id: Гость   вход   регистрация
текущее время 23:52 28/03/2024
Автор темы: Вий, тема открыта 31/10/2005 21:06 Печать
http://www.pgpru.com/Форум/Содействие/СменаПароляНаВходВФорум
создать
просмотр
ссылки

Смена пароля на вход в форум.


SATtva, здравствуйте!
Попытался зайти на сайт и получил сообщение, что старый пароль не действителен.
Пришлось получать новый пароль по электронной почте. Не считаете, что это небезопасно? Может быть лучше давать настоятельное предупреждение о том, что пароль пора сменить, а делать это уже непосредственно в разделе личных настроек?


 
Комментарии
— SATtva (31/10/2005 21:16)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
А какая разница? Сайт ведь тоже по SSL не шифруется. Если Вам некомфортно именно от пересылки нового пароля на мэйл, можете после успешного входа изменить его в своих настройках.
— Вий (31/10/2005 21:23)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
Я то же уже думал об этом. Разницы большой нет. Просто если кто-то конкретно ящик "прослушивает", то и пароль теперь может знать, а трафик пусть нешифрованный, но по крайней мере на почтовом ящике его нет. Ну в целом это у меня уровень паранойи наверное приподнялся. :shock:
— Вий (05/11/2005 06:24)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
SATtva, добрый день!
Столкнулся с таким вопросом. Запрашиваю новый пароль, получаю по почте. Как написано, сначала активирую пароль, после под ним вхожу – все нормально. Однако на следующий день пытаюсь войти под полученным накануне паролем и получаю сообщение, что пароль просрочен. Не могу понять почему? Может где нибудь в памяти старый пароль остался? Но ведь на странице входа ввожу новый. Теперь каждый раз зарашиваю новый пароль.
— SATtva (05/11/2005 12:16)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Заглянув в БД, я удивился... но всё исправил.
— Гость (07/01/2006 12:23)   <#>
SATtva, здравствуйте!
Опять та же ситуация с паролем. Здесь по моему что-то связано со сменой пароля. Хотел войти в форум с другого браузера и трижды ввел неверный пароль. После пришлось ожидать разблокировки входа и менять пароль. После получения нового пароля успещно вошел, но после опять сообщение – пароль прострочен.
— SATtva (07/01/2006 23:01)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Та же странная проблема... Вроде бы исправил, проверяйте.
— Observer (09/01/2006 14:12)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Просроченный пароль? А зачем? Эта фича ещё действует? У меня Мозилла, и она хранит все пароли в зашифрованном файле (там сейчас около 400 паролей, доступ к ним закрыт мастер-паролем, который я ввожу при запуске Мозиллы). Вставляет их в форму автоматически – я никогда не запоминаю пароли. Какой смысл в этой фиче? От прослушки порта он не спасёт – если подслушали старый, то подслушают и новый. Куки? Применение SSL на конференции вероятно, снимет все проблемы.
— unknown (09/01/2006 14:26)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Куки? Применение SSL на конференции вероятно, снимет все проблемы.

А давайте еще всем участникам форума раздадим почётные цифровые сертификаты и обяжем использовать электронные подписи И проблема с регистрацией отпадёт

Вот только мороки с хостингом и проблем у самих участников будет возникать еще на порядок больше.

Хотя – если для SSL ничего не связано с ресурсами и затратами по хостингу, то почему бы и нет?
— Observer (09/01/2006 15:25)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
А давайте еще всем участникам форума раздадим почётные цифровые сертификаты

Можно подумать, что каждый юзер Windows их НЕ ИМЕЕТ... Имеет... каждый. Персональный сертификат создаётся при инсталляции ОС и при создании нового юзера ОС. Это я так, к слову... К сожалению, есть проблемы при использовании самбы в интернете... Я тут не очень... спец.

Кстати, я сначала получил сертификат (на verysign), а потом под него создал юзера. Именно под этим юзером я теперь всегда и работаю на своём компе.
— unknown (09/01/2006 19:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664


Можно подумать, что каждый юзер Windows их НЕ ИМЕЕТ... Имеет... каждый. Персональный сертификат создаётся при инсталляции ОС и при создании нового юзера ОС. Это я так, к слову... К сожалению, есть проблемы при использовании самбы в интернете... Я тут не очень... спец.



Каждый юзер Windows? Уже жалею, что сказал об этом. Не надо нам самбы в Инете :-). Это же не домашняя локалка.

Вот ещё одна абсурдная идея – скрытый сервис в сети tor:

будет легкозапоминающееся имя сайта, наподобие https://dphfybemjauhrqfh.onion

;-)
— Observer (09/01/2006 21:04)   профиль/связь   <#>
комментариев: 111   документов: 9   редакций: 22
Я отвечал на высказывание о персональной сертификации. Никто не мешает экспортнуть этот Вынь-сертификат в файл .pfx и использовать его "где надо".
— Вий (04/10/2006 17:10)   профиль/связь   <#>
комментариев: 510   документов: 110   редакций: 75
SATtva, здравствуйте!
А возможно выполнить смену пароля с высылкой его нового варианта в зашифрованном виде, с использованием открытого ключа пользователя, если таковой есть?
ps Ну это конечно я загнул наверное, но интересно. :)
— SATtva (04/10/2006 17:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Пока не установлена SSL-защита для всего сайта, такая тяжёлая артиллерия не имеет большого смысла, поскольку злоумышленник, имеющий доступ к каналу, всегда может считать пароль (его хэш, вернее, но это не принципиально) из cookie, когда Вы открываете любую страницу форума. В дальнейшем можно будет об этом подумать.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3