обработку персональных данных", а потом через час на твой номер звонят со спамом :D
Меня куда больше волнует что похожим образом могут писать ПО для самолётов и электростанций, это мы уже и видим (про боинг было тут).
> Например, ответ на секретный вопрос хранится plain-text. А иначе нельзя, потому что ответы на такие вопросы человек может помнить приблизительно, не буква в букву.
А вообще, все эти секретные вопросы suxxs хотя бы потому, что тебя вынуждают сообщить нечто приватное, и у тебя нет никакого контроля над тем, как это потом будет храниться и использоваться.
Ты можешь придумать, никто не требует называть реальную девичью фамилию тещи.
А иначе нельзя, потому что ответы на такие вопросы человек может помнить приблизительно, не буква в букву. Почему б по такой же логике пароли не проверять?
> Ты можешь придумать, никто не требует называть реальную девичью фамилию тещи. Но когда мне потребуется ответить на секретный вопрос, я вряд ли смогу вспомнить, что именно я придумал для этого ресурса. Такой придуманный ответ по свойствам ничем не отличается от пароля, а пароль у нас уже есть.
> Почему б по такой же логике пароли не проверять? При выборе способа хранения пароля важна в первую очередь его защита, потому что злоумышленник, узнав пароль, сможет получить полный доступ к ресурсу (а может быть, и к другим ресурсам, на которых используется тот же пароль). К "секретному ответу" другие требования: он должен дать возможность получить некий ограниченный доступ к аккаунту в любой момент. Если у человека украли карту (вместе с телефоном, в котором стоит менеджер паролей), то не стоит выяснять у него, как в точности звали его первого кота: Васей, Васькой или Василием. С другой стороны, зацикливаться на сохранности "секретного ответа" бессмысленно: обычно его можно узнать из других источников.
Comments 28
Особенно забавно, что они пишут про взлом 6-го ноября, а я лично восстанавливал пароль 7-го.
Reply
Страница недоступна
Сайт pass.rzd.ru выполнил переадресацию слишком много раз.
ERR_TOO_MANY_REDIRECTS
Reply
Или оператор колл-Центра высылает тебе его на твой Личный телефон
Жулику мало знать кодовое слово ему надо попутно взломать почту или украсть телефон, чтобы узнать новый пароль или сменить его. Так что все данные остались только у вас и никаких последствий для вас от этого нет
Reply
На почту приходит не пароль, а ссылка для reset.
И она приходит, кстати, после процедуры... задания нового пароля.
Что/как там на практике с кодовым словом - не знаю, могу только в теории предполагать.
В общем - так делать нельзя, совсем.
Reply
Reply
Reply
Reply
На старом было более-менее удобно смотреть расписание, теперь смотрю на другом ресурсе.
По теме топика - мне кажется уже просто подросло целое поколение, которое даже не задумывается обо всей этой логике, типа
"задумайтесь, зачем нужно хэширование пароля, если для его изменения достаточно знать ответ на секретный вопрос"
Никто не задумываелся. Сделали просто, как у других, "чтоб было".
Высокое начальство разумеется не шарит в этом.
А начальство разработчиков - видимо какие-то родственники или знакомые, которые тоже не видят в этом ничего такого.
Reply
Что больше всего раздражает - замена обычных форм ввода на скриптовые без id полей. Раньше заполняя все формы можно был просто жмакнуть "вниз", выбрать данные и табом перейти дальше.
Reply
Все эти галочки идиотские и законы про "согласие на обработку персональных данных", а потом через час на твой номер звонят со спамом :D
Меня куда больше волнует что похожим образом могут писать ПО для самолётов и электростанций, это мы уже и видим (про боинг было тут).
Reply
Reply
Reply
Reply
А иначе нельзя, потому что ответы на такие вопросы человек может помнить приблизительно, не буква в букву.
А вообще, все эти секретные вопросы suxxs хотя бы потому, что тебя вынуждают сообщить нечто приватное, и у тебя нет никакого контроля над тем, как это потом будет храниться и использоваться.
Reply
А иначе нельзя, потому что ответы на такие вопросы человек может помнить приблизительно, не буква в букву.
Почему б по такой же логике пароли не проверять?
Reply
Но когда мне потребуется ответить на секретный вопрос, я вряд ли смогу вспомнить, что именно я придумал для этого ресурса. Такой придуманный ответ по свойствам ничем не отличается от пароля, а пароль у нас уже есть.
> Почему б по такой же логике пароли не проверять?
При выборе способа хранения пароля важна в первую очередь его защита, потому что злоумышленник, узнав пароль, сможет получить полный доступ к ресурсу (а может быть, и к другим ресурсам, на которых используется тот же пароль). К "секретному ответу" другие требования: он должен дать возможность получить некий ограниченный доступ к аккаунту в любой момент. Если у человека украли карту (вместе с телефоном, в котором стоит менеджер паролей), то не стоит выяснять у него, как в точности звали его первого кота: Васей, Васькой или Василием.
С другой стороны, зацикливаться на сохранности "секретного ответа" бессмысленно: обычно его можно узнать из других источников.
Reply
Секретный ответ = пароль №2
Reply
Leave a comment