Безопасность ICQ
Неделю назад получил от своего занкомого по ICQ сообщение:
Слушай тут такую классную акцию операторы сделали! Короче с 15 апреля каждый абонент получает бонус на свой мобильный счет. лично мне уже дали бонус – 298 рублей! Чтобы получить бонус надо отправить смс с текстом: mult s298 на номер 6008. За смску у меня сняли 3.5 рубля, так что даже если вдруг что-то не получится – ты почти ничего не потеряешь. Жаль, что только один раз можно получить бонус((
Звоню ему и спрашиваю: – "Что это?"
Говорит ничего мне не отправлял. Через пару дней получаю по ICQ примерно то же самое от другого своего корреспондента и опять приятель меня уверил, что ничего мне не отправлял.
По моему проблема ворованных паролей ICQ является вполне актуальной. Жаль, что многие пользователи до сих пор упрямствуют от перехода на Jabber.
Никаких SMS я разумеется не отправлял, подозреваю, что в результате просто-напросто неплохо разорил бы свой телефонный счет :) :) :)
Отвезите меня в принцип, там всё как нужно, а здесь хотя-бы синица в руках.
Потому-что подавляющее большинство сидит в аське и менять что-либо не собирается.
7168 символов. Не так уж мало.
Заклятых пользователей icq нельзя заставить перейти на Jabber, также как нельзя было заставить быть небыдлом. Для них icq – нечто типа святого legacy, равно как и продукция от MS и винда, типа "иначе" – не TRUEЪ. Есть люди, которые в душе – "альтернативщики", котоыре всегда прут поперёк и стараются делать всё по-своему/по-особенному, а есть те, кто наоборот стремится как можно меньше отличаться от средней массы – быть со всеми – это разные типы людей.
комментариев: 9796 документов: 488 редакций: 5664
Жалко, что торчат вроде больше не разрабатывается.
Представление средней массы о том, каковы "все", создаётся отнюдь не всеми, а очень узкой группой профессиональных мифоделателей, и неучастие в этом госбезопасности приводит к катастрофическому снижению безопасности государства, что мы и наблюдатли в 90-х.
комментариев: 9796 документов: 488 редакций: 5664
Профессиональные мифоделатели из госбезопасности? Это из какого отдела?
Зачем делать эти "революции"? Они никому не нужны. Следует ориентироваться на себя и мнение специалистов. Вместе с прекращением использования ICQ прекращается и флуд с кем-попало, и лишняя бессмысленная трата времени. Если угодно, отсеивание контактов по принципу "есть джаббер или нет" очень отрезвляет окружающую среду общения.
Вы предлагаете, какой то бред! Не будут мои бабы переходить на Jabber, ну не нравится он им! Да и смайликов приличных нет! А окрамя баб у меня в листе ICQ никого нет.
А с делами можно и по «защищенной» почте разобраться!
Хотя некоторых уродов даже GPG не заставишь юзать:(
Ну я примерно это же и сказал: отсекши их, можно оздоровить среду общения :) Учитесь знакомиться и общаться с ними в реале – это всесторонне продуктивней и здоровее, да ещё и свежим воздухом заодно подышите :) А общаться мылом с PGP нет особого смысла. Если у человека есть джаббер – то всё раз настраивается и потом работает автоматом с PGP и прозрачно, да и удобнее чем мылом. Мыло – это уж совсем для официоза.
комментариев: 510 документов: 110 редакций: 75
комментариев: 510 документов: 110 редакций: 75
В данном случае описано, что сервер присылает случайную строку, однако ничего не сказано о защищенности пересылки этой строки. На основании этого у меня возникли следующие мысли:
Данный способ способен защитить только от наиболее элементарных атак прослушивания пароля, а так же повышает сложность взлома учетной записи конкретного пользователя брутфорсом по словарю при атаках самого сервера, поскольку при авторизации происходит вычисление хеш-функции, на что тратиться определенное время. Против более подготовленного пользователя, способного прослушать секретную строку, пересылаемую клиенту сервером, данная защита не практична.
Хотелось бы узнать, насколько практичен такой способ защиты и прав ли я в своих рассуждениях?
комментариев: 271 документов: 13 редакций: 4
Похоже на CHAP.
Думаю, на практике не повышает. Сколько тратится на хеш-функцию — миллисекунды, микросекунды. Для человека приемлема гораздо большая задержка в секунды. Её можно встроить в сам сервер.
комментариев: 1060 документов: 16 редакций: 32
это же просто хеширование с солью, знание соли ничего не даст атакующему. В CHAP, насколько я помню, та же идея используется.
комментариев: 510 документов: 110 редакций: 75