Още малко ще пишем пароли в Интернет...

[Midex]

Нямаше подходяща тема и затова реших да направя самостоятелна...

 

https://www.youtube.com/watch?v=9ZUHs0jRwQY

[tedy]

Скоро няма да видим това (такова) нещо масово, освен може би локално в някои по-развити страни.

Има множество негативи (някои от които засегнати от човека във видеото към края), които да не са повече от позитивите, за мен лично натежават повече.

Това е просто един по-лек ел.подпис, с евентуално по-олекотено "издаване".

Ако е единствен фактор, ще трябва постоянно да носиш физически със себе си, ще струва някакви пари (и не видях дали ще е доживотно ключа в него), остават рисковете ако го забравиш включено в компа, някой (или скрипт) да се възползва през това време без дори да подозираш..., както и все пак струва пари това физическо нещо да го придобиеш. Само 2 от споменатите няколко негатива за мен лично го правят неатрактивно.

Който ползва пароли 123456 си е поел риска и не му е важен подобен акаунт (понеже това чух за довод колко полезен е протокола). Всичко това го казвам по повод "флашката".

Колкото до пръстови отпечатъци да влязат като фактор за достъп до важни акаунти - все още не бих разчитал. Масовите особено по китайските телефони са ненадеждни, малки са (и сканират и отключват с изключително малък по площ сензор), вероятно повечето са уязвими на смешно ниски по сложност 'излъгвания', да не говорим за опасностите като цяло да се "събират' отпечатъците - нещо което доста хора и сега не ползват по телефоните с прайвъси цел. Аз само си отключвам тела и лок-нати приложения, но само за удобство срещу най-елементарни "дадох си телефона на приятел да го разгледа" сценарии или при загубване докато се добера до компютър да сменя пароли мароли.

Чак "до 1-2 години макс" както говори пича - смешно малък период.

Паролата в ума ми освен с хипоноза някак, не виждам как могат да ми я вземат примерно докато дремя. Докато спя/дремя, могат и отпечатъка да ми ползват, и "флашката", че и да ми сканират окото (ако спя по-дълбоко).

[instinct]

Айде да ни се разминат подобни глупости поне тука.

 

А на запад така или иначе отдавна са подкарали стадото, и полека лека ги строяват в редичка...

[ARPAnet]

Готино, от доста време се чудя дали да не си взема U2F кийче, но все се разубеждавах с ограничената употреба.
Иначе като цена не са нищо страшно, u2f са по 13-20 долара, а за 50-на има такива с четец за отпечатъци директно интегриран в него. 

Ако успеят да го изкомбинират с телефоните ще е перфектно. Варианти за възстановяване на тоукън генератори и сега има, съответно не е като да трябва да измислят топлата вода. 

[tedy]

Че то ел.подписите са по-евтини :Р .

За да е масово, просто трябва да е.... безплатно .

А за телефоните, ако ще е само за "избрани" с самсуняци и айфонисти (примерно), айде мерси сме .

 

Поредният "гъдел", който ще е с ограничена употреба, подобно на pay-вариантите с телефони в по-нормалните страни, но поне плащането с помощта на телефон има смисъл някакъв (където може, и пак е ограничено за по-скъпите модели с NFC primerno), то при паролите и достъпа през интернет до акаунти, е различно. Макар че за мен и плащането е рисково с телефон ако се разчита само на примерно пръстов отпечатък да отключи самото плащане, но там има банкови гаранции, застраховки и т.н.

 

Като цяло, хич не ми е интересно това и не смятам дори да се занимавам с подобно нещо дори "за спорта".

[w00x]

Поредният "гъдел", който ще е с ограничена употреба, подобно на pay-вариантите с телефони в по-нормалните страни, но поне плащането с помощта на телефон има смисъл някакъв (където може, и пак е ограничено за по-скъпите модели с NFC primerno), то при паролите и достъпа през интернет до акаунти, е различно. Макар че за мен и плащането е рисково с телефон ако се разчита само на примерно пръстов отпечатък да отключи самото плащане, но там има банкови гаранции, застраховки и т.н.

 

"По-скъпите модели"

Почти всичките телефони вече имат NFC. Пък и никой не те кара да го използваш задължително.

[tedy]

"По-скъпите модели"

Почти всичките телефони вече имат NFC. Пък и никой не те кара да го използваш задължително.

Т'ва пък какво би трябвало да означава?!

Нали коментираме по темата, много ясно че никой не ни кара задължително да ползваме нищо. Ама 'утре' като се наложи в някой сайт да се регистрираш, и там приемат само тоя метод... кво прайм. Малко или много това може да ни закасае в някакво бъдеще.

 

Колкото до NFC, миналата година като купувах моя тел, за около 400 лв, той няма NFC, както и повечето, които изобщо си струваха да купя, нямаха. Не говорим за някои бъгави боклуци, които имаха, но които не бих взел никога.

За мен "по-скъпите" означава това. Повечето хора не дават повече от 4-500 лв за телефон, смисъл почти и няма (за мен).

[RaptoR]

В голяма грешка си, Теди. Вземи поноси някоя година хай енд телефон и после ще си говорим. 

[tedy]

То не че темата е за това, но понеже ти го каза, ще отговоря, че за мен няма смисъл, хващал съм подобни телефони, но за моето ползване няма почти никакъв смисъл. Даже снимам по 1-2 пъти в месеца някоя котка по улицата и тва е.

Освен ако някой снима много и иска по-качествена камера, за другото няма как да видя смисъл от телефон за 1500+ лв (даже 1000+). Текущо съм с SD625 с 3 рам и ми е напълно достатъчен, а не е като да не съм наинсталирал 40-50 приложения, поне 5 IM-a. Е, като пускам примерно ToolWiz едитора, го чакам по 3 секунди... но той е тежък и го пускам веднъж в годината.

Та освен камерата, която е на средно ниво, всичко друго си е Ок и работи идеално, gps, блутут, силни wifi и данни и т.н. Батерията да не говорим - изключително важна е за мен и зареждам средно веднъж на 4-5 дни и дори само от този факт съм изключително щастлив. По 9-10ч. SoT. Т.нар. флагмани, за да ги направят тънки и леки, им слагат смешни батерии, което за мен е deal-breaker както и да го погледна!

[ARPAnet]

Е къде сравни ел. подписите, а и те не идваха ли с абонамент?

За тоукън генераторите не трябва нищо специално като хардуер. Съответно ако се комбинира с bluetooth, че да го усеща компютъра като се прибилижи, може да се получи удобно решение. Все повече имат четци на пръстови отпечатъци които също могат да се използват. 

Хубавото е че фирми с голям юзър бейз започwат да ползват общ стандарт, което ще привлече повече производители на донгъли, което от своя страна ще свали още цените. 

 

За NFC, дори А3-чето ми го има, та не е като да е екстра която я има само в хай-енд телефоните.

[tedy]

Ако имаш предвид Galaxy A3, поне 2016 модела гледам, защото миналата година като купувах тел-а в началото, надали е имало 2017 модела.

Гледайки и цената: 450 лв за 1.5 РАМ и 16 ром , 2300 батерия (сериозно?!), SD410 4 ядрен на 1.5,  4.7" с ниска резолюция.... точно никога не бих си го взел, какъвто и ще супердуперамолед екран да има.

Пък и доколкото знам не е достатъчно просто да има NFC, а се иска и някаква поддръжка на нещо, но не съм запознат.

Аз затова казах, че NFC имаха някои тогава, но и нито един, който бих взел по другите смешни параметри.

Не съм писал, че само в хай-енд я има екстрата, а "в по-скъпите", вероятно имайки предвид по-скъпи от 400 (които изобщо си заслужават като основни параметри) .

 

За ел.подписите да, сравних, затова ги нарекох нещо като "леки" ел. подписи. Те не са ли подобни - вкарваш "флашка" с някакви криптографски данни, с които удостоверяваш, че си ти. В случая говорим по-скоро не за удоствоверяване, че си точно ти, а че точно този ключ се използва за автентициране, един вид паролата ти е на флашката, грубо казано.

То реално цената на самия донгъл надали ще е особена спирачка, ако не е обвързана с абонаментно поддържане, което да трябва да плащаш веднъж на 2-3-5г. примерно. За мен големият проблем е да се грижа да я нося постоянно със себе си. И това ако е единствен фактор. Ако има и парола...., честно казано аз бих предпочел да си ползвам само паролата и тогава, просто ще е силна. За важни акаунти като банки и т.н., и сега има надеждни мултифакторни варианти. Общ стандарт е Ок винаги да има, но аз лично не искам да ми се наложи да ползвам този метод като задължителен.

 

Проблемът на паролите е че повечето хора не искат да помнят повече от една и на по-маловажните сайтове ползват лесни пароли. Пробив в акаунт не става така лесно, както често се преекспонира. При сложна парола и ползване на password manager от някакъв вид, остава фишинга и другите човешки фактори, които са възможни и с другите средства.

 

Блутут комбинацията е опасна, подобно на RFID, ако става автоматично "усещането".

[ARPAnet]

Да, Галакси А3 е, просто пример за евтино телефонче което също има NFC. От тук нататък, всеки според личните си предпочитания си избира телефона. Аз имам NFC на телефоните ми от 4 години, та съвсем не виждам проблема

Подобно на ел.подписите е, но без абонамента  и без ограничението че те са безполезни извън БГ )

Сам по себе си донгъла не е особено интересен, вярно че добавя секюрити но не е 2 factor auth. Но наличие на донгъл + отпечатък, това вече е добро като комбинация. Може да е и донгъл + парола (но все пак искаме да не пишем пароли) 

Идеята поне за мен е екстра секюрити, а не директно улеснение. 

Проблема с паролите е когато излезне някое ДБ с пароли/мейли от някой хакнат който е имал глупостта да ги държи в плейн текст .. Съответно ползването на нещо подобно като секюрити може да помогне да не попадаме в такива ситуации

Разбира се има го момента с гийкването

[instinct]

Може да е и донгъл + парола (но все пак искаме да не пишем пароли) 

 

Има едно слабо място в тезата. И това е - "искаме да не пишем пароли". Нека допълня - искаме да не помним пароли, искаме да не смятаме сами, искаме да не помним таблицата за умножението, искаме да не караме колите си сами, искаме да не помним как се кара кола... сещаш се накъде вървят нещата, нали.

 

Има добри лодки, единици са, ама са на собственици разбирачи, от тия дето стоят в завода и следят някой да не ръгне платка там дето не и е мястото. И такива собственици си ги карат сами, за какво да ръсят хилядарка на ден? Масовото производство на лодки разчита на дрънкулки за да се продават. Като сьомгата, трябва да е лъскаво и да се мандахерца. И като налапаш куката, точно като и при сьомгата, ти излиза през зад.ика...

----

...заради факта, че на някои хора, ако компютърчето им угаси мотора, няма да се приберат в тях. И плащат през носа да нямат компютърчета. .

За да се разбере за какво говоря, има една тема "проблеми с морската електроника", тая ясно е описано къде е проблема.

-----

...слагаш електроника, ама така я слагаш, че да гледа и да казва, а не да мисли и да взема решенията вместо тебе.

Взимаш стар Перкинс, рециклираш го, и го слагаш в чисто нова лодка. На перки са му накичваш всякакви сензори- за колко харчи /на маркучите на нафтата/, температури, че и термокамера в машинното съм имал- много лесно го виждаш дали загрява.

На резервоарите, вместо компютърче да ми казва колко нафта имам, се слагат 2 крана, един на дъното, един в горния край, свързват се с прозрачен маркуч, маркуча се маркира. Или така я правиш, че да можеш да бръкнеш с дръжката на метлата и да видиш нивото в резервоара. И на дъното на резервоара има канела за да точиш по чаша след като си заредил с нова нафта /текне ли вода, ритай бензинджията/.

Контрола върху мотора и трансмисията се извършва с кабели а не с компютърчета.

Всичко силово се бута с хидравлика и се оправлява с лостове а не с компютърчета.

Вратите са механични, нямат компютри, кенефите, и те...

Горе на мостика редиш каквато електроника искаш, ама да е несвързано едно с друго, от датчиците та до електрическото захранване. Шалтерите стари, Сименс или Бош...

Тия горните неща ще ги направят само поръчково, и ше бъде поръчано само от човек дето много ги разбира нещата. Напредъка в технологиите го ползват за шарена блесна, е, не всеки е шаран /знам бе, шаран на блесна.../.

[tedy]

Аз лично нямам скрупули да ползвам нещо, в което виждам смисъл и удобство. Не съм краен по отношение на за/против нещо в областта на технологиите (пък и която и да е).

В този смисъл не споделям напълно сравненията на instinct от горе. Много неща са навлезли в ежедневието, които наистина са полезни и като цяло не са за моя мозък да се грижи за тези неща. Не и в такава крайност. Примерно това че компютрите могат да смятат милиарди пъти по-бързо и точно от моя мозък не означава, че трябва всичко да смятам наум или на лист с таблицата за умножение.

Колите... ако имаше перфектен AI да го прави вместо мен, не бих имал много против да не рискувам аз да карам ако мога да се наслаждавам на гледката и да не рискувам да се блъсна в някой друг идиот на пътя. Това скоро няма да стане, затова бих по-скоро се радвал на кола някак без скоростен лост, или по-точно не и автоматична скоростна кутия, а тия изцяло безстепенните кутии, или направо електромобил, да не дишам отвратителните пушеци на сегашните ужасии по улиците. Електромобилът ще се кара и по-лесно, по-малко поддръжка... Ся, някои ще кажат друго си е да усещаш лоста в ръката и да сменяш като побъркан скорости... :Р ..

 

Проблемът е, че има и много направления, където наистина се прекалява и може да будят притеснения.

 

ARPAnet, за отпечатъка и донгъла вече го казах като главни негативи - да нося донгъла с мен, а той + отпечатъка, могат лесно да се ползват дори докато спя! Това за мен е изключителен недостатък.

Това с лийкването на пароли, пазени в plain text, е някакъв довод, но недостатъчно валиден като причина да махнем паролите. Според мен. Не се сещам да са много подобни инциденти, особено с някакви общоизвестни и големи системи и услуги, да пазят в plain text, а някакви "квартални" сайтчета, писани от начинаещи надали си заслужава да се коментират.

Паролите имат два проблем за мен. Първия е ясен, а втория е когато се пишат на машини/OS, които може да са компрометирани някак, или просто нямам сигурност дали са Ок и нямат някой кейлогер.

[instinct]

Тedy, ние може да си позволим да нямаме скрупули какво ползваме, защото сме израснали във време, което ни е научило да се оправяме и без АИ. Сигурен съм обаче, че с тоя темп вече има хора, дето (образно казано) и връзките на обувките си не могат сами да завържат, без телефона си, понеже просто никъде не са имали нужната практика.

 

Е последно се сещам официална новина от щатската армия - имало нужда от въвеждане на обучение на персонала/войниците как да ползват обикновени карта, компас и други такива "архаични" пособия за ориентиране, придвижване, задаване на координати. Свикнали били с gps и подобните благини сега, разбираш ли, и наистина си вярват, че навсякъде и винаги ще ги има. Та горе долу в тази посока се движат работите и не случайно кои бяха там от големите собственици на IT компании, стив джобс ли беше, не дават на децата си да ползват таблети и телефони по цял ден. Вместо това - марш навън сред природата и с приятелите... та така, те ли не знаят как и в какво да си възпитават поколението...

[tedy]

instinct, е, този (такъв) казус стои винаги още от зората на индустриализацията и компютризацията на обществата . Не е само отсега. Всяко нововъведение, което цели улесняване на живота и "напредъка" е свързано с нещо, което залинява като умение в хората, и което вече се върши от машини или други такива автоматизации.

Същото е и с морзовата азбука, и с картите и пергела както ти даваш пример и мнооого други. Това е директно следствие от "напредъка" в технологии и т.н. - нали затова въвеждаме GPS и други технологии, не ние с хартиените карти да се грижим за всичко и за управлението на един кораб или подводница вместо 10 души, да са нужни 500 различни по вид "стари" специалисти. Ясно е, че ако изведнъж изчезне електрониката, сателитите и т.н., много хора просто ще измрат от незнание как да се справят в суровата действителност само с лист хартия, но....

Друг краен пример - ако всички още пишехме на асемблер, докъде щяхме да стигнем? Аамаха, ще се глезят с high-level езици за програмиране и един ред, написан за 10 секунди да прави повече отколкото 1000 реда преди писани за 2-3 часа...

 

Не съм много сигурен обаче къде точно е баланса между двете крайности.

[instinct]

По въпроса за асемблера мога да направя предположение - щяхме да имаме само една добре написана, оптимизирана  и направена както трябва ОС, плюс базов интернет и телефони, и видеовръзка, които щяха да работят отлично и нямаше да се ъпдейтват за щяло и нещяло заради изгъзиците на някой дизайнер. И в интернета налично само това, от което наистина има нужда, и то поднесено по най-удобния и минималистичен начин за ползване без да се губят ресурси за следене, реклами и подобни нововъведения, дошли с високите езици . А да - и никакви игри за губене на времето ни

[tedy]

Макар по принцип прекрасно да знам за какво говориш, както и лекия патос по отношение на бъгавостта и тромавостта на днешния софтуер и досадата от реклами и т.н., смея да се осмеля да кажа, че все пак именно тези корпорации, разчитащи на реклами и постоянни промени в дизайн и софтуер, движат всичко това, което иначе нямаше кое да го движи за което говориш - видео конференции, OS и т.н. Всичко струва пари, и колкото и да съм съгласен, че всичко се изражда с времето до безобразни нива и сега един IM софт е 100 пъти по-голям и повече памет гълта отколкото преди, това беше просто неизбежно. Всичко останало е утопия за един идеален свят.

Според мен. Колкото и да съм несъгласен с много от "решенията" за софтуер, хардуер и т.н. Някои софтуери, даже май повечето, все пак се движат в common sense и остават все пак така. Изключвам политическите решения за някои софтери като Windows OS, разни неща по андроид и т.н., както и насилствените ъпдейти и т.н.

[ARPAnet]

Всъщност имаше доста издънки с откраднати акаунти и пароли, включително и от компании като Яхуу Доста уебове започнаха да предупреждават юзърите си, че мейла/паролата са им лийкнати и е добре да направят нещо

Теди ако някой влезне у вас за да краде данни, най-малкият ти проблем е, че можел да ползва палеца ти докато спиш . Къде намеси физикал секюрити при продукт който определено не се пробва да разреши този проблем? Хвърляш рандом неща

 

Инстинкте - Писането на асемблер не е достатъчно само по себе ди за един продукт да бъде добър. Помненето на пароли и то не е достатъчно за да имаш добро секюрити.

[tedy]

Имаше, но не бих казал доста . Но дори тези инциденти в повечето случаи е било нещо друго, а не просто откраднати пароли (хешовете им). Ако са откраднали хешове, то затова се прави, само с тях не могат нищо да направят.

Ако пазят в плаин текст, явно това е някакво нетехническо решение да е така, и дори да не са пароли, ще е нещо друго "политическо" пак в подобен дух.

 

Ако някой влезе у нас да краде данни, ще открадне данни . Ако имам сървър със сайт, ще открадне хешовете на паролите, тва е.

А да, ти визираш като клиент с "новия" метод за автентикация .. не хвърлям рандом неща, нещо не сме се разбрали. Какви данни ще краде да влиза в нас?! Нали говорим за отпечатъка, както и "флашка" с криптографските данни. Докато спя, всичко що е физическо отвън мозъка ми, може да се "използва". Паролата изисква малко повече, защото изисква повече мъчения да ме накарат да говоря . А определено насън не говоря, камо ли пароли.

Относно как "новият" продукт не се опитва да разреши проблема, за който говорим в темата... той се опитва да разреши един проблем (да не помним и пишем пароли и да не ползваме прости такива), но създава друг такъв - физикал секюритито . Е затова намесих всичко, за което се сетих, защото то не е само цветя и рози.

 

За асемблера, да, не е гаранция, даже хай-левъл езиците подобриха качеството, сигурността и намаляват бъговете. За сметка на по-голямата тромавост и изисквания за памет, ресурси и т.н. Нали не си представяме изключително сложна система като OS или доста големи програми какви биха били ако бяха писани на асемблер, да не говорим дали някога щяха да бъдат завършени.

[ARPAnet]

Теди, как смяташ, всички ли си държат дисковете криптирани и са с паролите на логините си, на boot loader-а си ...? Защото когато опрем до физическият достъп до машината, паролата не е единственото което ти трябва за да се опазиш.

И докато за достъп до онлайн ресурси е достатъчно да ти откраднат паролата, то влизането вкъщи е нещо съвсем различно като изпълнение.Съответно колкото и да се опитваш да спориш, такъв тип аутентикация подобрява секюритито . Никой и не твърди, че това е панацея, а че е по-добро от паролка. Та ти пробваш да спориш с ползите от 2FA в момента ..

Яхуу лийкнаха към 3 милиарда акаунта, Плейстейшън нетуърк хака и той беше доста сериозен ...

[The AnGeL]

tedy, като откраднат хешовете, смятай, че са откраднали и паролите в много голям процент от случаите. До момента, най-често срещаният от мен начин за запазване на пароли, е sha-1 hash, който се brute force-ва. По-сигурни са системите, които ползват алгоритми като bcrypt, които включват достатъчно добър вграден salt.

Не съм сигурен защо всички решихте, че едно такова устройство ако се открадне, то всичко приключва моментално. Дори днес всички крипто тоукъни изискват парола от потребителя. Разликата е, че с крипто тоукън, на сървъра не трябва да се пази тайната ти информация и реално трябва да знаеш само една парола.

[tedy]

ARPAnet, влизането у дома при мен (като клиент на онлайн сървизи) не влизаше в темата като казус. Естествено че ако влязат у нас могат в браузъра да намерят запаметени пароли и др. Ще намерят обаче само на маловажните акаунти . Всичко останало (банки, epay...) не запазвам паролите, а се въвеждат през password manager апп.

Съответно никой не твърди или спори, че "такъв тип аутентикация" не подобрява секюритито Когато е в допълнение към парола (като тя е задължителен атрибут към всичко), а че АКО е само по този начин, секюритито даже се влошава многократно. Ама то нали... понеже стана дума че с "новия" начин няма да помним и пишем пароли... нали това беше есенцията на темата и тази 'нова' технология ..

 

Съгласявам се, че ако се лийкнат милиарди акаунти, защитени с нещо като MD5/SHA1, е проблем, макар че все пак е повече от никаква защита и специално SHA1 все пак ще изисква някакви ресурси ако някой прояви интерес към някого... и надали някой ще тръгне да разбива милиарди или милиони пароли на всеки сульо..

Всички важни акаунти и системи според мен отдавна ползват или нещо като bcrypt, и/или мултифактор. Ся... яху... кой нормален ползва поща там , камо ли за важна работа. С всички тия реклами, а до последно доколкото знам дали имаха и безплатен IMAP..

Всеки нормален ползва поне gmail, а бг извращения като (e)mail.bg ili abv не ща да ги коментирам, второто масово се ползва, което за мен си остава загадка какъв народ се доверява на подобно нещо.

 

The AnGeL, за паролите да, но които изискват такава. Както писах горе, нали целта на занятието с това от темата беше да не се помнят и пишат пароли...

[instinct]

Понеже става въпрос за пароли - никакъв проблем за такива малки обеми информация да се създаде/приложи не sha 1, ами sha 1001. Ще го брутфорснат хеша на куково лято. Отделно никой не е отменил добрите практики за периодична смяна на паролата.

 

А за асемблера (който го използвам като пример на затрудняване на работата и с това автоматично въвеждане на подбор и "елитарност "при програмистите) - аз съм забелязал - когато да се свърши нещо е трудно и сложно, всеки от екипа гледа да изпипа оптимално нещата, и с поглед за години напред в бъдещето всичко да е направено съвместимо и надеждно, а не като сега. Стане ли дадена технология масова, започва едно повсеместно сваляне на нивото.

[tedy]

Понеже става въпрос за пароли - никакъв проблем за такива малки обеми информация да се създаде/приложи не sha 1, ами sha 1001. Ще го брутфорснат хеша на куково лято. Отделно никой не е отменил добрите практики за периодична смяна на паролата.

 

А за асемблера (който го използвам като пример на затрудняване на работата и с това автоматично въвеждане на подбор и "елитарност "при програмистите) - аз съм забелязал - когато да се свърши нещо е трудно и сложно, всеки от екипа гледа да изпипа оптимално нещата, и с поглед за години напред в бъдещето всичко да е направено съвместимо и надеждно, а не като сега. Стане ли дадена технология масова, започва едно повсеместно сваляне на нивото.

Мда, всичко е много хубаво, но лошото е, че то е като законите у нас - има някакви, и само ако се спазваха....

Проблемът според мен са наследените системи. При нормално създаване на система от много години насам, не виждам логика някой да ползва MD5/SHA1 тепърва вместо еднаквите като сложност за имплементиране други методи.

При наследените системи, които са започнали примерно с SHA1, паролите не се знаят какви са, и не е толкова лесно да накараш милиони потребители да си сменят паролите, за да се запаметят с по-силни хешове. Можеш да изкараш съобщения, че който иска по-сигурен акаунт, да си смени паролата, с което ще се обнови и хеша. Останалите си остават с SHA1 в случая.

Т.е. дали ще е парола или флашка, винаги има опасност от некадърно имплементиране на системите за сигурност и достъп. Аз без парола не бих се чувствал никак сигурно ако ще трябва да се разчита на каквито и да са само 'външни' методи като отпечатъци, флашки и т.н.