company_banner

Центр авторизации TM ID

    Сегодня мы рады представить бета-версию сервиса авторизации TM ID.



    Долгое время ТМ поддерживает и развивает несколько тесно связанных между собой IT-ресурсов:

    » Habrahabr
    » Brainstorage
    » Freelansim
    » Hantim
    » Toster

    Для удобства использования сервисов мы создали единый центр авторизации, который позволяет использовать один аккаунт (TM ID) для упомянутых выше проектов.

    На данный момент TM ID поддерживает вход только на два проекта — «Хабрахабр» и «Тостер». В будущем к сервису авторизации будут добавлены остальные проекты.

    Если у вас уже есть аккаунт на «Хабрахабре», вам не обязательно создавать новый TM ID — просто зайдите в центр авторизации, используя e-mail и пароль от «Хабра». Для удобства можно привязать к учётной записи аккаунты в социальных сетях.

    » Тостер. Реинкарнация

    UPD: Теперь через TM ID работает и Brainstorage.
    ТechMedia 83,88
    Создаем и развиваем сервисы для гиков
    Поделиться публикацией
    Похожие публикации
    Комментарии 279
    • +68
      Это правильно.
      Хотя внезапное новое окошко авторизации немного испугало сонного меня.
      • +6
        А я вообще залогиниться не мог со своей почтой. Пытался войти — говорит не зарегистрирован. Попытался зарегистрироваться — пользователь с таким email уже зарегистрирован. Потом только додумался зайти через Google.
        • 0
          та же история и у меня была
          • 0
            При попытке зайти через Г+ словил 404. Вошел по паролю (капча какая-то легкая стала) и… оказалось, что аккаунты соцсетей вообще переприсоединять надо. Теперь и по Г+ вхожу.
            • 0
              А мне не надо было заново подключать, вошел через гугл
            • 0
              А я не мог вспомнить почту, на которой у меня акк..))…
              • 0
                Проверьте почту (или несколько, если есть), должно было системное уведомление прийти.
                Если не нашлось, то напишите в службу поддержки.
            • +41
              Я тоже «чуть не открыл кирпичый завод», подумал что хабр ломанули… предупреждать же нужно )
              • +1
                А я сначала залогинился, а потом испугался.
              • +14
                > единый центр авторизации
                правильно! лишите пользователей возможности выбирать! (сарказм, если что)
                • +21
                  И пароль заставили сменить >_<
                  • +17
                    Да, пришлось обновить бумажку на холодильнике.
                    • +7
                      Можно с помощью бинокля угнать все ваши аккаунты? )
                    • +2
                      Дело в том, что у части пользователей Хабра были простые пароли, которые были заданы ещё давно, когда не было жёстких требований к безопасности. В то время как на TM ID такие требования есть — если пароль короткий, то его предлагается заменить :)
                      • +56
                        Потому что у ХХ авторизация регулярно слетает, заставляя логиниться снова.
                        Не знаю, баг это или задуманная фича, но это несколько мешает использованию параноидальных паролей.
                        • +15
                          Кстати, почините. Стабильно раз в пару дней слетает, приходится авторизовываться по-новой.
                          • +7
                            О, не у меня одного. Прочитав эту новость, думаю, что слетал из-за опытов с TM ID.
                            • +1
                              У меня реже раза в неделю. По ощущениям — раз в месяц, но вроде раньше такие настройки были.
                            • 0
                              И у меня слетает.
                            • +1
                              33 символа по-вашему короткий? Ну-ну…
                              Заменил пароль. =)
                              • +23
                                Алфавит? :)
                                • +1
                                  из ноликов и единичек
                                • +3
                                  Хабр ввёл ограничения на максимальную длину пароля и на используемый алфавит? Это же глупость чистой воды!
                                • +5
                                  20 символов пароль слишком простой? :)
                                  • +7
                                    А редизайн Тостера будет, не знаете?
                                    А то уж больно некрасиво выглядит сайт на половину экрана.
                                    • +17
                                      image

                                      Все же видели эту картинку, да?
                                      Кроме того, хабралогином войти не получилось. Только почтой.
                                      • –7
                                        Это работает, только если вас не брутфорсят словарем по этим вашим «common words».
                                        Хотя я сам целиком и полностью «за» такие пароли.
                                        • 0
                                          Предположим, мой пароль содержал 17 слов ( не считая предлогов и междометий). Средняя длина слова — 5 символов (я ленивый и не хотел больше). Насколько мой текущий 8 символьный пароль слабее? Смутное ощущение, что на несколько порядков слабее.
                                          • –1
                                            Я говорил только про текущий пример. Естественно, 17 слов куда защищеннее 8 символов.

                                            Хотя вообще спор немного бесполезный, на мой взгляд. Давно не встречал, чтобы пароль брутфорсили. Чаще просто получают каким-нибудь обманом, или пробуют брут вида «admin / admin», «admin / password» и бросают это дело. Легче использовать какие-нибудь другие пути, видимо.
                                            • +1
                                              Регулярно брутфорсят ssh, ftp, pop3, smtp; админки популярных движков (joomla, wordpress). Так что если вы не встречали, это не значит, что этого нет. Более того, вы можете и не подозревать, что вас брутят, если нет доступа к логам, или ленитесь в них заглянуть.
                                              • 0
                                                Я это и имел ввиду под «пробуют брут вида..». В логах постоянно замечаю, что кто-то активно ломится в админку. ban-ip-list в htaccess уже за 30 адресов перевалил. Просто назвать это брутом не могу. Не верю, что там кто-то перебирает именно посимвольно. Скорее просто прогон по словарю самых частых паролей вида «admin», «123456» и так далее.
                                                • 0
                                                  Так надо приманки расставлять, которые откликаются на эти пароли, а внутри рекурсивное виртуальное дерево каталогов с миллионами файлов-дублей, а может даже и файлов-призраков с шумом генерируемом на лету. Хотя нет, дерево файлов можно оставить правдоподобным, а содержимое подменять на лету. Дать скачать парочку файлов и в бан-лист автоматом. В следующий раз будут добавлять в исключения для сканирования.

                                                  В конце-концов, взламывать ресурс который не сопротивляется не интересно, потыкаются и отстанут. А наиболее упорные соберут себе коллекцию мусора.
                                          • +4
                                            Эмм. Сколько common words в словаре? Больше, чем букв. Сколько комбинаций слов можно выдать?

                                            Собственно, про время брутфорса прямо в комиксе все и написано.
                                            • 0
                                              Конечно, все зависит от количества слов. Но тут стоит подсчитать (делать это буду примитивно, не судите строго).
                                              В примере в сложном пароле 11 символов. Возьмем для примера, что в нем может использоваться 26 строчных букв, 26 заглавных, 10 цифр и порядка 10 символов. Получаем в сумме 72 символа на каждую позицию, итого: 72^11 = 2 × 10^20 вариантов. И это при условии, что мы брутфорсим только пароль заданной длины!

                                              Окей, теперь предположим, что у нас словарь из хотя бы 100 тыс. часто употребляемых английских слов. Там явно будут «correct», «horse», «battery» и, возможно, будет «staple». 100 тыс. на каждое место, это максимум 100k^4 = 10^20. На первый взгляд кажется, что особой разницы нет.

                                              Предположим теперь, что мы перебираем все пароли. Обычно, минимальный порог на пароль 8 символов. Следовательно, нам нужно перебрать комбинации из 8, 9, 10 и 11 символов прежде, чем мы дойдем до нужного нам пароля (в худшем случае). В словесном же пароле мы не сможем использовать одно слово, но сможем два. Итак, 2, 3 и 4 слова. Подсчитаем? На этот раз чуть точнее.

                                              72^8 + 72^9 + 72^10 + 72^11 = 2.7335 × 10^20
                                              100k^2 + 100k^3 + 100k^4 = 1.00001 × 10^20

                                              Видим, что пароль из брутится быстрее, чем из символов.

                                              Хочу отметить, что я не призываю пользоваться паролями из символов. Это действительно крайне неудобно и, вообще, ненужно. Я просто хочу сказать, что если уж пользоваться словами, то брать низкочастотные, а лучше и вовсе какие-нибудь уникальные, известные только вам. Это поможет и запомнить, и обезопасить себя как от перебора, так и от простого угадывания.

                                              Пример: «dislike design tosterru». 22 символа, даже если брутить только буквами в нижнем регистре и пробелами, получится примерно 3 × 10^31. А если брутить словами, то вряд ли у кого-то в словаре будет написано про «tosterru». Плюс, заходя на сам сайт я явно буду каждый раз вспоминать пароль.
                                              • 0
                                                Можно, ещё использовать правила замены символов. Например — вместо буквы t печатаем букву правее от t на число позиций равным номеру вхождения символа в пароль. А так же вместо o печатаем p.
                                                И вместо
                                                correct horse battary staple
                                                получаем
                                                cprrecy hprse bauiry soaple
                                                Привет перебору по словарю )
                                                • 0
                                                  Как вариант, но это лишь усложняет задачу, а у нас цель — получить легкий ввод, легкую запоминаемость, но сложность угадывания и перебора.
                                                  • 0
                                                    Ну вы попробуйте угадать, какой именно бред пришёл в голову этому пользователю. А ещё, к тому же, есть те кто придумывает свои слова (как вы предложили), те, кто вставляет пароли, сгенереные специальной прогой. И в общем многообразии, если мы не знаем ничего о пароле пользователя — задача усложняется очень сильно.
                                                    • 0
                                                      Просто обычно выбирается один способ и брутятся все известные электропочты/логины для данного сервиса. А в таком случае, если будет выбран обычный перебор символов, силен как мой, так и ваш способ. Иначе — ваш, конечно, будет посильнее, да только к чему так усложнять, когда достаточно одного какого-нибудь слова? «Gromozeka», например. А остальные можно хоть самые частотные брать.
                                                      • +1
                                                        А можно просто нумеровать слова, или вставлять между ними какие-нибудь символы.
                                                        1correct 2horse 3battary 4staple
                                                        Привет, перебор по словарю. И запоминается легче.
                                                        PS: интересно, имел ли хоть один аккаунт в мире такой пароль, до публикации комикса, а так же сколько аккаунтов имеет такой пароль после публикации?
                                                        • 0
                                                          А можно поинтересоваться о бруте чего именно речь? :) Формы ввода с капчей или кто-то слил базу паролей с хабра и всерьез надеется что они без соли? :)
                                                          • 0
                                                            Да тут спор о бруте вообще. Что проще сбрутить, пароль из символов или пароль из слов по базе словаря.
                                                            Никто не учитывает правда, что тот кто брутит, не знает каков именно формат пароля у пользователя (в нашем сценарии их исключительно 2: пароль вида «Pa$$w0rd» и пароль вида «correct horse battary staple» без пробелов.
                                                            • 0
                                                              Мы просто предполагаем худшие варианты. Либо когда у «злоумышленника» есть словарь для брута первого варианта, либо когда словарь для брута второго варианта.
                                                            • 0
                                                              О сферическом бруте в вакууме тут речь )
                                                    • 0
                                                      Проще использовать силу русской морфологии. Взять обычное слово, образовать от него производное но несуществующее. И запомнить легко, и по словарю не брутфорсится. Например, берём слово «метроном» и используюем в пароле «метрономный». Попробуйте подобрать «метрономный безсветовой антидвигатель №4»

                                                      P.S. Заметили нарочную орфографическую ошибку в пароле? Это на всякий случай, даже если кто-то услышит как я во сне или под гипнозом бормочу свой пароль, всё равно не сможет угадать его правильное написание.

                                                      P.P.S. Мой пароль на хабре сформирован по другому принципу ;)
                                                      • +1
                                                        А потом вспоминать, где именно и какую именно сделал опечатку…
                                                    • 0
                                                      «В сложном пароле 11 символов» => «В сложном пароле 5 слов».

                                                      Вы просто сравниваете несопоставимые вещи — очень сложный для запоминания пароль (11 символов включая цифры и все остальное) и очень простой для запоминания пароль (четыре слова).
                                              • +7
                                                А зачем запретили спецсимволы в пароле? Пришлось придумывать более простой пароль, чем хотел. :(
                                                • 0
                                                  Вот и меня удивило что оно не хочет принимать пароль 6t|rg/?C6/PT*\dX.:SsFEP%. который секурней, чем, скажем, LCELDbc3veCPqY9UCXcuSZZix
                                                  • +9
                                                    «Шо, опять» O_O? Ахренеть хабр заботится о безопасности. А казалось бы, айтишный сайт.
                                                  • +74
                                                    > у части пользователей Хабра были простые пароли
                                                    это Вы по хеш-сумме вычислили длину пароля? (ооочень надеюсь)
                                                    • +1
                                                      Должно быть, просто при вводе анализирует.
                                                    • +27
                                                      Откуда вы знаете что у части пользователей были простые пароли?
                                                      • +11
                                                        При авторизации ставится флаг о том, простой пароль или нет.
                                                        • +6
                                                          т.е. надцать лет назад, когда регались юзеры, хабр уже тогда определял, сложный пароль или нет? ога =)
                                                          • +13
                                                            Нет, вы ж когда логинитесь шлёте пароль плейн текстом (пусть и через SSL). Ну а там что с ним делается, кроме хеширования для сравнения с хешем в БД, ведомо лишь ТМ.
                                                            • –10
                                                              т.е. сейчас при авторизации, они тупо сохранили пароли в открытом виде? не уж-то все так плохо?
                                                              • +1
                                                                Передает — возможно, а сохраняет ли — не факт. Может, сложность пароля определяет скрипт на стороне клиента…
                                                                • +1
                                                                  Скорее не так. Проверили пароль по критериям безопасности, результат проверки сохранили, а пароль незахешированный выбросили в /dev/null.

                                                                  Но чисто теоретически могли и сохранить плейнтекстовый пароль. Другое дело зачем им это...)
                                                                  • 0
                                                                    Им пароль сохранять смысла нет. Проверили, поставили флаг — все. Иметь доступ к учетной записи? Так можно просто сделать «бэкдор» для прямого доступа. Быстрее и проще. Разве что, ориентироваться на людей, у которых один пароль на много сайтов…
                                                                    • 0
                                                                      Я и говорю «зачем», подразумевая что поидее незачем. :)
                                                                  • 0
                                                                    Как, вы думате, делается graceful transition на новую схему хранения паролей?
                                                                    • +1
                                                                      никак не думаю, ибо не представляю о чем речь.
                                                                      • +4
                                                                        Ну сайт хранил пароли в md5 без соли. А потом решил, что доколе и захотел поменять на PBKDF2. Как? Паролей-то в открытом виде нет.

                                                                        И вот он поддерживает какое-то время аутентификацию что со старыми хешами, что с новыми. Но если пользователь аутентифицировался со старым — то в этот момент (и только в этот) сайт видит его пароль плейнтекстом, и тут же его хеширует новой функцией и сохраняет этот хеш взамен старого.

                                                                        Так постепенно все активные пользователи перейдут на новую схему. Спустя какое-то время можно подстегнуть остальных, а можно так и оставить: пусть поддерживаются все типы хешей, активные/новые-то пользователи будут всегда с самыми надёжными хешами, а остальные — на сайт не заходят, ну и ладно.
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                          • 0
                                                                            > Ну сайт хранил пароли в md5 без соли. А потом решил, что доколе и захотел поменять на PBKDF2. Как?

                                                                            Хранить PBKDF2(md5(password))
                                                                            • +1
                                                                              Если известны все параметры PBKDF2 (мы же не говорим о Security through obscurity?), то PBKDF2(md5(password)) хранить не безопаснее, чем md5.
                                                                              • 0
                                                                                PBKDF2 хорош тем, что при бруте базы хэшей стоимость вычисления одиночной итерации на порядки выше, чем для md5, sha1 и т. п.

                                                                                Так что безопаснее, в том смысле, что стоимость перебора или построения RT (если соль не использовалась, как в примере в этом треде) существенно выше.

                                                                                Количество итераций KDF атакующий может узнать, если у него есть свой аккаунт или доступ к исходным кодам приложения. Естественно, что на реальной системе соль является обязательной, чтобы существенно затруднить атаку с помощью rainbow tables.
                                                                                • 0
                                                                                  Ваша фраза эквивалентна следующей: «PBKDF2(password) хранить не безопаснее, чем просто password»

                                                                                  Вы не знаете, зачем нужен PBKDF2 и прочие «тяжёлые» хэши?
                                                                      • 0
                                                                        >Нет, вы ж когда логинитесь шлёте пароль плейн текстом
                                                                        я вот кстати не понимаю, зачем.

                                                                        Такой вариант имхо лучше, нет?
                                                                        сервис хранит hash(passwd).
                                                                        форме авторизации передаётся одноразовая соль salt
                                                                        клиент при вводе форму передаёт не passwd, a hash(hash(passwd)+salt).
                                                                        сервис считает свой hash(hash(passwd)+salt), и авторизует при совпадении.

                                                                        отличие от тупой авторизации по паролю — что при перехвате траффика злоумышленик получает не полноценный пароль, а лишь одноразовый хеш (ибо соль одноразовая), с которым он не сможет авторизоваться самостоятельно.

                                                                        Есть какие минусы у такой схемы?
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                          • +2
                                                                            Да, такая схема плохо себя ведет при угоне базы паролей (например, через sql injection). Злоумышленник сразу получает все, что ему необходимо для доступа к сайту (hash(passwd)), в отличие от стандартной схемы, где ему еще надо было бы восстановить прообраз хеша.
                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                              • 0
                                                                                С точки зрения владельца сервиса эта угроза вторична. Свой сервис ближе к телу.
                                                                              • 0
                                                                                Хм, хранить hash(hash(passwd)+salt), а от пользователя передавать hash(passwd). Передается хеш пароля, а все остальное аналогично обычной практике. Можно даже мигрировать безболезненно, если изначально хеши без соли или с единой солью salt1 — hash(pass+salt1), можно перешифровать в hash(hash(pass+salt1)+salt2) и передавать salt1 в случае с единой солью.
                                                                                И пароль не передается, и слив базы ничего не даст
                                                                                • 0
                                                                                  Да, в целом ваш вариант аналогичен стандартной практике, за исключением того, что клиент передает хеш.
                                                                          • +1
                                                                            Скорее всего нет, просто сейчас при вашей успешной авторизации «хабр» знает ваш пароль в открытом виде и хеш от него, и соответсвенно после успешной авторизации может вам сказать, что пароль слабоват/коротковат/етц.
                                                                      • +12
                                                                        Никогда не понимал, на кой черт нужны такие «требования к безопасности», при которых, каждый раз при слетевшей авторизации приходится по 5 минут, как дурак, вспоминать, а какие же на этом конкретном сайте условия на пароль накладывались?
                                                                        • +9
                                                                          Защита должна быть адекватна ценности информации, если пользователей устраивали простые пароли, то зачем создавать им лишний головняк?
                                                                          И так всех мучаете это жуткой капчей и постоянно слетающией авторизацией, теперь сделали подлянку для мобильных устройств.
                                                                          • +18
                                                                            15 символов с спецсимволами и цифрами — слишком простой?

                                                                            image
                                                                            • 0
                                                                              Как-то странно, у меня всего 10 и только буквы-цифры, однако пароль менять не предложили…
                                                                            • +9
                                                                              Офтопик, но вот, внезапно, спросить негде.
                                                                              Boomburum, а за каким фигом меня просят принять соглашение тостера, когда я пытаюсь открыть Q&A?
                                                                              • +6
                                                                                Мда, вопрос можно снять. Анонсы теперь делать не можно. Ни про Авторизацию, ни про Q&A.
                                                                                Знаете, мне не интересно читать про конференцию Toster. Поэтому, угадайте, читал ли я соседний топик про то, что Q&A теперь Тостер? И лицензионное соглашение выглядит так, как будто я сейчас передам свои данные левой компании. Да, соглашения (в отличии от топиков про Тостер) я читаю, на свою голову.
                                                                                • +2
                                                                                  > И лицензионное соглашение выглядит так, как будто я сейчас передам свои данные левой компании. Да, соглашения (в отличии от топиков про Тостер) я читаю, на свою голову.

                                                                                  Да я вот тоже, прочитал по диагонали, и как-то пропало у меня желание в QA вообще заходить.
                                                                                • 0
                                                                                  Меня QA-раздел вообще встретил 500ой ошибкой

                                                                                • +1
                                                                                  Угу, теперь мой пароль из 12 символов, но без цифр в нём — небезопасен )
                                                                                  • +1
                                                                                    Есть такая идея по поводу секурности пароля — посчитать количество вариантов брутфорса для его алфавита (cкажем, для пароля из строчных латинских букв в 12 символов количество вариантов будет 2612 ≈ 9.54 * 1016) и сравнить с требуемым (для 8-значного пароля из разнокалиберных цифробукв (26+26+10)8 ≈ 2.18 * 1014 — на два с половиной порядка меньше).

                                                                                    Алфавит — не в смысле символы, используемые в пароле, а по классам символов — строчные, заглавные буквы, цифры и спецсимволы.
                                                                                    • 0
                                                                                      Дело в том, что у части пользователей Хабра были простые пароли
                                                                                      Стоп. Откуда вы знаете насколько прост мой пароль? Не в открытом ли виде он хранится?
                                                                                      • –2
                                                                                        Читать комментарии полезно.
                                                                                        • 0
                                                                                          Их было слишком дофига, я попробовал найти поиском, но судя по всему ошибся с запросом
                                                                                      • 0
                                                                                        Однажды на хабре был пост про простые пароли… Я там написал, что мой пароль dmitriy, попутно сменив на новый, нормальный и безопасный :)

                                                                                        С тех пор везде завожу разные безопасные и достаточно длинные пароли.
                                                                                      • +2
                                                                                        как оказалось, можно не обновлять ;)
                                                                                        • +11
                                                                                          Моя позиция (правда по отношению к другому сервису рассказана, но какая разница) выражена тут:
                                                                                          habrahabr.ru/company/wargaming/blog/193974/#comment_6735392
                                                                                          habrahabr.ru/company/wargaming/blog/193974/#comment_6737616

                                                                                          Если вкратце — оставьте сложность пароля ответственностью самого пользователя, пожалуйста. И чётко про это где-нибудь напишите. Не надо пытаться делать не свою работу.
                                                                                          • 0
                                                                                            А позиция ТМ тоже уже сто раз выражена. Когда пользователя с простым паролем ломают ради аккаунте или спама на хабре — виноват почему-то не пользователь, а ТМ. Поэтому и капча. Поэтому и забота о пароле.
                                                                                            • +2
                                                                                              Это — СЛЕДСТВИЕ такого подхода, о чём я в своих комментариях по ссылкам и писал. В данном случае Хабра берёт на СЕБЯ ответственность за обеспечение безопасности со стороны ПОЛЬЗОВАТЕЛЯ — и не может полностью её обеспечить, потому что полезла не на своё поле. Ну а ответственность то она взяла — потому то она и виновата. Тут ей же могло быть проще без подобного подхода, но нет — она сама себе — да ещё и нормальному большинству пользователей — злая буратина.
                                                                                              • 0
                                                                                                Не КРИЧИТЕ на меня. :)
                                                                                                Вот с одной стороны, я понимаю пользователей — я сам возмущаюсь, когда кто-то решает, какой мне пароль иметь. Альфа-банк например, уже достал меня сменой пароля раз в три месяца.
                                                                                                С другой стороны, я понимаю ТМ — пользователей настолько много, что за всеми не уследить. Кто-то рассказывал, что смысл в взломе был такой — проходились по всем аккаунтам со списком частых паролей, и получали доступ к десятку-другому акков. Имея доступ к 10 акаунтам, можно запостить 10 топиков с рейтингом в 9, что позволит выползти на главную. Это никому не надо.
                                                                                                К хабру сложно подходить с принципами работы с почтой, например. Почту может кто угодно зарегистрировать, и вашу будут взламывать только если нужны именно вы. А акк на хабре ценен сам по себе

                                                                                                Кстати, все что я написал выше — бессмысленно. Все равно ТМ лучше знают что у них там с авторизацией и взломами, и менять систему будет только по своему мнению.
                                                                                                • +1
                                                                                                  Я не кричу, мне просто лень теги bold или underline ставить :) Я выделяю слова :)
                                                                                                  Хабр — саморегулирующееся сообщество. Ну взломает кто-то 10 аккаунтов, выведет топик на главную… И этот топик благополучно сольёт сотня хабровчан. Толку — чуть. Больше шума…
                                                                                                  А вот ответственность брать на себя, которую всё равно никогда не сможешь полностью обеспечить — моветон.
                                                                                                  • +1
                                                                                                    Тем более вон чуть ниже Бурум написал, что у них есть система автоматической ликвидации подобных материалов.
                                                                                          • 0
                                                                                            del
                                                                                            • 0
                                                                                              Не заставили, лишь попытались заставить. Клик по своему нику в верхнем правом углу — и спокойно попадаешь в настройки, без необходимости менять пароль. Далее снова тыкаешь на хабре «зайти через ТМ ID» и voilà
                                                                                              • 0
                                                                                                я закрыл это окошко и вошел без его смены :). Не хорошо так заставлять людей внезапно выдумывать новые пароли
                                                                                                • 0
                                                                                                  Логинитесь, видите просьбу сменить пароль, закрываете вкладку, тыцкаете на хабре «войти», страница перегружается, вуаля, вы залогинены со старым паролем =)
                                                                                                  • +3
                                                                                                    Скоро попросят сканы счетов ЖКХ.

                                                                                                    Очнитесь. Это просто еще один сетевой ресурс. Если я отношусь к нему серьезно — у меня будет сложный сгенерированный пароль без всяких напоминаний. Если мне все равно — можно я буду пользоваться именем своего первого хомячка, а? И можно я буду с одного и того же статического айпи заходить уже без капчи каждые несколько дней, а?

                                                                                                    Через год уже пиццу будет не заказать без сложносочиненного пароля с использованием трехэтапной авторизации.
                                                                                                    • 0
                                                                                                      А еще бывают случаи, когда система обязывает использовать всякие сложносочиненные пароли даже для тестовых пользователей. Apple например. Вот где уроды :)
                                                                                                      • +2
                                                                                                        Apple заставила меня ввести номер реальной пластиковой карты для того чтобы скачать бесплатное приложение. Всё путём.
                                                                                                  • +10
                                                                                                    Я подумал редизайн хабра, когда мне окно авторизации показалось.
                                                                                                    • +4
                                                                                                      Надеюсь теперь не нужно будет заново авторизироваться каждые несколько дней, а то в последний месяц как-то напрягало. Заходишь на хабр и тут ни с того ни с сего опять нужно капчу разгадывать.
                                                                                                      • +1
                                                                                                        Привязали бы к аккаунту какой-нибудь соц. сети. Зачем утруждать себя? :)
                                                                                                        • +2
                                                                                                          Честно говоря не любитель — стоит потерять по какой-либо причине доступ к этому аккаунту и потеряешь доступ к куче других сайтов. Да и не сильно утруждало, пока хабровские куки авторизации работали по 30 дней ;)
                                                                                                          • +2
                                                                                                            Запомнить логин+пароль, а после привязать к нескольким социалкам? (в списке доступных ещё github, назвать его социалкой правда… трудно).
                                                                                                            • 0
                                                                                                              У меня немного другая политика. Потерять аккаунт ВКонтакте, к примеру, сложно. Там привязка к телефону. Таким образом выходит, что и ХХ у меня к симке привязан. А уж ее-то я не потеряю. А если и так, то непременно замечу, заблокирую старую и восстановлю новую еще до того, как «злоумышленник» задумает меня взломать.
                                                                                                              А если даже кто-то угадает пароль и зайдет, то это, во-первых, нужно будет подтвердить, введя мой номер телефона в ВК, а во-вторых, там такой пароль, который угадает только такой же маразматик, как и я :)

                                                                                                              Единственное, чего стоит опасаться, это открытых WiFi-точек. Но вроде ж https ВК от этого защищает. Хотя я могу и где-то ошибаться.
                                                                                                              • +4
                                                                                                                А если забанят аккаунт вконтакте?
                                                                                                                • –3
                                                                                                                  А с чего вдруг его забанят? Со мной такого не случалось.
                                                                                                                  • +3
                                                                                                                    Когда случится будет поздно :) Это как бакапы делать. А если ВК забанят? Тоже пока не случалось…
                                                                                                                    • 0
                                                                                                                      Даже если акк в бане ВК, авторизация на сайтах все-равно работает. Банится лишь доступ к функционалу вк.
                                                                                                                    • +2
                                                                                                                      Да мало ли почему. За нарушение их правил.

                                                                                                                      Вот про фейсбук был пост на эту тему habrahabr.ru/post/166643/
                                                                                                                    • +1
                                                                                                                      Так на сайте обычно никто не мешает иметь логин+пароль+привязку к социалке. Ну забанят аккаунт, у меня ещё есть Gmal, Twitter, Github и свой пароль…
                                                                                                                • 0
                                                                                                                  А мне наоборот недавно пришлось отказаться от авторизации по соцсети… по какой-то причине перестала работать авторизация на MySku через вконтактик… благо там можно было авторизоваться по логин-паролю, а что делать в случаях если бы нельзя было?

                                                                                                                  Вот меня тоже не пустило на хабр по е-мейлу(может там логин регистрочувствительный стал?) пришлось зайти через гуглплюс, но если бы у меня не было ни одной из перечисленных соцсетей? Или не захотел светить аккаунт, а новый создавать только для цели логина — это бред.
                                                                                                                  • +4
                                                                                                                    Т.е. если не хочется раскрывать хабру свои соц. данные, то придётся регулярно вбивать капчу? На зло, так сказать.
                                                                                                                    • +5
                                                                                                                      Хабр — единственная соцсеть, которой я пользуюсь. Нет меня не в гугле, ни в контакте, ни на фейсбуке, ни в твитере.

                                                                                                                      И что делать теперь? Зачем это хабру надо зависеть от других?
                                                                                                                      • +1
                                                                                                                        Никто и не говорит о зависимости. Я просто подсказал способ «полегче» для тех, кто пользуется больше, чем одной сетью. В вашем случае такое, конечно, не проходит.
                                                                                                                  • +18
                                                                                                                    Был у меня один ресурс, который я часто посещал, а будет — один ресурс, который я часто посещал, и ещё какие-то, на которые меня загоняют :-)
                                                                                                                    • +15
                                                                                                                      Логин/пароль от хабра не работает. Работает только имейл/пароль от хабра.
                                                                                                                      • –1
                                                                                                                        Угу, тоже помучался, а потом решил прочитать «инструкцию». Хорошо хоть недавно мыло сменил к которому хабраакк привязан.
                                                                                                                        • +2
                                                                                                                          А мне помогла появившаяся подсказка, что емейл у меня какой-то кривой.
                                                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                        • +3
                                                                                                                          Авторизация на Хабре фантастически слоупочит. После авторизации на TM ID проходит минут 10 перед тем, как хабр отреагирует хоть как-то. 1й раз я оказался залогинен на хабре минут через 10 после логина, 2й — через 5 минут вместо «войти» показалась кнопка «войти чемез tmid», по нажатию которой Хабр обновился, но уже залогиненным.
                                                                                                                          • 0
                                                                                                                            У меня давно так глючило, только недавно обнаружил, что Ctrl+F5 после логина исправляет ситуацию.
                                                                                                                          • +2
                                                                                                                            boomburum, а почему не прикрутили ко всему этому многофакторную аутентификацию на основе тех же Рутокен Web? Если уж делать сервис аутентификации, то надо вообще уйти от чисто парольной защиты.
                                                                                                                            • +2
                                                                                                                              Давно пора.
                                                                                                                              • +2
                                                                                                                                Длинный пароль для хабра, вхожу через гугл. А там нормальная двухфакторная авторизация.
                                                                                                                              • +1
                                                                                                                                Отлично. Заодно вспомнил, что почта регистрации от давно проданного домена. Хорошо, привязал к Google+
                                                                                                                                • +17
                                                                                                                                  Кстати, вы считаете пароли длинной в 15 символом со спецсимволами и разными регистрами в нём, но без цифр, слабым?
                                                                                                                                  Я как-то не вижу смысла его менять, ибо помню его наизусть. А новый — ещё надо будет запоминать.

                                                                                                                                  Честно говоря, из-за глюка с задержкой авторизации думал, что меня не пускают именно из-за пароля. И уже собирался ругаться с поддержкой )
                                                                                                                                  • +1
                                                                                                                                    Полностью поддерживаю предыдущего оратора.
                                                                                                                                    Большие + маленькие + спецсимволы = 19 знаков — слабый?
                                                                                                                                    кмк 3 пункта из 4х при достаточной длине пароля — вполне себе пароль.
                                                                                                                                    • 0
                                                                                                                                      зато теперь пароли с солью ;)
                                                                                                                                      • +3
                                                                                                                                        Ага… Жаль отсыпать нельзя…
                                                                                                                                    • +2
                                                                                                                                      Я обычно в таких случаях прибавляю к своему паролю нолик в конце, запомнить не сложно.
                                                                                                                                    • +34
                                                                                                                                      Дуров, верни «стену»!
                                                                                                                                      • 0
                                                                                                                                        К концу дня можно будет начинать составлять статистику, кто насколько параноик в придумывании пароля)
                                                                                                                                        • +21
                                                                                                                                          Блин, ну кто так меняет авторизацию. Вместо логина теперь емейл. У меня логин/пароль сохранены в браузере, а емейл я и не помню, какой указывал. Благо догадался поискать, куда мне письма приходили. Ужас.
                                                                                                                                          • +7
                                                                                                                                            Соглашусь. У меня так вообще тут почта с "+" была создана.
                                                                                                                                            Лишь по старым уведомлениям хабра на почту нашел, которые, благо не удалил, как обычно.
                                                                                                                                          • +2
                                                                                                                                            Не хотите менять пароль — не меняйте, это уведомление можно игнорировать.
                                                                                                                                            • +5
                                                                                                                                              Об этом надо ещё догадаться.
                                                                                                                                              Чтобы зайти без смены пароля надо:
                                                                                                                                              1) зайти на хабр
                                                                                                                                              2) нажать на вход
                                                                                                                                              3) авторизоваться на tmtm
                                                                                                                                              4) вернуться на хабр
                                                                                                                                              5) нажать на вход
                                                                                                                                              • 0
                                                                                                                                                а можно просто методом тыка. как я, собственно говоря, и сделал =)
                                                                                                                                                • 0
                                                                                                                                                  Я так и сделал. Проигнорировал предложение изменить пароль на тостере, вернулся на хабр, повторно нажал на кнопку авторизации и «дело в шляпе». Это очевидная последовательность действий и потому многие пошли этим путем. А немногие заменили пароль на новый без спецсимволов :)

                                                                                                                                                  З.Ы. мое замечание касается тех, кто не пользуется соцсетями.
                                                                                                                                              • +7
                                                                                                                                                Без проблем авторизовался через соцсеть. Паролем на Хабре не пользуюсь, т.к. капча доставляет.
                                                                                                                                                • +1
                                                                                                                                                  Дайте возможность сменить почту без смены пароля
                                                                                                                                                  • +3
                                                                                                                                                    Так вот почему авторизация в последние дни постоянно слетала. А то меня уже завалили на почте сообщениями что в приложении лента не грузится. Попутно хотелось спросить — а планируется ли, наконец, реализовать какой-нибудь Хабра API?
                                                                                                                                                    • +21
                                                                                                                                                      Сначала подумал, что кто-то хитрый вымогает у меня логин с паролем. Потом долго ругался на того, кому пришла гениальная идея оставить вход только по e-mail, тогда как на хабр всю жизнь заходил по логину.

                                                                                                                                                      Сделать изменения и оповестить постфактум — тоже очень хорошо.

                                                                                                                                                      mod:evil.
                                                                                                                                                      • +1
                                                                                                                                                        ID TM будет использоваться не только для Хабра, но и для других проектов, где другие пользователи, возможно, захотят использовать разные логины. Поэтому вход по почте.
                                                                                                                                                        • +2
                                                                                                                                                          Я прекрасно понимаю вашу логику. Сам такие формы входа проектировал. Только можно было оставить вход по логину хабра на первое время и кидать на страницу с нотайсом о том, что дальнейший логин возможен только по почте + предложение эту почту сменить.
                                                                                                                                                          Вот это был бы нормальный UX. А многие старожилы свои почты позабывали уже. Я свою минут 20 пытался вспомнить.
                                                                                                                                                          • 0
                                                                                                                                                            Какое мне дело до других пользователей, которые, возможно, чего-то там захотят?
                                                                                                                                                          • 0
                                                                                                                                                            «Постфактум» — это мягко сказано.
                                                                                                                                                            Не просто при следующем входе на хабру, а прямо во время чтения статьи (был авторизован), разлогинило.
                                                                                                                                                          • –5
                                                                                                                                                            Это теперь на вопросы, которые я раньше задавал почтенной аудитории Хабра, будут отвечать, голосуя друг за дружку, школьники, понабежавшие с «Вопросов Меил.ру»?
                                                                                                                                                            • +20
                                                                                                                                                              Присоединяю и мой голос к хору старожилов Хабрахабра, недовольных необходимостью вспомнить и использовать адрес e-mail.

                                                                                                                                                              Адрес ведь ещё и набирать дольше, чем просто login.
                                                                                                                                                              • 0
                                                                                                                                                                А как вы комментарии читаете? Они у вас разве на почту регистрации не приходят как у всех?
                                                                                                                                                                • +1
                                                                                                                                                                  Приходят.
                                                                                                                                                                  Вот только они при этом у меня проходят с десяток пересылок, а акк зареген не на мыло которое я читаю.
                                                                                                                                                                  А все извещения стираю, как хлам.
                                                                                                                                                                  Еле вспомнил какой ящик должен быть, что бы зайти.
                                                                                                                                                                  • +1
                                                                                                                                                                    Я не читаю комментарии.

                                                                                                                                                                    Да, они приходят мне на почту — но почтовик, на неё настроенный, я не таскаю с собой беспрерывно и не пользуюсь вебоинтерфейсом.
                                                                                                                                                                    • 0
                                                                                                                                                                      Всё-таки IMAP рулит, как ни крути.
                                                                                                                                                                      • +1
                                                                                                                                                                        Если вы не читаете комментарии, то как смогли ответить на предыдущий?
                                                                                                                                                                        • –2
                                                                                                                                                                          Есть же трекер вверху страницы.
                                                                                                                                                                  • +64
                                                                                                                                                                    Уважаемые Тематические Медиа! Абсолютное большинство пользователей Хабрахабра и иных ваших проектов — умные люди с высокой компьютерной грамотностью. Мы прекрасно понимаем риски, которые несет в себе использование слишком простых паролей и способны нести за эти риски необходимую ответственность. Исходя из этого, я очень прошу администрацию Хабрахабра (и, надеюсь, многие меня поддержат) — пожалуйста, дайте нам самим право выбирать себе пароли исходя из желаемого нами баланса безопасности и удобства!

                                                                                                                                                                    Не мне рассказывать вам, как раздражают пользователей, особенно, грамотных пользователей, формальные критерии, препятствующие установке «плохого» с точки зрения системы пароля. Было бы благородным шагом доверия по отношению к посетителям ваших прекрасных ресурсов предоставить им самим полную свободу выбора пароля от своего аккаунта в соответствии c желаемым ими балансом безопасности и легкости запоминания, начиная от «pass123», и заканчивая «P%:?*GhJJH7**РОpE», оставив лишь рекомендательное предупреждение для слишком легких паролей. Прошу вас рассмотреть возможность оказать пользователям ваших проектов тот уровень доверия и уважения, который они заслуживают, полностью отключив жесткие формальные ограничения на параметры паролей от наших аккаунтов.

                                                                                                                                                                    Спасибо.
                                                                                                                                                                    • +17
                                                                                                                                                                      К сожалению стоит признать, что уважения нет и не будет. Требование на сложность пароля само по себе показывает, что пользователей считают некомпетентным отребьем, которое надо строить, потому что «мы умнее», или, что тоже не редко — потому что просто лень думать о пользователях и проще делать так как привычно. То, что такое требование сложности нарушает безопасность пользователя и/или понижает удобство пользования сервисом — всем плевать. И к сожалению это даже не проблема хабра, это повсеместно. Но если какой то банк еще понять можно, то всех остальных — нет.

                                                                                                                                                                      Отдельно хочется хочется заметить, что вход на хабре был по логину, если честно я за три года уже успел забыть на какой email я был зареган, а тут оп — и входить нужно уже по нему. Почему нельзя было сделать вход по логину (плюс возможно и по емейлу, кому как удобнее) и дальше?

                                                                                                                                                                      Ну и отдельный пункт про капчу. Сотню другую раз, пару лет уже, люди аргументированно просят ее убрать для первой попытки входа, особенно в условиях, когда хабр внезапно и непредсказуемо забывает пользователя — воз и ныне там.

                                                                                                                                                                      Нет никакого уважения, увы

                                                                                                                                                                      P.S. повесил еще одну бумажку с еще одним сложным паролем от еще одного супер-умного сервиса
                                                                                                                                                                      • +4
                                                                                                                                                                        Ну и отдельный пункт про капчу. Сотню другую раз, пару лет уже, люди аргументированно просят ее убрать для первой попытки входа, особенно в условиях, когда хабр внезапно и непредсказуемо забывает пользователя — воз и ныне там.


                                                                                                                                                                        Они уже пару раз рассказывали, почему так. Вкратце — когда-то начали брутить не какой-то определённый аккаунт, а вообще все подряд по определённому паролю (qwerty12345 наверняка подйдёт к 1-5 из 1000 аккаунтов). И злоумышленникам это принесло определённый успех, так как «один раз» каждый аккаунт всё же можно было «попробовать» (имея огромный список проксей). Это, кстати, к вопросу о том, что «все и так используют сложные пароли, зачем заставлять делать сложный».

                                                                                                                                                                        А когда капча показывается сразу, вероятность что-то сбрутить сводится почти к 0 (индусов для ввода капч не предлагать). Так что тут разработчиков понять можно. Тем более, когда предоставляется возможность логиниться через что-то ещё, минуя капчу. И тем более, когда у вас теперь не отдельный аккаунт для каждого сайта, а один для всех (все яйца в одной корзине). Если дальше сервисы будут интегрировать друг в друга, то это будет только круто (за примером далеко ходить не надо — в Google или Apple используется один аккаунт для всех сервисов).

                                                                                                                                                                        Так что не порите горячку =)
                                                                                                                                                                        • +10
                                                                                                                                                                          Нет никакой горячки, я в курсе про брутфорс логина по паролю. Вот только кто бы объяснил почему эта проблема существует только на хабре? Почему яндекс, гугл, контакт, фейсбук и еще сотни других крупных и не очень сервисов не просят вводит капчу при каждом логине? Наверно у них либо какое то тайное знание, либо они при выборе компромисса встают на сторону удобства пользователя, а с брутфорсами и прочей подозрительной активность борятся самостоятельно (а с ними надо бороться, и кстати индусов вы зря выкинули). А ТМ не хочет бороться с брутами — проще забахать капчу и пусть пользователи с ней расхлебываются.

                                                                                                                                                                          Более того, частичное решение предлагалось даже мною, и года не прошло, но тактично осталось без ответа и аргументов как против так и за.

                                                                                                                                                                          Кстати. Мне просто не было необходимости, поэтому спрошу — раньше можно было поменять email для аккаунта? Просто сейчас можно — а раз так, то единожды взломанный акк уводится навсегда.

                                                                                                                                                                          Про интеграцию это вообще отдельная тема. Ничего хорошего в принудительной интеграции нет и не будет. Как и во всем принудительном.
                                                                                                                                                                          • 0
                                                                                                                                                                            Не думаю, что у гугла итд есть какое-то отдельное знание, разница заключается в следующем. Уведя акк на Хабре, вы получаете возможность на милионную аудиторию выложить что угодно (вспомните хотя бы политические видики перед выборами), причём под это подходит любой аккаунт с положительной кармой (раньше это был список юзеров, который недавно убрали). То есть злоумышленника устроить «хоть какая-нибудь добыча». В то время как увод «хоть какого-нибудь» произвольного аккаунта на гмейле не даст ровным счётом ничего (кроме личной переписки юзера, которая может не представлять интереса). Ну украли вы произвольный аккаунт на ютубе, разместили с него видео, его милионная аудитория не посмотрит = прфоита нет. В фейсбуке/вконтакте информацию также увидят только подписчики — поэтому там есть смысл уводить только какие-нибудь определённые аккаунты (с большим количеством подписчиков, с админскими правами в больших группах итд). В то время как увести «определённый аккаунт» на Хабре сейчас совсем сложно (даже с индусами).

                                                                                                                                                                            Поправьте меня, если я не прав.
                                                                                                                                                                            • +5
                                                                                                                                                                              Поправлю вас — вы не правы. Ваши слова как раз иллюстрируют тот факт, что вместо того чтобы платить зарплату нескольким модераторам (которые кстати на хабре есть, несмотря на заявленное саморегулирование), которые будут выпиливать такие откровенно политические вбросы, наш любимый коммерческий ресурс перекладывает решение проблемы на самих пользователей.
                                                                                                                                                                              Вы попробуйте что-нибудь такое тут опубликовать? Ваш топик вместе с вами будет кармически выпилен, а затем вы с ним будете оперативно выпилены администрацией. А «миллионная аудитория» даже ни о чем не узнает, так как до главной топик не доживет.

                                                                                                                                                                              И напомню — решения существуют. Как минимум то, что по ссылке в моем предыдущем комментарии
                                                                                                                                                                              • 0
                                                                                                                                                                                Flagman в целом прав. Когда политические темы начали всплывать, нам пришлось сделать хитрую штуку (не буду о ней подробно рассказывать, чтобы сложнее было пакостить), чтобы «нечистоты» выпиливались с сайта даже в новогоднюю ночь. В то время как саморегуляция срабатывала не всегда — порой люди плюсовали подобные посты «по приколу».

                                                                                                                                                                                Непонятно, чем вас так пугает капча, в то время как на сайте доступно несколько соц.сетей для входа в один клик.
                                                                                                                                                                                • +1
                                                                                                                                                                                  Да она никогда не работала на 100% эта саморегуляция, никогда не понимал почему официально хабр постулирует ее как суперфичу, а в комментариях ее представители периодически жалуются что она не всегда работает. Дайте право топ-30-50 пользователей (по карме или по рейтингу, не важно) право модерировать посты (закрыл/открыл) по четким критериям и с лишением такого права в случае самоуправства и всё, больше не нужны будут никакие хитрости. Это логичное расширение саморегуляции, т.к. люди в топе тоже не просто так оказываются.

                                                                                                                                                                                  Непонятно, чем вас так пугает капча, в то время как на сайте доступно несколько соц.сетей для входа в один клик.
                                                                                                                                                                                  Бурум… если бы это был вопрос просто пользователя, которым когда то ты был, я бы может стопятьсотый очередной раз объяснил бы чем плоха капча (особенно такая нечитаемая), но так как вы теперь представитель администрации, то просто погрущу и ныть не буду. Клиническое непонимание того, что существенной части пользователей она чрезвычайно неудобна очень расстраивает. Так же как не менее клиническая уверенность что все мечтают хабр связать с гитхабами и соцсетями, которых у них может и вовсе не быть.
                                                                                                                                                                                  • 0
                                                                                                                                                                                    Одно дело — когда капчу надо вводить каждый раз при входе, написании комментария (о ужас) или чего-то ещё частого. Но когда её надо один раз ввести, чтобы настроить аккаунт и дальше забыть о ней как таковой — действительно не вижу проблему. Зато в остальных случаях она решает многие проблемы (а потому и сложная — предыдущая «простая» не решала).
                                                                                                                                                                                    • +4
                                                                                                                                                                                      Одно дело — когда капчу надо вводить каждый раз при входе
                                                                                                                                                                                      Мы что, на разных ресурсах живем? Капчу и надо вводить каждый раз при входе. Щас даже специально разлогинился проверить, может что поменялось — нет, нужно вводить для входа как и раньше
                                                                                                                                                                                      • –4
                                                                                                                                                                                        На сайте-то на одном, но я едва помню свой пароль (он сложный и живет в 1password) — всегда вхожу через любую из соц.сетей, которые привязаны к аккаунту. Аналогично с остальными нашими проектами — капчу последний раз вводил… хотя нет, буквально на днях, когда тестировали TM ID, а до этого давно не вводил :)