Құпия сөз күшінің, құпия сөздің құпия сөздерінің немесе пароль саясатын мүлдем нашар деген не?

Жақында мен келесі скриншотты «қате пароль саясатын» сипаттайтын Twitter сайтында көрдім:

bad password policy

Мен құпия сөздің күшінің нашар болуын сұраймын. Пароль саясатын мүлдем жоқ немесе пароль саясатын нашар (скриншотта сипатталғандай)?

74
Пікірлер кеңейтілген талқылау үшін емес; бұл әңгіме сөйлесуге көшті .
қосылды автор Rory Alsop, көзі

10 жауаптар

Сұрақ: не үшін нашар?

Сіз жіберген саясатқа сәйкес, ықтимал құпия сөздер кемінде 64⁸ (~ 2.8 * 10¹⁴). Іс жүзінде өте көп құпия сөздер [a-z] * 6 [0-9] [арнайы char] (мысалы, aabaab1!) Және ұқсас құпия сөздер болуы мүмкін.

Бірдей таңбалармен және 8-ден аз ұзындықтағы барлық парольдер тек қана 64 × 64 × + 64 * + ... болып табылады, бұл ~ 4,5 * 10¹². Ұзындығы 8 парольден әлдеқайда аз, сондықтан оларға рұқсат беру үшін қауіпсіздік көп емес. (ұзағырақ парольдер қауіпсіздікті көбіне арттырады)

Саясатсыз көптеген адамдар жаман құпия сөздерді пайдаланады. Бірақ шабуылдаушы бұл туралы сенімді емес. Сондай-ақ, кейбір адамдар жақсы парольдерді пайдаланады.

Саясатсыз, шабуылдаушы құпия сөзді бұзудың қаншалықты қиын екенін ешқашан біле алмайды. Егер сіз маған парольді хэштердің DB-ін берсеңіз, мен оны бұзуға тырысқан болар едім. Бірақ ешқандай нәтиже болмаса, біраз уақыттан кейін тоқтай аламын. Саясат орнына 64 ^ 8 әрекеттен кейін барлық парольдердің бар екеніне сенімдімін.

Мен құпия сөздің жаман саясатын нашарлайтынын айттым. Бірақ бұл шабуыл сценарийіне байланысты.

Құпия сөз саясатынсыз парольді хэштердің қоқысымен кез келген парольді жарату оңайырақ, бірақ құпиясөздердің көпшілігін жарамайды. Берілген сияқты жаман саясатпен, барлық құпия сөздерді жарамсыз ету оңай, бірақ біріншісін біршама қиындатады, ең алдымен.

Егер сіз өзіңіздің құпия сөзіңізді бұзудың қаншалықты қиын екендігін білсеңіз, кез-келген саясатсыз, сіз қаласаңыз, қауіпсіз 20 форматты кездейсоқ құпия сөзді пайдалана аласыз. Саясаттың орнына, сіз құпия сөзді қауіпсіз пайдалануға тырысасыз. (іс жүзінде, парольдер қалай сақталады және т.б.), бірақ бұл жерде қолданылмайды. Мәселен, веб-сайт/сервис пайдаланушысы ретінде, пароль саясатын бұзу әлдеқайда нашар.

Егер сіз оны ұйымдық тұрғыдан қарасаңыз, пароль саясатын дұрыс жасау ешкімге қарағанда жаман.

Ешқандай құпиясөз саясаты деген сөз емес, оны ешкім ойлаған жоқ (олар қауіпсіздік туралы ойлаған жоқ, бірақ жақсы ...)

Бірақ жаман пароль саясатын білдіреді: Біреу бұл туралы ойлады және бұл шерге келді. Бұл дегеніміз, олар қауіпсіздік туралы ештеңе білмейді.

Ақырында, құпиясөз саясатын іске асыра алатын болсаңыз, жаман код саясатын ешқашан ақтауға болмайды. Саясатты «Парольдің кемінде 8 таңбадан тұруы керек» деп өзгерту қауіпсіздікті арттырады және оны орындау қиын емес.

97
қосылды
Пікірлер кеңейтілген талқылау үшін емес; бұл әңгіме сөйлесуге көшті .
қосылды автор Rory Alsop, көзі
Чат тарихын көру мүмкін емес
қосылды автор Stuart Grimshaw, көзі

Енді құпия сөздің күшінің нашар болуын сұраймын.

пароль саясатынсыз немесе суреттегі сияқты парольді парольмен саясатсыз ба?

Сіз көрсеткен құпия сөздің күшіне қойылатын талаптар қарағанда жақсы зиянды , әсіресе ең көп ұзындықты жасаңыз.

  1. Олар өте ескі, қауіпті хэштерді қолдануы мүмкін. (осылайша максималды ұзындығы)
  2. Кейбір аймақтарда қауіпсіздікті қамтамасыз ету ыңғайлы (кәдімгі мәтінде құпия сөзді ұсынғанда бос орын жоқ сондықтан кейіптеуді құлыптауға қолдау көрсету қоңыраулары жоқ)
  3. Басқа элементтер жай ғана қарапайым.

Толық ажырату

Сіздің құпия сөзіңіз:

     
      
  • Толық сегіз таңбадан тұрыңыз
  •   

Мен мұны ақылға қонымды шешім ретінде көре аламын, егер жүйе алғашқы 8 таңбаны ғана емес, бәрін қысқартатын бұрынғы хэш схемасын іске қосқан кезде.

For example, Solaris 10 user account passwords used such a scheme by default, so passwords like [email protected] were truncated to password!!! The default for Solaris 11 does not have this shortcoming.

Бұл жағдайда

  1. Әзірлеушілер 8-ден асқан құпия сөз ұзақтығын қолдайтын жақсы хэштерге көшіру бойынша жұмыс істеуі керек.

  2. Егер мұндай түзету алынып тасталмаса, максималды ұзындығы дұрыс.

Кез-келген басқа жағдайда, ол қысқа ең ұзақ ұзындыққа ие болатын ақымақ нәрсе еді.

      
  • Кемінде бір әріп пен бір санды қосыңыз.

  •   
  • Келесі жиыннан кемінде бір ерекше таңба қосыңыз: ...

  •   

Бұл олардың қысқа ең көп ұзақтығын ескеру керек. Сіз қысқа пароль пайдаланылғанда энтропияны көбейту үшін осындай қарапайым әдістерді қолдану қажеттігін түсінуіңізге сенімдімін.

      
  • Ескерту: құпия сөз регистрді ескермейді.
  •   

While this may be convenient for the user (don't worry about caps-lock), it is never recommended as it always decreases the entropy of the password. Бұл жағдайда it is even more highly discouraged due to the presence of a maximum length of 8 characters.

Бұл , бірақ күйінде тұруы керек, себебі олар қазірдің өзінде қиындықтар тудырады, себебі қолданыстағы пайдаланушылар қауіпсіздіктің бұзылуына үйренді!

Бос орындар жоқ

Мұны тек қарапайым мәтінде құпия сөзбен ұсынған жағдайда ғана көремін. (яғни құпия сөзді ұмытып, немесе техникалық қолдауды іздеу) Көптеген стандарттар бойынша кедей (қауіпсіз емес) бағдарламалық жасақтама.

Жақсы саясат - бұл іздеуді тыйым салу және оны өзгертуге мүмкіндік беру. Шын мәнінде, өзіңіздің негізгі дизайныңыздың бөлігі ретінде іздестіруге тыйым салатын BCrypt секілді Strong (Slow) Password Hash пайдалану ұсынылады.

  • Not start with ? or !

Парольді энтропияның маңызды өлтірушісі емес, өте қызықты.

      
  • Бірдей үш таңбадан басталмаған
  •   

Мех, мен бұл туралы тым алаңдаушылық емеспін, бірақ олар неге басында ғана қарайтынына таңғаламын. 8 бірдей/көршілес таңбалар, кез келген жерде 8 парфюттік пароль әлдеқайда әлсіз.

      
  • Құпия сөз алдыңғы 5 құпия сөзіңізге сәйкес болуы керек.
  •   

Мүмкін, осы мәселе бойынша арнайы Security Stack Exchange мәселесі бар. Бұл онлайн-банкинг және басқа да аутентификация жүйелерінің кең таралған тәжірибесі.

Менің ойымша, бұл міндетті түрде парольді жоспарлы ауыстыруымен қатар жүреді. Ықтимал нәтижелер:

  • Пайдаланушылар өз жадыларын емес, паролін жазады,
  • Немесе пайдаланушылар қарапайым үлгіні таңдайды.

Алайда, егер парольді ауыстыру міндетті емес болса, онда жалғыз мәселе

  • Пайдаланылмаған құпия сөздердің хэш мәнін жұмыспен салыстыру үшін жалғастыру керек.

ал бұл өте маңызды мәселе емес, ол туралы ойлану керек.

39
қосылды
Пікірлер кеңейтілген талқылау үшін емес; бұл әңгіме сөйлесуге көшті .
қосылды автор Rory Alsop, көзі

Мұндай жаман саясат біреуден де жаман емес.

Бұл саясат, әдетте, '123' пайдаланатын адамдар енді біраз қауіпсіз құпия сөзге ие болады, бірақ ол әлсіз. Бұл сондай-ақ, 'fzFEZ # 5 $ 3rt4564ezezRTyht' (кездейсоқ туындаған) немесе жай: 'jet j_umps қоңыр бояу қабырға412 (күшті энтропия) арқылы пайдаланатын адамдар енді әлдеқайда әлсіз құпия сөзге ие болады дегенді білдіреді.

Әлсіз құпия сөздерді қолданатын адамдар бұл жағдайда да бұзылады (бұл шектеуіш және әлсіз саясат, ал шабуылдаушы арнайы шабуыл ережелерін белгілей алады). Бірақ әдетте адамдар күшті парольдерді қолданатын болады.

Басқаша айтқанда, бұл әлдеқайда қауіпсіз. Саясатсыз әлсіз құпия сөздерді пайдаланатын адамдар ғана осал болады; енді бәрі осал.

15
қосылды

Менің ойымша, ешкімнің болмауы жақсы емес Себептер тізімі:

  • These policies make people tend to write down there passwords and stick them to the monitors or alike. (what security does a password than supply?)
  • These rules are easily deduced and (by using these type of boxes) even announced to any potential intruder. (Like lets give the person we want to keep out the 'rules' of how our passwords are so they only have to do a limited set...)
  • The entropy of a password significantly improves by making them longer. 8 is in these days trivial enough that an attack could use a mobile device to brute-force a password.
  • the rule to mix cases and not check for them suggest that the password is stared in a plain text form (even if the storage is encrypted, most of the time the encryption key is stored with the data which effectively means there stored in clear text).
  • For most applications a different schema would allow for far greater security without requiring a password at all, like:
    • 2 Factor authentication.
    • Secondary device authentication.
    • Smart card authentication.

Бұл саясатты құпия сөздің сіздің жүйеңізге қалай әсер ететінін толық түсінбеген адам ойлайды. керісінше, олар қандай да бір себептермен «барлық қораптарды» белгілейді.

бұл олардың не себепті жасағанына нақты себеп болуы мүмкін. кейбір аттестациялар мен пайдаланулардың кейбірі оларды жүзеге асыруды талап етеді (денсаулық сақтау секторында немесе кейбір үкіметте пайдалану керек).

6
қосылды
Мониторыңызда бірдеңе жариялау қажет болса: Тек сіз білесіз және кездейсоқ ретпен есте сақтаған нәрседен құпия сөз жасаңыз. Мониторыңызда кездейсоқ ретпен жариялау. Сыртта хакерлер ескертуді көре алмайды. Сізге оңай есте сақтайтын бөлігін анықтай алатын хакерлер жоқ деп үміттенеміз. Бұл жақсы шешім емес, бірақ сіздің әріптестеріңіз үшін толық құпия сөзіңізден әлдеқайда жақсы.
қосылды автор gnasher729, көзі
Бұл жаман кеңес. EVER құпия сөздерін жазудың қажеті жоқ. Егер сіз оларды жазған болсаңыз, оларды пайдаланылған машинада сақтамаңыз. (экраннан кейінгідей). Сыртқы хакерлер мен ішкі хакерлердің арасындағы айырмашылық жоқ, ал әлеуметтік инжиниринг парольдерді алудың қолайлы тәсілі болып табылады (ол аз із қалдырады)
қосылды автор LvB, көзі

Ешбірінде көрсетілмегеннен жақсы емес, әсіресе, 8 шегі бар.

Барлық 8 шабыс комбинациясы Титан-отбасы GPU және Джон Риппер арқылы екінші секундта сынақтан өтуге болады. Барлық пароль саясаттары зиянды (ең аз ұзындығы жақсы, бір + айрықша крек әліпбиіне, сөздік сөздіктерге және т.б.) күшті болып табылмайды, бірақ көрсетілгендей, бұл әзіл емес. Шындығында, иә, бұл ештеңеден де жаман, себебі парольдерді басқарушыларға немесе смарт қолданушыларға әдепкі саясатқа қарағанда өздерін жақсы қорғауға мүмкіндік бермейді.

Саясат ешқашан жақсы құпиясөздерді тоқтатпауы керек, тек қорқынышты ғана.

4
қосылды
Титан-отбасы GPU? Мен бүгінгі күні жаңа 14/16нм GPU-ді ескере отырып, сізге қажет. $ 200 Radeon RX 480 (5,8 GFLOPS!) Парольдерді ештеңе секілді жоя алмайды.
қосылды автор user24446, көзі
Арнайы кейіпкерді талап ету әлдеқайда үлкенірек алфавитке мәжбүр емес: нақты әлемде дәл бір ерекше кейіпкер болады және бұл әрдайым құпия сөздің соңына келеді (кейде ол басында келеді). Сонымен қатар, нақты әлемде бұл символ әдетте '!', Ал қалғандары «@ @ $% & *» - таңдалады, бұл іс жүзінде әліпбидің өлшемін азайтады, себебі шабуылшы соңғы кейіпкердің сегіз нұсқасы бар екенін біледі.
қосылды автор user37496, көзі

Құпия сөздің күшінің нашарлауы, парольді пароль саясаты немесе құпия сөз саясаты мүлде нашар?

Бұл кедей пароль саясатының не екеніне байланысты.

  • «Сіздің құпия сөзіңіз» letmein «болуы керек - бұл ешкімнің саясаты жоқ қарағанда әлдеқайда нашар пароль саясатынан, өйткені ол ешкімге жақсы парольге жол бермейді.

  • «Құпия сөзіңіз кем дегенде екі таңбадан тұруы керек» - пароль саясатынан әлдеқайда жақсы, өйткені ол кез келген адамға жақсы пароль пайдалануға және кейбір құпия сөздерді болдырмауға мүмкіндік береді.

    >
3
қосылды

Қазірдің өзінде бірқатар жақсы жауаптар бар, бірақ мен әрдайым осы сәтте басқа көзқараспен қарағым келеді. Құпиясөзді бұзу әрекеттеріне қандай да бір әсер ететінін қарастырған кезде, олар қалай жасалатыны туралы айтуға тура келеді. Негізінен, бұл екі тәсілмен қайнайды. Күшті күш пен «ақылды» деп болжап отырған бұл екі адамға қарап тұру керек.

1) Күшті күш.

Бұл дәл осылай естіледі. Олар кез-келген құпия сөзді қолдануға тырысады. Бұл 4 саннан тұратын сандық құлыпта 0000-ден 9999-ға дейін әрбір пинді классикалық түрде жұмыс істейді. Мұнда негізгі факторлар - ықтимал парольдердің саны және әр болжамды көру үшін қанша уақыт қажет. Мұнда пароль ережесі керемет болуы мүмкін және 8 сандық талапқа байланысты жарамды нұсқа ретінде күшті күшті толығымен жояды. Егер әлсіз әлсіз хэш пайдаланылса және жеткілікті ресурстармен шабуылдаушыға барынша ақылға қонымды уақыт ішінде жарамсыз болатынына кепілдік берсе, ол толықтай апатты болуы мүмкін.

Бұл жағдайда ережелерді ескере отырып, артқы жағында өте қартайған нәрсені ұсынуға болады, егер мүмкін болса, пароль MD5 немесе SHA1 секілді әлсіз әлдеқайда әлсіз болса, және, мүмкін, тұзды емес және ережелер апатты болуы мүмкін. Бірінші кезекте мүмкін ұзындықты азайтатын, бірақ кейіпкерге сезімтал емес, ол 30% -ға азайтады. Қазіргі уақытта оларда 26 таңбадан тұратын + 10 сандар + 28 таңба, 64 әртүрлі құпия сөз үшін. Олар регистрді ескеретін болса, 90 таңбадан тұруы керек еді.

Кейбір жылдам іздестіруге негізделгендей, біз шабуылдаушы жеткілікті мөлшерде ресурстарды пайдаланса және сол әлсіз хэштердің біреуін қолданатын болсақ, бұл ережелер шынымен апатты болып көрінеді және енді олар енді жоқ болса Жақын болашақта апатты болып қалу қаупі ескіру қабілеті крекинг жылдамдығын арттырады. 8 таңбадан асатын құпия сөздің қауіпсіз болуы талап етілуі мүмкін, бірақ олар оған рұқсат бермейді.

Бұл ма? барлық 8 таңбалы құпия сөздерді оффлайн шабуылда күшіне салуға болады?

2) «Интеллектуалды» болжау

Бір кездері күшті күш әдісі тиімді емес, барлық құпия сөздерді тексеру үшін бірнеше ай қажет болады, немесе мүмкін емес, олардың барлығын сынау үшін мыңжылдық қажет болады, ал «ақылды» болжауды алады. Мұнда сөздіктің шабуылын, сөздік сөздіктерден немесе бұрын пайдаланылған құпия сөздердің тізімдерін және ережелерге негізделген шабуылдарды көресіз. Ережелерге негізделген шабуылдар сөздікті қабылдайды және сол құпия сөздердің әртүрлі нұсқаларын жасау үшін заттарды қосуға немесе өзгертуге кіріседі. Құпия сөз талаптарын қанағаттандыратын 8 санды пароль алу үшін алты әріптік сөздің соңына санды және бір ерекше таңба қосу. Құпия сөзді p @ ssw0rd-ге енгізіп, бұл жүйеде жарамды, бірақ тез бұзылған пароль және т.б. болатын паролді «leet» жасау. Бұл ережелер сіз ойлай алатындай, армандай алатын кез келген нәрсе болуы мүмкін адамдар бұрынғы өткен ағымдардың негізінде парольдерді қалай қабылдайтынын біледі.

Осы сәтте алынған крекингтерді қабылдайтын болсақ, олар берген пароль ережелері шабуылдаушы мүмкін құпия сөзді генерациялау үшін қолданылатын ережелерге енгізілген еді. Мұнда олардың ережелері апаттық емес, бірақ әлдеқайда жарамды құпия сөздерге әкелуі мүмкін, осылайша, крекингті жылдамдатады. Сондай-ақ, құпия сөздің басына/соңына қосылатын таңбалармен/сандармен немесе өте болжанатын ауыстыру бөлігі ретінде өте болжанатын кейбір құпия сөздерге әкелуі мүмкін.

1
қосылды

Бұл шын мәнінде соңғы пайдаланушысына түседі. Егер сіз компанияның/веб-сайт ретінде қаралса, біреудің есептік жазбасы бұзылған жағдайда, парольді құпияландыру саясатын тоқтату керек, кем дегенде, шектеулі.

Мен әлсіз құпия сөздер сияқты нәрселердің салдарын түсіну үшін пайдаланушы өз қауіпсіздігіне жауапты болу керек деп ойладым.

Әрине, бұл соңғы бөлік кілт болып табылады, егер пайдаланушы жақсы білмейтін болса, сіз оларды пайдаланғысы келетіндерден гөрі қауіпсіз құпия сөзге мәжбүрлеу керек. Бірақ құпиясөз саясаты тек сенімді кодтарды көтермелеп, құпия сөз күшін шектемеуі керек, себебі мысал суреттейді.

Мен өзімнің университеттерімнің вебсайтымен жеке айналдым. Менің әліпбилік-сандық парольім үлкен құпиялылық саясатын қанағаттандырмады, бұл кейбір (бірақ әрқайсысы емес: /) арнайы таңбаларды жоққа шығарады. Нәтиже әлдеқайда әлсіз пароль болды, өйткені мені есте сақтауға әдейі емес құпия сөзді есте сақтау қиын болды.

Әсіресе, бұл жағдайда «пароль саясатын» қауіпсіздікті қамтамасыз етудің заңды жолына қарағанда, борттың үстіне қандай да бір жолды талдау/санитариядан аулақ болу үшін көп себеп болатынына күмәнданамын.

Ақырында, пароль саясаттары іске асырылса, уақыт өте келе өзгеруі керек. Яғни, 1990-шы жылдардағы қауіпсіз құпия сөз деп саналатын, орташа тұтынушы бұлттық есептеулерді немесе GPU кластерлерін пайдаланып, парольдеріңізде компьютерлік қуатты үлкен және үнемі өсіруге болатын кезде, енді 2016 жылы болмайды.

0
қосылды

Мен әлі күнге дейін басқа жауаптардан басқа жолға барамын ... және бір сәтте бұл маңызды емес дейді. Парольдің ережелерінен әлдеқайда көп FAR алгоритмі Мысалы, ROT13, қорқынышты, иә Немесе MD5 пайдалануды біршама жақсартыңыз Немесе жақсы SHA-1 Сонда олар тұз қосады Мүмкін crypt() қолдануға болады Мүмкін, бұрыш қосыңыз Дегенмен, GPGUP секунд ішінде миллиардтаған парольді хэштер арқылы өртеуге болады. Сонымен, тағы қандай? SHA-2-512 128 бит тұзымен. Өте жақсы, бірақ GPGPU көп нәрсені жасай алады Bcrypt-ге өзгертіңіз. Өте жақсы. Енді біз бірыңғай ГПГПУ-ны олардың барлығын жылдам күйдіруі мүмкін нүктеден өтіп жатырмыз PBKDF2, толық тұз және бұрыш және 10 000 раунға ауысыңыз Шифрлау үшін, ал енді өте қысқа пароль - «мүмкін емес», себебі алгоритм өте баяу.

Міне, table :

    Tries/sec
NTLM    350,000,000,000  
MD5     180,000,000,000  
SHA1     63,000,000,000  
SHA512Crypt     364,000  
Bcrypt           71,000    

Мәселен, bcrypt-пен бірге бүлінген пароль жақсы MD5-ді алғаннан гөрі жақсы.

0
қосылды

Егер пайдаланушылар парольдерді кездейсоқ таңдайтын болса, онда пароль саясаттары мүмкін құпия сөздерді таңдауды шектеу арқылы қауіпсіздікті нашарлатады, бірақ пайдаланушылар құпия сөздерді кездейсоқ таңдамайды. Жақсы құпиясөз саясатының мақсаты - пайдаланушыны қосымша таңдау жасауға талпындыру және парольдік кеңістікті тиісінше шектеместен күшті парольді таңдау.

Бұл саясат жақсы және жаман аспектілерге ие.

ұзындығы 8 таңбадан аспауы керек

Ең аз ұзындық жақсы, ең көп лента жаман.

Кемінде бір әріп пен кем дегенде бір нөмірді қосыңыз.

Бұл жақсы, ол пайдаланушыларға хат-негізді компонент ретінде де, санға негізделген компонентті таңдауға да мәжбүр етеді.

Құпия сөз регистрді ескермейді.

Бұл құпия сөздің едәуір мөлшерін азайтады. Екінші жағынан, көптеген адамдар бас әріптерді қолданбайтындығы және оларды қолданған кезде, оларды болжамды тәсілдермен жасауға тырысады.

Кемінде бір ерекше таңба қосу

Тағы да жақсы, ол парольді жасаушыны басқа таңдау жасауға мәжбүр етеді.

Тыйым салынған кеңістік және ережелер? және !

Мен бұған үлкен өзгерістер жасайтынына күмәнданамын.

басында қайталанатын таңбаларды

тыйым салынады

Жақсы нәрсе, пайдаланушы парольді тек бір әріп қайталаумен толтыра алмайды дегенді білдіреді.

Жалпы айтқанда, сізде клюцей пайдаланушылар болса, бұл саясат ешқандай қарағанда жақсы ықтималдығы бар, бірақ егер сіздің пайдаланушыларыңыз лайықты парольдер туралы түйсіне ие болса, ол жақсыдан гөрі көп зиян келтіреді.

0
қосылды
Ғарыш/?! ереже жаман емес per se , бірақ оның әсері қорқынышты. Ол белгілі бір таңбалардың сынуы мүмкін бағдарламада терең мәтін сөзімен құпия сөзбен бір нәрсе жасап жатқанды қатты көрсетеді. Бұл мені «апострон болмауы тиіс» деп қорқытады, бірақ көп емес. Кескіннің сезімталдықсыздығы және ең үлкен ұзындық сондай-ақ мәтінді мәтінді сақтауды ұсынады.
қосылды автор Tom Juergens, көзі
«ең көп лента жаман» -> «ең көп ұзындығы жаман»?
қосылды автор neverMind9, көзі