В связи с озвученной сегодня в чате переименованным клоном Переборыча информацией о том, что недавний взлом аккаунтов на этом сайте был связан со слишком простыми паролями в них, хотелось бы получить разъяснения администрации сайта по поводу того, какие символы являются допустимыми в паролях на этом сайте и не обрезается ли пароль перед хэшированием.

Также, поскольку мой браузер подсказывает мне, что соединение с этим сайтом является небезопасным, то хотелось бы услышать разъяснение о том, что это значит, и когда же наконец оно станет безопасным.

P.S. Насколько я понимаю, текущее небезопасное соединение с сервером клавогонок означает, что пароль к аккаунту может быть легко перехвачен третьей стороной. Вообщем, как в том анекдоте: “Заходи кто хочешь, выноси что хочешь!”

Неплохо было бы также, чтобы после нескольких неудачных попыток подобрать пароль к аккаунту, на электронную почту, с которой он был зарегистрирован, отправлялось бы уведомление.

Сейчас требования к паролю остаются прежними, но впоследствии, вероятно, использовать слишком простой пароль будет нельзя.

Сайт поддерживает безопасное соединение: https://klavogonki.ru

Браузер: Chrome
Версия: 95.0.2

О том же самом, но подробнее:

gevis,
1) есть две версии протокола: https и http. Клавогонки уже сейчас поддерживают https, чтобы он наконец-то заработал, достаточно перейти на https://klavogonki.ru/ . Работают две версии сайта: https://klavogonki.ru/ и http://klavogonki.ru/ ;
2) https - безопасная, http - небезопасная;
3) https и "полная безопасность" - это связанные, но разные вещи, а причины, по которым так часто используют слово "безопасное", лично для меня выглядят не только связанными с безопасностью, но и отчасти коммерческими. Однако:

Вероятно, да. Слово https означает, что шифрование в действии. Поэтому https://klavogonki.ru/ .
4) если прямо сейчас полностью отключить http (переход на https на этом сайте не завершён), то, например, сломается поиск (проверить);
5) администрации стоит завершить настройку https, то есть убедиться, что все функции нормально работают через https. (Там ещё какие-то проблемы с "интеграцией" были.) После этого нужно запретить заходить на сайт через http.

Ответ обывателя, а не эксперта в кибербезопасности.

у меня пароль 123123 взламывайте мне не жалко

Спасибо, не знал. Теперь буду заходить только через https. Привет «человеку в середине». :)

Остался только вопрос о том, допустимы ли в пароле специальные символы.

Любой другой сайт автоматически перенаправляет http на https

gevis, спасибо вам за эту важную тему. Мы консорциум независимых фактчекеров, и нам есть, что сказать по этому поводу.

Администратор утверждал, что взлом осуществлялся путём брутфорсинга с помощью простых паролей, но так и не сказал, кто организовал этот взлом. Главным бенефициаром нечестного голосования был клавогонщик Дофа, который присвоил себе статус титана* (для краткости будем называть его тит). До этого тит публиковал какую-то очень странную историю про Кореяна, который по словам тита взломал олдфажный аккаунт.
Можно ли доверять титу? Мог ли тит организовать брутфорс? Администратор так и не указал связь между корреляцией и коузацией.

Ещё один важный вопрос безопасности - это наличие безопасного соединения, о котором, как выяснилось, знают не все. Немного фактчекингово оффтопа:

Почему до сих пор в 2022 году данный сайт не редиректит незащищённые запросы на защищённые? Вместо реализации простого редиректа, админ сидит в чате и рассказывает, какие тупые клавогонщики, которые юзают простые пароли вроде 123123.
Чтобы не полагаться на админов-головотяпов, установите аддон HTTPS Everywhere by EFF Technologists.

Баги. Например, вот почему (+ проблемы с "интеграцией").

dopha, ты в целом прав, но упускаешь некоторые детали:
1) Увидит не только "ваш провайдер", но и все точки связи на пути к серверам кг. В том числе провайдеры стран НАТО, которые сохранят эту инфу на своих серверах и могут использовать её против тебя через какой-то очень продолжительный период времени.
2) Увидят все, кто сможет купить или получить траффик у промежуточных провайдеров.
3) Увидит и сохранит специальная коробочка СОРМ, установленная у вашего провайдера по требованию государства.
4) Если пользователь использует один пароль везде, что не редкость, то он так спалит и другие сервисы.

Я думаю, что все мы тут сойдёмся на мнении, что с хттпс в любом случае лучше, чем без него. Отрицают это только самые отбитые дурачки. :-)

Благодарю всех высказавшихся в этой теме.

Я тоже раньше думал, что мой пароль от этого сайта — никому не нужен, но упустил тот момент,
что оказывается пароли от аккаунтов на разных игровых сайтах могут подбирать, а потом продавать.

Не хотелось бы, чтобы такое случилось с моим аккаунтом. Поэтому, я на всякий случай ̶с̶а̶л̶о̶ ̶п̶е̶р̶е̶п̶р̶я̶т̶а̶л̶
пароль изменил на случайно сгенерированный.

Единственный минус — это то, что теперь я его и сам подобрать не смогу, если случайно потеряю бумажку,
на которой его записал.

А для защиты от подбора паролей ещё раз прошу администрацию сделать так, чтобы после трёх неудачных попыток войти в аккаунт,
пользователю отправлялось об этом уведомление на электронную почту, с которой он был зарегистрирован.

Если я не ошибаюсь, то при использовании https в данном случае браузер предупредит, что изменился сертификат подлинности сайта, для этого их и выдают же.


https трафик можно читать с помощью sslsplit вроде бы, так оно называется если ничего не путаю?

Бумажка - это хороший, но устаревший вариант. Рекомендую приложение Keepass. Это оффлайн хранилище паролей в зашифрованном виде. Нужно только придумать один большой сложный мастерпасс и запомнить его. Для шифрования также можно использовать какие-то файлы с жёсткого диска в качестве доп ключа.
Полностью безопасный опенсорс. Онлайн хранилища, вроде синхронизированных браузерами, лучше не использовать, так как они добавляют ещё один вектор атаки против вас.


Пока не изобрели квантовые компьютеры, современное шифрование можно считать полностью безопасным. Конечно, правильно исходить из того, что кто-то может читать вас. Современные технологии, скорее всего, не могут полностью сломать шифрование, они могут только извлекать отдельные метаданные, но для этого нужен очень большой и дорогой ресурс.

А ещё лучше ввести для себя практику регулярных ревизий и изменений паролей(скажем финансовые - раз в месяц, другие - раз в полгода-год), что сделает невалидными доступы, которые утекли и предотвратит злоупотребление.

В случае с оффлайн хранилищем - это должны быть как минимум два независимых физических устройства, дабы исключить факторы поломки/кражи/утери и прочих форсмажоров.

я бы не был на твоем месте так категоричен) https://dev.by/news/spetssluzhby-protiv-tls...-kriptozakladki