Komentarze do: Za krótkie – źle, za długie – też źle http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/?utm_source=rss&utm_medium=rss&utm_campaign=rss Użyteczność, marketing, technologie internetowe Fri, 25 May 2012 09:33:37 +0000 hourly 1 http://wordpress.org/?v= Autor: netcoffee.pl/pogodzinach » Blog Archive » Domena z www - nie tw http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-16803 netcoffee.pl/pogodzinach » Blog Archive » Domena z www - nie tw Sun, 16 Sep 2007 19:18:52 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-16803 [...] Takim niepotrzebnym ograniczeniem jest w?a?nie wymaganie wpisywania www lub to o kt?rym pisa? kiedy? Robert Dr?zd: Za kr?tkie - ?le, za d?ugie - te? ?le. [...] [...] Takim niepotrzebnym ograniczeniem jest w?a?nie wymaganie wpisywania www lub to o kt?rym pisa? kiedy? Robert Dr?zd: Za kr?tkie – ?le, za d?ugie – te? ?le. [...]

]]> Autor: Patrys http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-271 Patrys Sat, 18 Feb 2006 17:22:50 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-271 Rzadko trafiają się takie serwisy, gdzie hasło faktycznie chroni prywatność. Na ogół służy tylko jako zapobieganie złośliwości kolegów -- podanie go komuś grozi co najwyżej wypisaniem z jakiegoś forum albo zmianą koloru literek na stronie. Ewentualnie ktoś w naszym imieniu napisze coś na blogu. Dlatego argument o nie używaniu tego samego hasła nie ma racji bytu. Co innego bank, a co innego serwis społeczny. Co do iTVP -- ja mam taką swoją teorię, że większość zepsutych serwisów (chodzi mi o usability) cierpi na ten problem, że nie korzystają z nich ich autorzy. Krzesło może ładnie wyglądać, ale dopóki nie siądziesz, to nie poczujesz, jak innych dupa boli. Rzadko trafiają się takie serwisy, gdzie hasło faktycznie chroni prywatność. Na ogół służy tylko jako zapobieganie złośliwości kolegów — podanie go komuś grozi co najwyżej wypisaniem z jakiegoś forum albo zmianą koloru literek na stronie. Ewentualnie ktoś w naszym imieniu napisze coś na blogu. Dlatego argument o nie używaniu tego samego hasła nie ma racji bytu. Co innego bank, a co innego serwis społeczny.

Co do iTVP — ja mam taką swoją teorię, że większość zepsutych serwisów (chodzi mi o usability) cierpi na ten problem, że nie korzystają z nich ich autorzy. Krzesło może ładnie wyglądać, ale dopóki nie siądziesz, to nie poczujesz, jak innych dupa boli.

]]> Autor: kmarex http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-264 kmarex Fri, 17 Feb 2006 23:58:35 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-264 Ja ma haslo typy 63swejun - uwazam ze takiesa dobre, bo trudne do zlamaia i rewelacyje sa take takie pies+kotek. Aha i co wazne - nie uzywac wszedzie tego samego hasla! Ja ma haslo typy 63swejun – uwazam ze takiesa dobre, bo trudne do zlamaia i rewelacyje sa take takie pies+kotek.
Aha i co wazne – nie uzywac wszedzie tego samego hasla!

]]> Autor: : pawlik » itvp.pl - osiołek http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-253 : pawlik » itvp.pl - osiołek Fri, 17 Feb 2006 12:15:25 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-253 [...] Po znalezieniu osiołka w Onecie przyszedł czas na itvp.pl. W oczekiwaniu na partyjkę W:A zapragnąłem pooglądać curling. I co? Nie dość, że musiałem wpisać hasło od 5 do 8 znaków (wspomniał o tym Robert Drózd) to jeszcze itvp grzecznie mnie poprosił o włączenie IE. Dlaczego?! Dlaczego coraz więcej dużych portali narzuca mi korzystanie z IE? [...] [...] Po znalezieniu osiołka w Onecie przyszedł czas na itvp.pl. W oczekiwaniu na partyjkę W:A zapragnąłem pooglądać curling. I co? Nie dość, że musiałem wpisać hasło od 5 do 8 znaków (wspomniał o tym Robert Drózd) to jeszcze itvp grzecznie mnie poprosił o włączenie IE. Dlaczego?! Dlaczego coraz więcej dużych portali narzuca mi korzystanie z IE? [...]

]]> Autor: Leszek http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-252 Leszek Fri, 17 Feb 2006 10:50:53 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-252 Moja teoria: 1. Zasadę taką wymyślił Project Manager tworzący projekt funkcjonalny serwisu 2. Nie był przeprowadzony test usability, "bo po co?" 3. Programista zrobił to co było w projekcie funkcjonalnym, bo "on jest od robienia a nie od myślenia" I tyle. Moja teoria:
1. Zasadę taką wymyślił Project Manager tworzący projekt funkcjonalny serwisu
2. Nie był przeprowadzony test usability, „bo po co?”
3. Programista zrobił to co było w projekcie funkcjonalnym, bo „on jest od robienia a nie od myślenia”

I tyle.

]]> Autor: don_jaro http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-251 don_jaro Thu, 16 Feb 2006 23:20:56 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-251 Jeżeli wziąć pod uwagę to co piszesz, to górna granica długości hasła zupełnie traci rację bytu. Być może jest jakiś przesąd? Coś typu "Jak user za długie hasła wpisuje, to system często się psuje"? ;D Jeżeli wziąć pod uwagę to co piszesz, to górna granica długości hasła zupełnie traci rację bytu.

Być może jest jakiś przesąd? Coś typu „Jak user za długie hasła wpisuje, to system często się psuje”? ;D

]]> Autor: porneL http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-250 porneL Thu, 16 Feb 2006 22:10:40 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-250 Kolizje MD5 nie mają znaczenia dla bezpieczeństwa hasła, a jedynie dla cyfrowych podpisów dokumentów. Każdy mający zielone pojęcie programista stosuje "zasolone" hashe, które są odporne na ataki listą wcześniej wygenerowanych par hasłohash. Z resztą nikt z zewnątrz nie ma dostępu nawet do hasha. Ograniczenie długości czy złożoności hasła jest oczywiście bezsensowne i chyba wymyślone tylko przez manadżera projektu, który chciał łaskawie "ułatwić" życie programistom. Zahashować można dowolnie długi i skomplikowany ciąg, a w rezultacie i tak zawsze otrzyma się stałej dłguości ciąg idealny do składowania w bazie. Długość to i tak niewielki problem haseł. Gorzej jest jak ktoś używa oczywistych haseł - takich samych jak nazwa użytkownika, imie ulubionego zwierzaka, itp. W takich przypadkach czyjeś hasło nawet da się wygooglać :D Kolizje MD5 nie mają znaczenia dla bezpieczeństwa hasła, a jedynie dla cyfrowych podpisów dokumentów.

Każdy mający zielone pojęcie programista stosuje „zasolone” hashe, które są odporne na ataki listą wcześniej wygenerowanych par hasłohash.

Z resztą nikt z zewnątrz nie ma dostępu nawet do hasha.

Ograniczenie długości czy złożoności hasła jest oczywiście bezsensowne i chyba wymyślone tylko przez manadżera projektu, który chciał łaskawie „ułatwić” życie programistom.

Zahashować można dowolnie długi i skomplikowany ciąg, a w rezultacie i tak zawsze otrzyma się stałej dłguości ciąg idealny do składowania w bazie.

Długość to i tak niewielki problem haseł. Gorzej jest jak ktoś używa oczywistych haseł – takich samych jak nazwa użytkownika, imie ulubionego zwierzaka, itp. W takich przypadkach czyjeś hasło nawet da się wygooglać :D

]]> Autor: don_jaro http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-249 don_jaro Thu, 16 Feb 2006 21:04:42 +0000 http://www.webaudit.pl/blog/2006/za-krotkie-zle-za-dlugie-tez-zle/#comment-249 Mam pewną teorię na ten temat, choć jest ona bardzo <strong>teoretyczna</strong> i wcale nie musi okazać się prawdziwa. Otóż, jak wiadomo, algorytm MD5 został złamany - tzn. możliwe jest wygenerowanie w sensownie krótkim czasie wiadomości o zakładanym skrócie (algorytm nie został ujawniony). Im większą dajemy swobodę użytkownikowi w ustaleniu hasła, tym większy jest zbiór możliwych wiadomości (inaczej: tym więcej unikalnych haseł można wygenerować). A co za tym idzie, zwiększa się szansa, na wystąpienie dwóch (lub więcej) wiadomości posiadających ten sam skrót. Tym samym zwiększa się szansa na wygenerowanie wiadomości nie będącej hasłem, posiadającej taki sam skrót jak hasło. Teraz wystarczy więc zdobyć listę skrótów MD5 i algorytm ;) Oczywiście, nie sądzę, aby ktokolwiek brał pod uwagę to, co napisałem. Bardziej prawdopodobne jest to, że podczas projektowania struktury bazy danych trzeba podjąć decyzję o maksymalnym rozmiarze pola. I każdy wybiera taką długość, jaka wydaje się mu stosowna. Mam pewną teorię na ten temat, choć jest ona bardzo teoretyczna i wcale nie musi okazać się prawdziwa.

Otóż, jak wiadomo, algorytm MD5 został złamany – tzn. możliwe jest wygenerowanie w sensownie krótkim czasie wiadomości o zakładanym skrócie (algorytm nie został ujawniony). Im większą dajemy swobodę użytkownikowi w ustaleniu hasła, tym większy jest zbiór możliwych wiadomości (inaczej: tym więcej unikalnych haseł można wygenerować). A co za tym idzie, zwiększa się szansa, na wystąpienie dwóch (lub więcej) wiadomości posiadających ten sam skrót. Tym samym zwiększa się szansa na wygenerowanie wiadomości nie będącej hasłem, posiadającej taki sam skrót jak hasło.
Teraz wystarczy więc zdobyć listę skrótów MD5 i algorytm ;)

Oczywiście, nie sądzę, aby ktokolwiek brał pod uwagę to, co napisałem.
Bardziej prawdopodobne jest to, że podczas projektowania struktury bazy danych trzeba podjąć decyzję o maksymalnym rozmiarze pola. I każdy wybiera taką długość, jaka wydaje się mu stosowna.

]]>