{imgicourl}{zamok}
Другие записи за это число:
2018/10/31_kulichi - куличи #50
<< предыдущая заметкаследующая заметка >>
31 октября 2018
Удивительная история с паролями

По несколько раз в день мне продолжают во множестве приходить спам-письма со сказкой о том, будто мой компьютер заражен вирусом, который установил шпионский софт (ага, на мой Линукс, хотел бы я посмотреть на это), и потому все мои пароли, все контакты и почему-то вдруг найденные там ужасные порноссылки — всё это теперь в руках злоумышленников. Мой имидж, брак, карьера, деловые связи и доверие банков в одночасье повисли на волоске. Но за серьезный выкуп в биткоинах (в разных письмах сумма колеблется в эквиваленте от 500$ до 5000$) они, уж так и быть, оставят меня в покое и не расскажут моему якобы контакт-листу о моих якобы порноссылках...

Я уже и писал об этом в дневнике несколько месяцев назад: http://lleo.me/dnevnik/2018/08/03.html

И даже стишки слагал: http://lleo.me/dnevnik/2018/10/06_kulichi.html

А письма продолжают приходить...

показать пример письма
Date: 31 Oct 2018 14:57:44 +0100
From: <lleo@lleo.me>
To:   «cegpftfk100hfp» <lleo@lleo.me>
Subj: [OBORONA-SPAM] Change your password cegpftfk100hfp immediately. Your account has been hacked.
X-Mailer: Microsoft Outlook Express 6.00.2900.2582

I greet you!

I have bad news for you.
06/28/2018 — on this day I hacked your operating system and got full access to your account lleo@aha.ru
On that day your account (lleo@aha.ru) password was: cegpftfk100hfp

It is useless to change the password, my malware intercepts it every time.

How it was:
In the software of the router to which you were connected that day, there was a vulnerability.
I first hacked this router and placed my malicious code on it.
When you entered in the Internet, my trojan was installed on the operating system of your device.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

A month ago, I wanted to lock your device and ask for a small amount of money to unlock.
But I looked at the sites that you regularly visit, and came to the big delight of your favorite resources.
I'm talking about sites for adults.

I want to say — you are a big pervert. You have unbridled fantasy!

After that, an idea came to my mind.
I made a screenshot of the intimate website where you have fun (you know what it is about, right?).
After that, I took off your joys (using the camera of your device). It turned out beautifully, do not hesitate.

I am strongly belive that you would not like to show these pictures to your relatives, friends or colleagues.
I think $966 is a very small amount for my silence.
Besides, I spent a lot of time on you!

I accept money only in Bitcoins.
My BTC wallet: 15ZHnf1MPn6ybb8yUeAoCQ1AJtiKhg3NrP

You do not know how to replenish a Bitcoin wallet?
In any search engine write «how to send money to btc wallet».
It's easier than send money to a credit card!

For payment you have a little more than two days (exactly 50 hours).
Do not worry, the timer will start at the moment when you open this letter. Yes, yes .. it has already started!

After payment, my virus and dirty photos with you self-destruct automatically.
Narrative, if I do not receive the specified amount from you, then your device will be blocked, and all your contacts will receive a photos with your «joys».

I want you to be prudent.
— Do not try to find and destroy my virus! (All your data is already uploaded to a remote server)
— Do not try to contact me (this is not feasible, I sent you an email from your account)
— Various security services will not help you; formatting a disk or destroying a device will not help either, since your data is already on a remote server.

P.S. I guarantee you that I will not disturb you again after payment, as you are not my single victim. This is a hacker code of honor.

From now on, I advise you to use good antiviruses and update them regularly (several times a day)!

Don't be mad at me, everyone has their own work.
Farewell.

Письма прибывают одинаковые, но иногда текст меняется, а иногда меняется сам пароль, о котором идет речь. История бы не стоила и выеденного говна, но они присылают мои реальные пароли. Ну, то есть как мои... Я таких паролей не использую, не знаю и не помню. Мне даже скрывать их от вас нет резона, пользуйтесь:

Subject: password (evtyz3gth) is compromised

Subject: password (uytdbr4uytdbr) is compromised

Subject: Your password on moment of crack: tipatupo

Но с другой стороны я хорошо понимаю, что вышеперечисленные комбинации букв «уменя3пер», «гневик4гневик» и «tipatupo» мог сочинить только я и никто кроме. Узнаю авторский стиль и градус абсурда. С этой точки зрения пароли мне совершенно родные. Но до сегодняшнего дня оставался неясным вопрос: что же это был за говносайт такой, на котором в былые годы я подозрительно часто заводил регистрации с мусорными паролями, после напрочь о них забывал, а теперь этот сайт хакнули, и база паролей утекла? Причем, тут еще надо понимать, что сайт был сделан очень криворуко. Скажем, если хакнут пользовательскую базу моего lleo.me, то никто ваших паролей не получит — хранить чужие пароли преступление, хранятся только крепко пересоленные хэши, из которых пароль восстановить невозможно.

Я даже поклялся себе, что отныне в свои пароли буду вставлять маркер сайта, по которому, спустя годы, можно будет догадаться, какой из сайтов слил базу. Но сегодня вдруг пришло новое письмо. То самое, что выше под катом. И в нем по чистой случайности содержался пароль-ответ, безошибочный маркер:

I have bad news for you. 06/28/2018 — on this day I hacked your operating system and got full access to your account. On that day your account password was: cegpftfk100hfp

Вы поняли? Отгадка оказалась проста: «супзаебал100раз»! СУП!! ЗАЕБАЛ!!! СТО!!! РАЗ!!! Я не помню, когда это было, и что за логин я заводил, но зато теперь абсолютно точно знаю, что это был за сайт и как выглядела эта сцена. Это крик отчаяния десятилетней давности. После того, как livejournal.com был куплен российскими представителями, он стал принадлежать компании «SUP Media». СУП не сразу, но заебал. И вот я пытаюсь завести анонимный аккаунт для какого-нибудь очередного конкурса Грелки, где тщательно шифруюсь дважды в год последние 18 лет. И тут на меня наваливается вся тупость интерфейса ЖЖ, которому я ввожу варианты паролей, а он всякий раз отвечает бесконечными требованиями сделать пароль подлиннее, понадежнее, добавить цифр... СУП ЗАЕБАЛ СТО РАЗ!!! — кричу я. «Годится!» — наконец отвечает СУП и регистрирует аккаунт. Уверен, так и было. И как это я сразу не догадался, что это мог быть за говносайт, на котором я в незапамятные времена заводил столько новых аккаунтов?! Вообще же без вариантов!

Так поздравим ЖЖ, «SUP Media» и лично Александра Мамута с непревзойденной криворукостью местных программистов в напрочь загубленном проекте. А на дворе шел 2018 год, между прочим.

Кстати, это заодно неплохой кейс для объяснения молодым, что пароль вовсе не должен быть длинным, кудрявым, содержать обязательно цифры, буквы разных регистров и обязательно хотя бы один знак препинания. Это всё — бред перепуганных дилетантов. Подобрать пароль невозможно. Вообще никак, если система нормально спроектирована. Даже если пароль из четырех цифр. Кто так не считает — пройдите нахуй к ближайшему банкомату и попробуйте там подобрать пин-код. Всего четыре цифры, вперед. Мой самый первый любимый пароль я придумал в 1991 году, использовал время от времени на самых родных и надежных сайтах, и он до сих пор служит мне верой и правдой в некоторых банковских админках. Другой пароль мне выдал на бумажке провайдер Зенон в 1995 году — это был довольно короткий пароль к диалапу: две цифры и четыре буквы. Он до сих пор служит мне паролем почтового ящика. Никто его не подобрал за все эти годы. Потому что пароль подобрать невозможно. Зато, как мы видим, его можно круто потерять в составе гигантской базы — либо продать, либо проебать. Но в этом случае не имеет никакого значения, сколько там было символов, знаков препинания и переключений регистра. И «tipatupo» и «CEGpft,fk100hfp» угоняются одинаково легко и одновременно, на одном и том же терабайтном носителе. Только вину за это не надо вешать на нас. Это ваша вина — криворукие админы и необразованные проект-менеджеры.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
FreeBSD Firefox
 Москва
0
0
Александр28 (#7465666)
Мне такие же письма пошли с 25 сентября и во всех указан мой старый пароль от ЖЖ. Из забавного: hacked-emails.com и haveibeenpwned.com про эту утечку не знают, но находят этот пароль в своих базах
Windows Safari Chrome
 Краснодар
0
0
Viveda
А я думаю, откуда они откопали мой старый-старый пароль (было дело, использовал один пароль на различных сервисах).
Все учетки прошерстил - нигде не используется.
А это СУП!!!
Linux Safari Chrome
 Toronto
2
0
stimur
дело не в подборе, никто сейчас в здравом уме не станет подбирать пароли на живой системе, его тут же выяислят по IP и забанят,
основная масса паролей утекает через дампы базы или другие идиотские действия админов. Как пару лет назад у Сони с их паролями в экселе.

посмотри на сайт https://haveibeenpwned.com , там неплохая такая база утекших паролей и последних утечек...
Linux Ubuntu Firefox
 Москва
1
1
Leonid Kaganov
Простите, что вы несете?

"пароль недостаточно сложный, его легко подобрать" - это классическое объяснение на 99% всех сайтов, когда они требуют добавить в пароль хуйни и удлинить его. Какое отношение "strong password" имеет к дампу базы?

Про дамп базы я тоже не понял. Что, в 2018 году существуют дебилы, которые хранят в своих базах пароли?!

Сайт https://haveibeenpwned.com посмотрел, но ничего не понял. Ох, для аккаунта lleo@aha.ru нашлись пароли! Ну и где они? Нахера мне эта информация с советом срочно заменить пароль на "strong password". Будто strong password не мог оказаться в этой базе. Так что сайт ваш - такое же гнездо дилетантов. А может, разводилово. Не удивлюсь, если после проверки логина он предложит мне ввести и мой пароль чтобы проверить его по своим базам.
Linux Firefox
 Россия
0
0
tyx
Дык был такой хакирХелл, которого потом за задницу взяли в Германии. Занимался взломами клятых либерастов и сливом грязных секретов из почты. Он помнится очень любил при возникшей с ним дискуссии бравировать знанием пароля и реальных ФИО жертвы.
И что-то мне подсказывает, что не сам он эти данные добывал.
Linux Safari Chrome
 Москва
4
0
Leonid Kaganov
Может и сам, но хакеры в то время взломали много топовых авторов ЖЖ. Я был в топе на 5 месте, взламывали почти всех из первой-второй десятки. Кроме меня, Темы Лебедева и drugoi. Иначе говоря: Linux, MacOS, MacOS :) Очень сложно взломать почту блогера, которому не получается в Аутлуке послать эксплойт в приложенном файле Excel :)
Windows Safari Chrome
 Москва
0
0
DarkSup
Может секрет в чем-то другом?

Вот например возможно Вы пользовались советом этого безымянного хакера: "use good antiviruses and update them regularly (several times a day)!"

Регулярно, и несколько раз в день! Не каждый сможет...
Linux Safari Chrome
 Санкт-Петербург
0
0
Petr Fyodorov
Антивирус не панацея, а скорее иллюзия защиты, приправленная тормозами и тратами.
Linux Safari Chrome
 Санкт-Петербург
0
0
Petr Fyodorov
Антивирус не панацея, а скорее иллюзия защиты, приправленная тормозами и тратами.
Windows Firefox
 Израиль
0
0
Павел бывший Пашка
Любой нормальный антивирь обновляется несколько раз в сутки сам. А иногда и каждый час, по мере подгонки новых баз. И это не особо заметно, че он там шебуршит в фоне. Реклама на сайтах тормозит куда заметнее.
Нормальный, я подчеркиваю. Это значит, не Маккафи, не Касперский и не Нортон, или как его там теперь...
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
добывала программа-снифер, которая слушала и анализировала вайфай трафик в кафешках, куда любили заходить его потенциальные пациенты. И открытый, и закрытый посредством SSL, так же, как делает это метрошный вайфай - методом MITM.
Windows Firefox
 Израиль
1
0
Павел бывший Пашка
В докомпьютерные времена было у ментов такое ЦАБ - центральное адресное бюро. Наверно и сейчас есть, несколько более удобное. Туда нужно было позвонить и назвать пароль, после чего тетка могла ответить на любой вопрос по любому гражданину СССР, вся информация, которой располагает МВД. По Москве отвечали моментально, по другим регионам несколько замедленно. Скажем, если в Москве имелось целых 15 прописанных Херов Мандовичей Бздуновых, вам могли по желанию перечислить адреса их всех, либо только тех, кто возрастом от 120 до 130.
Для граждан оно тоже было доступно, но только частично, при личном визите с паспортом и за деньги. Киоски Мосгорсправки могли по Москве найти человека, опять же, это брало время и паспорт спрашивали.
А для ментов по паролю - любая инфа, моментально и круглосуточно. Включая много интересного - адреса прошлых прописок, например.
Пароли ежедневно менялись и сообщались секретно начальникам отделений милиции, а от них прочим ментам.
Но был у меня знакомый парнишка, простой советский студент, всегда знавший пароли ЦАБа на неделю вперед... Ничем не примечательный парнишка, кроме того, что был в комсомольском оперотряде каким-то деятелем, типа факультетским командиром чтоль. Но откуда он знал пароли, которых и менты еще не знали, это все равно не объясняет, а сам он не говорил, изображал загадочность.
Пару раз с его помощью я пользовался этим ЦАБом, с телефона-автомата, понятное дело. Очень здорово помогло однажды, когда на подругу наехал дуриком ее бывший... Наивные были времена, совсем пионерские. Легко было лохов пугать.
Windows Safari Chrome
 Мытищи
2
0
2:5020/321
Ой, вот прям любой вопрос по любому гражданину... Ну не было там сфинкса! Был справочник прописок а ля желтые страницы + судимости.

Пароль - город. Функция - месяц+дата+последняя цифра года к списку городов (кодов) в телефонном справочнике.
Windows Firefox
 Израиль
0
0
Павел бывший Пашка
Ну ни фигассе, как просто...
Mac Firefox
 Москва
5
0
zar (#7487025)
В 2018 году действительно есть очень крупные сервисы в Интернете, которые хранят пароли в plaintext. Собственно поэтому в дампах баз данных находят открытые пароли.

Хэшированные, но не солёные пароли, тоже не спасают.
Есть, например, история о слитых паролях LinkedIn:
https://en.wikipedia.org/wiki/2012_LinkedIn_hack

The stolen passwords, which were hashed (i.e. just a checksum was stored, allowing testing whether a given password is the correct one), were cracked and posted on a Russian password forum later on that day. By the morning of June 6, passwords for thousands of accounts were available online in plain text.

Ещё есть смешная история о том, как в plaintext'е пароли логировались: https://twitter.com/caspervonb/status/992146846825889792

Ну и да, если у вас шифрованный энергонезависимый носитель (HDD, SSD) в компьютере, то слабый пароль может сыграть злую шутку, ибо подобрать лёгкий или /словарный/ пароль можно будет довольно легко (там-то как раз легко дампнуть весь диск и никакие защиты от брутфорса вроде "убить диск при 10 неверных попыток" не помогут).

Несмотря на всё вышесказанное, полностью поддерживаю Вашу идею об идиотизме проверки на сложность пароля, хотя, например, автоматически проверку на попадание в ТОП-100 популярных паролей сделать может и стоит и выдать в качестве warning'а.

В плане сложности паролей есть замечательная картинка от xkcd:
После неё всё встаёт на свои места.

P.S. И да, экосистема Linux, увы, не спасёт от персонализированной атаки: найти уязвимость можно и в LibreOffice. Ещё, например, для установки third-party ПО на условные дистрибутивы для домохозяек (Ubuntu/Ubuntu-based) часто советуют делать "curl | sudo bash", что как бы намекает на уровень отношения к безопасности. Ну а самая прикольная штука вот эта: http://thejh.net/misc/website-terminal-copy-paste
Linux Safari Chrome
 Toronto
7
0
stimur
> Какое отношение "strong password" имеет к дампу базы?

абсолютно прямое отношение, подбор пароля проходит не только вживую, на сайте, но и по дампу базы, если известно или по крайней мере можно догадаться как этот пароль был зашифрован.

откройте для себя инструменты типа hashcat или старый добрый John the reaper. украсть /etc/passwd или shadow с сервера и прогнать по зашифрованным паролям, никакого онлайн подбора, украсть базу и "подобрать пароли".

То же самое происходит с дампами баз данных аутентификации в других сервисах. Находится алгоритм и прогоняется через программку, иногда акселерированную с помощью специального железа или просто GPU. Обычно чем больше база, тем проще искать по ней брутфорсом (brute force). Алгоритмы подбора бывают очень разные, по словарям, по сочетаниям, по специальным заменам, которые делают c00l h4ck0r$.

Длина и энтропия (наличие символов из как можно бОльшего набора) пароля очень важна для защиты от машинного подбора.

> Сайт https://haveibeenpwned.com посмотрел, но ничего не понял.

дальше можно не читать: "не понял, но осуждаю"

Лео, я понимаю, что мой комментарий не вписывается в тематику поста, где надо было дудеть в одну трубу с автором и гнать на глупые сайты, которые требуют длинных рандомных паролей, когда "2 цифры и 4 буквы" подобрать никто не смог и из этого следует, что длиных паролей не нужно. Но я знаю, что разговариваю с умным человеком. Иначе бы не стал читать вас последние лет 20.
Linux Safari Chrome
 Toronto
0
0
stimur
На всякий случай, про серьёзность сервиса hibp:
Мозилла использует его для проверки утечек паролей. А эти ребята очень сильны в безопасности.

https://blog.mozilla.org/security/2018/06/25/scanning-breach[...]
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Я выше в комментах и писал и примеры приводил правильного хэша, а мне опять про словарь и перебор и поиск по дампу. К сожалению, нет времени повторять. Вы уверены, что по дампу нормально сделанной базы можно что-то найти - ну и ради бога. Не могу, устал, все уже сказал.
Linux Safari Chrome
 Toronto
0
0
stimur
к сожалению не все базы паролей делаются нормально, и именно об этом я тут говорю. Salted hash или не salted, все так же взламывается.

Защищаются тут с помощью увеличения итераций (1000 раз повторить MD5 на эту строчку) или наслоения алгоритмов (сначала MD5 потом SHA1, полирнуть PBKDF2..)

Мы тоже так в нашей компании делаем. Но при этом понимаем, что если база утечёт есть потенциальная возможность того, что зашифрованные данные будут расшифрованы.

Прошу прощения, если утомил, просто тема очень близка.
В интернете снова кто то не прав!
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Я думаю, тема интересная, и я напишу отдельный пост. А то народ путается, где хэши, где базы паролей и все такое.
Windows Safari Chrome
 Екатеринбург
0
0
Пёх
А вот годный матерьяльчик к посту.

http://php.net/manual/ru/faq.passwords.php#faq.passwords.fas[...]
Linux Safari Chrome
 Санкт-Петербург
1
0
Petr Fyodorov
А есть смысл тысячу раз md5 считать? Хэши по природе своей имеют коллизии. Нет ли здесь увеличения вероятности получит коллизию?
Windows Safari Chrome
 Мытищи
0
0
2:5020/321
Есть.
Windows Safari Chrome
 Литва
1
0
ChBRR
Нет.
Windows Safari Chrome
 Мытищи
2
0
2:5020/321
Чойто мне это напоминает упаковку rar в lha и потом в zip...
Linux Safari Chrome
 Санкт-Петербург
0
0
Petr Fyodorov
passwd не хранит пароли лет уже 20 наверно. Могут свой дать - ломайте ))
shadow содержит солёные хеши паролей - радужные таблицы не помогут, только перебор по словарю.
Linux Firefox
 Оренбург
0
0
h3r31am
Прикольный сайт. Ввожу в него адрес своего старого заброшенного Г-мыла - пишет "Оу ноу! Pwned!". Ввожу пароль от этого ящика (паролем этим давно нигде больше не пользуюсь, так что не жалко) - пишет "Good news everyone!"
В общем, что это за лажа - так и не понял.
Linux Safari Chrome
 Москва
2
0
Leonid Kaganov
Лажа не лажа, а теперь у них точно есть ваш логин и пароль :))) Для того и придумано.
Linux Firefox
 Москва
1
0
lavart
Таки нет, сайт очень даже реальный и серьезный.

Для проверки по базе живых паролей они рекомендуют эту ихнюю базу скачать, и проверить локально - на вкладке passwords там снизу ссылки есть.

Онлайн форма только для мертвых паролей, т.к. доказать, что они их не сохраняют нельзя, и вообще это bad practice.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
Эта... противоречивость, как ты её позиционируешь, на самом деле хорошо используется при проверке по большой базе. Вот представь, список из десятков тысяч учеток сбера. Первыми проверяем пароли "password", "gfhjkm", "зфыыцщкв", "пароль" на ВСЕЙ базе, псевдослучайным образом - и получим, несмотря ни на какие пиздюли, раздаваемые их Сбшниками, некоторое количество положительных результатов.
А вот пароль "Cjhjrnscyxj,tpmyzd&eacute;jgecezekb,fzfz" можно сразу попробовать на подмножестве местных ITшников и особенно на всех с фамилией Лукьяненко - и вероятность больше, чем угадать "Geirbz" у сотрудника по фамилии Белый.
Windows Safari Chrome
 Тула
0
0
andrew_if (#7501726)
На haveibeenpwned.com чуть ниже есть список того в каких утечках и когда учетка засветилась.

Этот сайт не про сложность и длину пароля, автор (Трой Хант) собирает в одном месте информацию обо всех утечках данных, до которых может дотянуться.
Windows Safari Chrome
 Мытищи
0
0
2:5020/321
Да, вы удивитесь сколько plain text паролей. Я знаю как минимум три сайта, которые на просьбу восстановить пароль по емайл, высылают мне мой пароль.

Но даже при шифровке, все хеши 6 символьных паролей лежат в таблицах, а сейчас может уже 7 или даже 8 символьные сгенерили. Да, это требует взлома на уровне скачать \etc\passwd или дамп базы. Там не менее, именно так "подбирается" пароль. Второй вариант - ботнетом. Есть топ100 паролей/логинов, ботнет ломает по принципу китайских хакеров - каждый ввел по паролю.
Windows Firefox
 Тула
0
0
stream
ibeenpwned - не панацея, мой емейл там вообще не находится, а спам идет (да, мой реальный говнопароль для говносайтов, ну и хрен бы с ним). И в этом нет ничего удивительно. Для начала ibeenpwned должен получить ту самую базу с паролями и добавить в свои таблицы, а пока что - сюрприз - у хакеров эта база есть, но ibeenpwned они ее почему-то не дают.
Firefox
 Воронеж
0
0
Константин (kagrebennikov)
Маркер сайтов в паролях вешать надо. И пароль вспомнить легче будет. К примеру, LLeo20!8GmaiL чем плох?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Плох тем, что я не использую gmail :)
Windows Safari Chrome
 Киев
0
0
antiblogger
Тогда я себе возьму.
Windows Firefox
 Санкт-Петербург
0
0
bolshakovdmitry
Там уже занято давно
https://haveibeenpwned.com/account/lleo@gmail.com
Windows Safari Chrome
 Киев
0
0
antiblogger
Они действительно считают, что порноссылки - это что-то плохое? Ну...если без аккаунтов, то да.
Mac Safari
 Россия
5
0
Дима
И пароль напоминают, если забыл. Сплошная польза.
Linux Ubuntu Firefox
 Москва
2
0
Leonid Kaganov
Ну так что они еще могут сказать-то? Мы видим у вас на компьютере детское порно? С убийствами и расчленениями? Так его же нету, сразу будет понятно, что брешут. Что можно придумать убедительного, если из информации у вас только старый пыльный пароль из базы десятилетней давности? Только бить по площадям и надеяться, что 5% всерьез напугаются, а 0.005% заплатят.
Windows Safari Chrome
 Череповец
0
0
andriss
Тоже получал такое письмо. Пароль там был указан до боли знакомый, я был уверен, что где-то использовал такой лет 10 назад, но никак не вспомнил, где именно.
А вот сейчас прочитал эту заметку - точно же! Такой пароль был у меня в ЖЖ! Спасибо, Леонид, за раскрытие секрета!
Linux Safari Chrome
 Жуковский
0
0
Olegzzz (#7358919)
"Вообще никак, если система нормально спроектирована."

Что же теперь, верить, что спроектирована правильно? Использовать длинный-сложный пароль имеет смысл на тот случай, если ломают базу данных пользователей какого-нибудь Яндекса и тащат оттуда хеши паролей. Если пароль хранится с использованием какого-то известного алгоритма, то пользователи с 123456 сразу пролетают. Другие же, с чем-то таким - AcKeBziMENeUwq1e_r, могут выдохнуть и просто спокойно на всякий случай сменить свой пароль.
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Только идиоты хранят хэш незасоленным (DPL-форум и чат Livezilla я своими глазами видел). В остальном даже соль tipatupo не поможет вам взломать базу. На говоря уже о том, что в умном проектировании в соль входит что-то уникальное, например логин и номер учётки. И тут уже вообще никак со своими таблицами Брадиса.

Ещё раз: нет никакого смысла в сложном пароле. Идите взломайте пин-код кредитки из 4 цифр, если вы считаете себя умнее банковских программистов, а карту с реальными деньгами менее ценной, чем бесплатный аккаунт на сраном сайте.
Linux Ubuntu Safari Chrome
 Воронеж
1
0
selivan
Ну совсем короткий или очевидный пароль, типа qwerty, можно и из засоленного хеша восстановить, честным прямым перебором без всяких радужных таблиц.
Windows Safari Chrome
 Долгопрудный
2
0
Ананас (#7413116)
Если базу сольют, то смысл есть. Пароль из 6 символов просто переберут.
Windows Firefox
 Белоруссия
0
0
dimaviolinist (#7459219)
Это хэш. Он всегда одной длины, не зависящей от длины пароля.
Windows Safari Chrome
 Екатеринбург
3
0
Пёх
Взять пароль, взять соль, хэшировать, результат сравнить с хэшем, который в записи в таблице в базе.  Повторить для всех шестисимвольных паролей.  Повторить для всех записей в таблице.  Радоваться.
Linux Safari Chrome
 Москва
0
2
Leonid Kaganov
Стоимость. Подсчитайте стоимость такого перебора для каждой строчки украденной базы на полмиллиона абонентов. Никто а здравом уме не станет этим заниматься, если база была сделана правильно.
Windows Safari Chrome
 Екатеринбург
0
0
Пёх
Например, по базе на вашем движке все такие пароли подберут за час.

Вот описана поделка, которая проверяет 76 млрд. MD5-хэшей в секунду.  Ценой 5 тыс. долларов.  На практике так тратиться не обязательно – можно взять мощности в аренду.  А на единственной видеокарте будет медленней лишь вчетверо.

https://www.netmux.com/blog/how-to-build-a-password-cracking[...]

Полмиллиона шестисимвольных паролей из строчных латинских букв.

26⁶  /  76 G  *  1/2 M = 2000 с
Windows Firefox
 Белоруссия
0
0
dimaviolinist (#7459219)
Да ладно. А если соль хранится у клиента и передаётся при начале сессии? А если пароль не 6 символов (хотя, в реальности, вообще пофиг). А если шифрование не мд5, или мд5 неизвестное количество раз?
Из грамотной базы вы утянете что угодно, но не пароли.
Хотя всего остального достаточно и так выше крыши для как узнать "ой а кто это тут".

Windows Safari Chrome
 Екатеринбург
0
0
Пёх
В этой ветке обсуждаем именно шестисимвольные пароли (см. выше).  А поскольку это Леонид заявил, что подбор паролей дорог, то обсуждаем движок Леонида – в нём простой MD5.

(Соль хранят рядом с хэш-значением.  Если вы некую «соль» храните на клиенте, то эта сущность уже имеет какой‑то другой смысл и солью не является.)
Windows Safari Chrome
 Киев
0
0
Tor (#4214047)
"Соль хранят рядом с хэш-значением" - феерический бред. Только имея код приложения можно узнать принцип формирования соли. А вдруг соль - это хеш пароля? Или год регистрации пользователя? Или цвет гла моей собаки на португальском? Или всё перечисленное вместе?

А если хеши берутся несколько раз (сотни и тысячи) и разными алгоритмами?
Windows Safari Chrome
 Москва
0
0
Erelen Laiquendi
У меня полная база уникальных паролей для всех ресурсов, где я с 2010 регистрировался. Включая старые пароли, которые я уже сменил.
Так что из подобного спама однозначно вычисляется не только ресурс, но иногда и временнОй интервал слива (хотя чаще всего слив с таких левых ресурсов, где я пароль не менял никогда).

Вот, в сегодняшнем спаме числятся пароли от diary.ru и post-tracker.ru, существовавшие с 2011 года.

Отдельно смешно, что спамеры тоже криворукие - плохо работают с спецсимволами из паролей и с регистром:
Реальный пароль: "fu8MSWs_Sc?9", пароли из спама: "fu8msws_sc", "fu8msws_sc9"
Реальный пароль: "jdUpJXtrBPgQ)J+", из спама: "jdupjxtrbpgqj"
Хотя спамерам-то без разницы: их цель - взять на испуг, показав что-то похожее на ваш пароль.
Firefox
 Воронеж
0
0
Константин (kagrebennikov)
Ой, txt. файлик, называющийся "Пароли"? У меня тоже есть!
Windows Safari Chrome
 Москва
0
0
Erelen Laiquendi
До 2010 - txt-файлик в файловом крипто-контейнере (TrueCrypt).
После - KeePass.
Windows Opera
 Киев
0
0
Онтеблогир (#5876825)
Ой, а что с TrueCrypt (теперь VeraCrypt)не так?
Я там храню личные данные (те же пароли и результаты медицинских исследований меня любимого).
Linux Safari Chrome
 Москва
0
0
Erelen Laiquendi
С ними всё прекрасно, сам использую. Но для паролей KeePass удобнее текстового файлика.
Mac Safari Chrome
 Brandschenkestrasse Zurich Switzerland
2
0
https://plus.google.com/+AlexanderLevitskiy
Охуенно. 21 век на пороге третьей декады.
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Я тоже умиляюсь бесконечно :))) 2018, осень, полдень XXI век... :)))
Windows Firefox
 Воронеж
2
0
Чинк
По-моему, в письме самое милое - про "хакерский кодекс чести".
Windows Safari Chrome
 Москва
3
0
DarkSup
Ага, мне тоже бросилось в глаза благородство этих флибустьеров дециметровых волн.
Интересно, а что делают с хакерами, которые не соблюдают кодекса чести цифрового пирата? Их скармливают тем акулам шоу-бизнеса, чьи произведения они воровали?
Windows Safari Chrome
 Одесса
1
0
Кондыбас (kondybas)
Проблема не ограничивается супом/жижей. Мне прислали пароль от почтового аккаунта, где я уже лет пятнадцать тому выкатил постмастеру пиво за хардкодно вшитый системный алиас с моего акка на гмыло.

Полагаю, что имеет место эксплойт какой-то ветхой хрени, которая позволяет высосать из базы некриптованые логины-пароли.
Windows Firefox
 Белоруссия
7
0
andrew_mamohin
Я почти все пароли заношу в базу (шифрованную). Поэтому мне несложно было поискать присланные в таких письмах. Это оказались пароли с nnmclub и avito. Я этими аккаунтами не пользуюсь, так что забил.
Писать им в ответ, что готов занедорого прислать видео себя, дрочащего на некропедомазогомозоопорно, смысла нет?
Linux Safari Chrome
 Россия
7
0
Александр_ (#6918944)
Я как-то раз искал работу и регистрировался на большом числе сайтов с вакансиями. Работу нашёл, на сайты, естественно, больше не заходил.
Через несколько месяцев один из них мне прислал письмо: мол, мы заметили, что вы давно не заходили, у нас много интересных вакансий, заходите снова. А если вы забыли свои регистрационные данные, то вот вами они. И открытым текстом мои логин и пароль!!!

То есть они не просто хранят их в незашифрованном виде, но и посылают письмом по свой инициативе, без явного запроса со стороны пользователя!

Я им тут же написал письмо, чтобы они, во-первых немедленно удалили все мои данные из своих баз, а, во-вторых, уволили того человека, который выдаёт себя за программиста. Они мне ответили что-то вроде, "такое решение было выбрано в качестве оптимального баланса между удобством и безопасностью пользователей".
Linux Ubuntu Firefox
 Москва
2
0
Leonid Kaganov
Милые какие.

А я сейчас открыл блок логина своего движка:

$i=md5($_REQUEST['password'].$hashlogin);

// if(ms("SELECT COUNT(*) FROM ".$db_unic." WHERE `password`='".e($i)."'","_l")!=0) idie("Этот пароль уже кем-то занят. Придумай другой.");

if($i=='password'||$i=='123457') idie("Это личный пароль Барака Обамы ('https://news.mail.ru/society/21065199/?frommail=1'), вам нельзя его использовать!");

Помню, вторая строка была одно время незакомментарена. Но народ шутки не понял, и мне начали сыпаться гневные письма, что я нарушаю права и вообще вольно веду себя с чужими паролями ;)))))))) Пришлось убрать.

А вот вторая должна работать и ныне. Правда, уже нет в президентах Барака Обамы, и что за слив или трэш про него был по ссылке https://news.mail.ru/society/21065199/?frommail=1 я уже тоже не помню, а ссылка давно не работает...
Windows Safari Chrome
 Киев
0
0
Evgenij
db_uniq - список типовых паролей?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Нет, общая база регистраций. Просто мы уже имеем дело с хэшем, а не паролем - там же sha1(). Это строка из 48 странных букв не имеет ничего общего с паролем. И хранится в базе именно она.
Windows Safari Chrome
 Екатеринбург
2
0
Пёх
Дядя Лёня, вы пугаете нас.  Каким таким образом значение $i может совпасть с чем-либо?  Неужели $hashlogin одинаков для всех пользователей?  Если же $hashlogin это хэш от имени пользователя, тогда совпадение очень маловероятно.  В таком случае откуда жалобы пользователей?
Mac Firefox
 Белоруссия
0
0
IgorB
Но ошибка то верная - коллизия хэша.
Вероятность - ну как то совсем маленькая - прям интересно что совпало и несколько раз
Windows Safari Chrome
 Екатеринбург
0
0
Пёх
Более вероятно совпадение одновременно и логина (имени пользователя) и пароля. Но всё равно весьма маловероятно.

Дядя Лёня, объяснитесь уже!
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Вы правы, строчка if i==12345 абсолютно неуместна и никогда, значит, и не работала. Видимо, я вписал ее позже, не особо разбираясь, на каком этапе i превращается в хэш. Спасибо за замечание!
Windows Safari Chrome
 Екатеринбург
0
0
Пёх
Нет, я про вторую строку – закомментированную.  Она тоже не должна работать практически никогда – только если пользователь внезапно выбрал и логин и пароль, уже имеющиеся в таблице db_uniq.  Вы же утверждаете, что на практике были такие случаи.

Если это так, то где‑то здесь, видимо, ошибка, несущая угрозу нашим паролям.
Linux Ubuntu Firefox
 Москва
2
0
Adamos
Она в аватарке над вашим комментарием.
Программист, у которого даже в коде авторизации висят хвосты, смысл которых он сам не понимает при прочтении, но при этом с энтузиазмом продолжает разработку.
ГраблиДрайвенДевелопмент.
Windows Safari Chrome
 Екатеринбург
0
0
Пёх
Ключевое слово – «энтузиазм».  Лично я здесь, чтоб понабраться энтузиазма.  А если Дядя Лёня был бы прожжённым профессионалом, не допускающим ошибок, здесь было бы скучно.

Между прочим, автор отвечает на письма в тот же день и исправляет свои ошибки.  Есть ли ещё веб‑сайты, где вы можете связаться с автором кода за день?  Если код был бы опрятен и протестирован, но до автора было бы не достучаться, это было бы лучше для безопасности?
Linux Ubuntu Firefox
 Москва
0
0
Adamos
Я с вами во многом согласен (разве что знаю сайт, с автором которого можно связаться за день, и пользователи от этого не страдают). Но я не понял, что именно вы хотите возразить, кроме общего недовольства моей бесцеремонностью. И есть ощущение, что вы тоже.
Windows Safari Chrome
 Москва
3
0
kfkyyrrh
"Крепко пересолёные", ага.
Windows Opera
 Россия
0
0
Konstantin Vlasov
Архив всё помнит, однако.
http://web.archive.org/web/20160103232826/https://news.mail.[...]
Linux Safari Chrome
 Санкт-Петербург
3
0
Petr Fyodorov
Вторая строчка - это дырка. Получив такое сообщение - это значит такой пароль использует кто-то из пользователей. Остаётся перебрать всех пользователей ресурса с этим паролем и получить доступ к аккаунту.
Windows
 Москва
0
0
_ (ngs-govno)
В Озоне они ещё год назад так и присылали. С 2003 года, так и хранится
Windows Safari Chrome
 Горловка
1
0
Атон (#7498592)
С самими письмами уже все понятно как бы, у меня вопрос, как они от моего имени мне письма строчат, почта все таки хакнута или как?
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
О, вот об этом вообще не думайте. Сам формат email позволяет отправителю вписать в графу from всё, что ему вздумается. Можно вписать хоть получателя, хоть Дональд Трамп trump@gov.usa
Windows Safari Chrome
 Горловка
1
0
Атон (#7498592)
Спасибо, успокоили) А как бороться с этим г... игнорировать и ждать пока им надоест? А то я представляю ситуацию, как подобное письмо заметит жена, долго объясняться придется)
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Я не очень помню, но кажется, крупные почтовые сервисы сейчас пишут для письма цифровую подпись (термин типа DCIM, точно не помню). И часть писем уже ходит с цифровой подписью, вот ее не подделать. А простой спам без подписи - запросто.
Windows Firefox
 Санкт-Петербург
2
0
bolshakovdmitry
DKIM
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Gmail, например, достаточно крупный почтовый сервис, знающий много нюансов. Однако такое же письмо "от меня" на гмайловский адрес мне приходило буквально неделю назад.
Linux Safari Chrome
 Санкт-Петербург
0
0
Petr Fyodorov
С точки зрения стандарта - такое письмо легально и gmail не должен их блокировать.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
для "транзитной" почты хитрый клиент может использовать валидный адрес в gmail.com - для авторизации, но в самом теле письма будет указано From:совершенно@левый.адрес !
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
gmail позволяет своим (подломленным) клиентам отправлять спам со своих серверов от фиктивных адресов (из фиктивных доменов), пользуясь правильной авторизацией клиента в системе gmail.com. При этом подпись DKIM gmail.com накладывается поверх (а в заголовке - просто расположена рядом) с подписью DKIM "якобы самого клиентского" (как если бы у того отправляющая машинка подписывала бы письмо, при помощи клиентской утилиты DKIM.
Windows Safari Chrome
 Киев
0
0
antiblogger
Была даже фраза "Доверчивый, как SMTP" :)
Windows Firefox
 Белоруссия
0
0
andrew_mamohin
Кстати, раньше я считал, что все остальные восемь миллиардов людей (кроме меня) используюсь один пароль везде. Теперь я вижу, что есть еще такие личности.
Windows Firefox
 Toronto
0
0
sly2m
Я все же думаю, что "хакиры" в рассылке шлют не твой пароль, а топ 100 популярных. Или ты думаешь, что только тебя СУП "надоел"? Да таких тысячи юзеров. И каждый будет помнить, что вроде бы это не его пароль, но он бы точно мог такой придумать. Методики "придумывания" паролей такие же стандартные, как и сами пароли, их не так много и они всем известны.
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
Нет, это типично мои пароли. Кто еще напишет "гневик4гневик"? Что это блять вообще за слово такое - гневик, ты его хоть раз видел где-то? ;))) Это типично мой креатив, я именно так беру с потолка слова и сочетания. Да и какой смысл пугать обывателя, присылая ему якобы его пароль, который он впервые увидит?
Windows Firefox
 Toronto
0
2
sly2m
А ты проведи опрос среди читателей - спроси, сколько людей "узнают" свой пароль, если им предложить выбор "мойчлен35см" или там "сдохниПутин". Я думаю - половина. Особенно, если сказать, что это не твой текущий пароль, а тот, что ты использовал на левом сайте 10 лет назад. Тогда до 75% такое "узнает".
Linux Ubuntu Firefox
 Москва
5
0
Leonid Kaganov
Я не совсем понимаю, о чем ты. Это если угнали базу паролей медицинского форума, посвященного болезни Альцгеймера?
Я точно знаю, что ни "мойчлен35см" ни "сдохниПутин" никогда не были и не могли быть моими паролями. Точно также ты, я надеюсь, хорошо понимаешь, что ни 10, ни 20 лет назад у тебя не могло быть пароля "гневик4гневик".
Mac Safari
 Москва
0
5
bambr
Ллео, я думаю,что речь о том, что у доброй трети юзеров наших западных соседей может использоваться пароль: Путинxyuл0 по чисто патриотическим соображениям.
Linux Ubuntu Firefox
 Москва
3
0
Adamos
Не может, потому что минимум 80% пользователей используют пароли из топ100. И "угадать" можно 12345 или дату рождения, но не пароль, который придумал грамотный человек.
Мне, например, прислали именно пароль, который я за неделю до того указал, регистрируясь на 000webhost. Хрен его кто предскажет.
Windows Safari Chrome
 Киев
0
0
antiblogger
Я скажу Вам откровенно, гневик - это не моё.
Хотя пахнет охуенно, как шампанское Моёт...
Linux Safari Chrome
 Москва
0
0
vctor
А для меня это слово пресной.
Не в теме я наверно.
Windows Safari Chrome
 Киров
2
0
V.exeR
Да, мне пару дней назад тоже пришел. Хотя у меня и сам текст вымогательства не показывается. Одни криворучки продолбали базу с паролями в открытом виде, другие криворучки прислали кривое спамерское письмо. Шел 2018 год...
А пароль я сразу признал :D
Firefox
 Австралия
0
0
iugssf (#6957916)
Сильный пароль полезен, если логинишься в не очень здоровом месте, например школе, и пароль могут подглядеть через плечо, или догадаться. Длинную фигню сложнее увидеть и запомнить, а снимать на телефон уже палево.
Linux Ubuntu Firefox
 Москва
1
1
Leonid Kaganov
Слушайте, вот честно: человек логинится на свои любимые сайты раз в год и не разлогинивается никогда. Особенно сегодня, когда вместо сайтов у всех приложения. Что-то я за всю жизнь не припомню случая, чтобы мне пришлось набирать пароль в людном месте.
Windows Safari Chrome
 Челябинск
12
0
vinny-the-poo
А мне приходится. В людном месте. Постоянно. Я исполняю обязанности помощника админа в крупной компании (точнее, на одной из принадлежащих ей электростанций) со всеми вытекающими привилегиями.

И когда меня срочно вызывают решить проблему на какой-нибудь рабочей станции, все юзеры сбегаются смотреть, как я жонглирую окнами, запускаю полоски прогресс-баров и творю прочую хуйню.

И когда я, собираясь админствовать, оглядываюсь и призываю народ к соблюдению, неизменно фырканье, ухмылки, а то и гогот "Да господи! Да чо ты совсем? Да как будто мне это надо!"

И так уже более 20 лет. Как же это заебало! Эти ёбаные пидоры и бляди приходят и уходят, мелькая передо мной, уже не одна сотня за всё время работы и каждый раз такая реакция.

Как хочется вскочить и заорать: "Ты, мудила гнойная, мне нахуй не сдался! Срал я на тебя с высокой башни. Но просто по закону больших чисел среди вас, козлов, обязательно найдётся долбоёб с шилом в жопе, мнящий себя кулхацкером. И одного факта компрометации пароля хватит, на режимном предприятии, чтобы поднасрать мне и моим коллегам по самую макушку."

Ладно бы всякие ссаные бухгалтеры, плановики и менеджеры с румяным членом. Но оперативный персонал! Вахта, сидящая за кнопками управления котлами и турбинами. Все эти Акимовы, Топтуновы и Дятловы.

Когда-нибудь я не выдержу.
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
А что! Интересное предложение :)
Windows Safari Chrome
 Екатеринбург
0
0
Пёх
Ой, обалденный загон в фамилиями!

А теперь характерные фамилии бухгалтеров и менеджеров будьте добры!
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
Деятельность этих бумагомарак не столь критична, чтобы оставить такой зловещий след в истории. Я, по крайней мере, таковых не знаю.
Windows Firefox
0
0
Идиотъ
А какой-нибудь USB-эмулятор клавиатуры приспособить не? Читал про такое, но вот не помню, вышло ли оно за пределы "один умелец спаял ардуино себе и другу". Собрался идти админить чью-то чужую клоаку - у себя в админской залил на девайс все нужные пароли, пока никто не видит, там воткнул, нажал одну кнопку - оно посылает пороль для одного, нажал вторую - для другого, и т. п. У меня вон даже мышь логитековская умеет в текстовые макросы и имеет внутреннюю память - правда, не проверял, умеет ли она таки хранить во внутренней памяти сами макросы и хуячить их в комп без предварительной установки логитековского софта.
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
Автоматическое заполнение полей ввода пароля в запросах ОС на особые полномочия? Звучит фантастически. Вы точно уверены, что UAC это не блокирует?
Windows Safari Chrome
 Дания
0
0
litebrowser (#7233622)
Ключевое слово - BadUSB.
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
Понятно, спасибо.

Слишком тонко, глубоко копать (реверс-инжиниринг контроллера конкретной флешки — бог мой!) Но теоретически возможно, да.
Windows Safari Chrome
 Дания
1
0
litebrowser (#7233622)
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
Уже готовая эмуляция клавы, а в инете, как пишут отзывальщики, можно найти подходящие скрипты. Втыкаю и он вываливает в нужное поле ввода нужный набор символов. Хм, интересно...
Windows Safari Chrome
 Челябинск
1
0
vinny-the-poo
Провентилировал вопрос со своими руководителями.

В общем, ситуация такая. Предприятия такого рода, как наше, относятся к режимным объектам. И это естественно. Поэтому в компании есть мощная служба СБ. Провести через её одобрение подобный не гостированный (не сертифицированный) лайфхак нереально. Работать с ним в явочном порядке — значит рисковать нарваться на стук какого-нибудь продвинутого юзера (а мы и с инспекторами различного уровня работаем). Это, в свою очередь, гарантирует бесплатное применение процедуры глубокого анального массажа.

Короче, всем спасибо.
Windows Firefox
0
0
Идиотъ
Дык, оно подключается как клавиатура, посылает нажатия клавиатуры. Какой UAC, куда угодно можно вводить - хоть в биос.

Вот, например, на Хабрахабре был пост пару лет назад: https://habr.com/post/305594/
Вроде, с тех пор уже допилили и продают (хотя хуй их разберёт, эти краудсорсовые сайты, что там на самом деле): https://www.crowdsupply.com/third-pin/pastilda
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
Спасибо. Смотрите ответ выше — их уже на Алиэкспресс продают.
Linux Ubuntu Firefox
 Волжский
0
0
djatlov_опять что-то с логином (#6963015)
Решительно протестую против упоминания Дятловых в данном контексте. :)
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
:)))

Что-то мне подсказывало возможность вашей реакции. Ну, что же поделаешь, ежели однофамильство столь распространено? Ведь предлагали народу простое и точное решение. Ну, это, БОЧ5892346179 и т.д. Так ведь не захотели же!

P.S. А можно было бы сразу привязывать IP к БОЧ-идентификатору личности, вообще был бы порядок.
Windows Safari Chrome
 Киев
0
0
antiblogger
>Я исполняю обязанности помощника админа
>И так уже более 20 лет

Когда планируете начать карьерный рост?
Windows Safari Chrome
 Челябинск
5
0
vinny-the-poo
Никогда не планирую. Вылезание выше — это уже административные должности: начальник участка, зам. начальника цеха, начальник цеха, главный инженер, директор... Органически не переношу. А глядя на повседневную жизнь этих людей в наших производственных условиях, ещё и сочувствую им.
Windows Firefox
 Австралия
0
0
iugssf (#6957916)
всякие бывают ситуации, какой-нибудь универский класс, где перед каждым уроком куки из браузера стираются, как простейший пример
Mac Safari
 Нижний Новгород
0
0
shuchiysyn
А вот как дилетанту понять: MacOS настойчиво рекомендует для входа в систему strong password. А ты, Лео, пишешь, что для хорошо спроектированных систем, к которым относишь и MacOS, сильный пароль не нужен?
Linux Ubuntu Firefox
 Москва
6
0
Leonid Kaganov
В моем понимании - сильный пароль это когда ты не используешь в качестве пароля "shuchiysyn", под которым тебя знают в сети. И "12345".

Проектирование же системы - это вообще не про пароль, а про его обработку. Помню, в США у террориста нашли Айфон и всем ФБР не могли подобрать 4 цифры кода к нему. Четыре, сцуко, цифры для разблокировки аппарата. Бегали на поклон к Apple, подавали на них в суд, объясняли важность задачи, потому что еще одна неудачная попытка - и заблокируется нахер совсем... Потом, кажется, нашлись в Израиле умельцы, которые потрошили аппарат на стенд, отпаивали микросхему памяти и делали ее копию, после чего получали возможность автоматически перебирать цифры этим причудливым стендом, всякий раз восстанавливая аппарат до исходного состояния, чтоб не помнил, что попытка не первая... И так перебирали от 0000 до 9999, и нашли нужную комбинацию и помогли ФБР выяснить сообщников.

А ведь всего 4 цифры. Так что проблема не в пароле, а в том, как его хранить и как реагировать на ошибку.
Mac Safari
 Нижний Новгород
0
0
shuchiysyn
Я к тому, что не специалисту не всегда понятно, хорошо ли спроектирована система и насколько она защищена от взлома.Если враг получил физический доступ к компьютеру, то есть, к HDD? Тогда подбору пароля к шифрованному диску не будут мешать ни задержка, ни ограничения числа попыток. И хоть 4 цифры, хоть 8 будут подобраны за доли секунды. Или я неправильно все понимаю?
Linux Ubuntu Firefox
 Санкт-Петербург
0
0
Николай Лещёв
Это почему задержка не будет мешать?
Mac Safari
 Нижний Новгород
0
0
shuchiysyn
Потому, что можно использовать программу доступа к диску, в которой функция задержки не предусмотрена.
Linux Firefox
 Дмитров
0
0
id59577522
Задержка реализуется в виде рекурсивного вычисления (сотни тысяч или миллионы раз -- столько, сколько нужно, чтобы ускорение вычисления сделало атаку слишком дорогой) хэш-функции. Результат этого вычисления и используется как длинный секрет.
Windows Safari Chrome
 Киев
4
0
Evgenij
Обратите внимание, что израильтяне тут таки воспользовались системной уязвимостью при наличии физического доступа.
Будь там пароль посложнее - они бы сто лет его подбирали.
Windows Safari Chrome
 Гонконг
2
0
trueASheran
>>>помогли ФБР выяснить сообщников.

Ну нет же. Ничего по делу ФБР в телефоне не нашло.
Linux Safari Chrome
 Москва
0
0
_ (ngs-govno)
Эта израильская коробочка уже не работает, кстати
Linux Safari Chrome
 Новосибирск
2
0
https://facebook.com/100004839668659
Система может рекомендовать что угодно, но принуждать человека "в варежках на пингвиньем пуху" не должна.
Windows Safari Chrome
 Киев
0
0
Evgenij
Извините, что умничаю, но сильные пароли нужны скроее для защиты от краж баз с хэшами, а не от брутфорса через внешние интерфейсы аутентификации.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Объясните, каким образом правильно организованная база с хэшами защищает одни пароли лучше других.

Допустим, ваш логин "Вася Пупкин".
Допустим, ваш пароль "12343" (чтоб никто не догадался).
Соответственно, записи паролей в базе будут результатом выполнения команд:
sha1("Вася Пупкин / 12343")
sha1("Мухтар Ибрагимов / BYIFKKF")
sha1("kuzya / fuck4you")
и так далее.

Допустим, вы украли всё.
Допустим, украли базу, вам теперь известны и логины и sha1.
Допустим, вы украли код движка, вам известно, что кодировались они по системе sha1(ЛОГИН." / ".ПАРОЛЬ)

Объясните мне, тупому, каким образом вы из этого вытянете пароли?
Windows Safari Chrome
 Киев
0
0
Evgenij
Так же, как это всегда делалось до этого - брутфорсом.
Мы же не знаем, по-умному всё сделано в сервисе или нет. Поэтому полагаться на это не можем.

Сильный пароль - просто ещё один этап защиты.
Хотя лично я против дебильных паролей с цифрами и скобочками. Ну и тривиальных, типа 123456, такие движок должен не допускать.
Если движок хранит качественно подсоленные хэши, то ему, конечно, стоит ослаблять парольную политику, чтобы не морочить голову пользователям.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Вы понимаете вообще, о чем речь? Что в данном случае брутфорс?
Взять первый логин и начать перебирать:
sha1("Мухтар Ибрагимов / 0")
sha1("Мухтар Ибрагимов / 1")
sha1("Мухтар Ибрагимов / 2")
...
sha1("Мухтар Ибрагимов / 12342")
sha1("Мухтар Ибрагимов / 12343")
sha1("Мухтар Ибрагимов / 12344")
sha1("Мухтар Ибрагимов / 12345")
...
sha1("Мухтар Ибрагимов / a")
sha1("Мухтар Ибрагимов / b")
sha1("Мухтар Ибрагимов / ab")

Хорошая работа для крупной майнинговой фермы на полчасика - без малейшей гарантии результата. Только для одного пользователя. А вы украли базу на миллион паролей.

Да вы по электричеству уйдете в такой минус, что до конца жизни не расплатитесь. Не говоря о том, что майнить биткоины такой техникой выгоднее в миллион раз.
Windows Safari Chrome
 Киев
0
0
Evgenij
Конечно понимаю.
Брутфорсят базы, хранящие хэши без соли.
А мы не можем знать, использует ли соль сервис, которому мы доверились.
Linux Safari Chrome
 Москва
2
0
Leonid Kaganov
Стоп. Тут мы путаем две разные проблемы. Взлом серверов - это проблема не ваша, а сервиса. Если вы от этого как-то пострадаете - по идее даже банк обязан взять убытки на себя, раз у него угнали базу. В любом случае, если злоумышленник взломал сервис, то зачем ему ваш пароль? Он и без него присвоит ваш аккаунт, переписку, доспехи, фотки или что у вас там хранится.

Когда говорят о сложном пароле,случай взлома сервера не рассматривается. Это делается чтобы ВАС не взломали. Я ещё ни разу не видел предупреждений "придумайте более сложный пароль, а то когда нам придет пизда и наши сервера взломают, вы можете пострадать раньше остальных". Вот честно, никогда не видел :)
Windows Safari Chrome
 Екатеринбург
4
0
Пёх
1. Злые люди украли базу с хэшами. Админы пока не знают о краже. Злые люди подбирают пароли и управляют живыми учётными записями.  Пока пользователи не обнаружили и не достучались до админов, кошмар продолжается.

2. Сервис может быть устроен сложно – состоять из нескольких серверов и баз. Украли только одну из баз – опять же подбирают пароли и получают доступ к учзаписи целиком – на всех серверах.

3. Злые люди подобрали один мой пароль и теперь знают, в каком стиле я сочиняю пароли.  Не хочу такого.
Linux Ubuntu Firefox
 Москва
1
0
Adamos
Злые люди выяснили, какие из украденных аккаунтов принадлежат админам, и прицельно перебирают именно их. Как вариант.
Windows Firefox
 San Jose
0
0
Heisenberg2
Перебор делается по словарю, где варианты рассортированы по частоте использования. "12345" будет гарантировано в первой сотне. Такой можно вручную за 10 минут подобрать.

Есть комбинированные способы, когда словарные наборы символов постепенно усложняются случайными символами и т.п.

Если есть хэш и алгоритм его получения, то расковырять ваши пароли из заглавного поста - дело, максимум, нескольких минут.

Вот если хэша нет и сервис временно блокирует возможность ввода пароля после нескольких неудачных попыток, тогда можно ставить простые пароли. Но всё равно не "12345".
Windows Safari Chrome
 Екатеринбург
1
0
Пёх
Ну и откуда в эти несколько минут возьмётся слово «гневик»?
Windows Firefox
 San Jose
0
0
Heisenberg2
Тут, как минимум, 2 варианта. Эквивалентная длина полностью случайного пароля составляет примерно 4 символа.
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Вы опять ведёте речь о каких-то дебилах, которые хранят или сам пароль или md5 от него же самого?

Я говорю про нормальные системы, пример выше. Да, у вас есть база паролей 12345, test123, хуй, fuck и admin. Но у вас нет и не будет в этой базе пароля "Мухтар Ибрагимов / 12345" и "Мухтар Ибрагимов / test" тоже не будет. Поэтому какой бы Мухтар не придумал себе пароль, хоть из одного нуля, у вас не будет его в базе гарантированно, во вселенной нет столько атомов.
Windows Firefox
 San Jose
0
0
Heisenberg2
Очевидно, что базу имеет смысл тырить вместе с алгоритмом получения хэша.
Windows Firefox
 Австралия
0
0
iugssf (#6957916)
так если у тебя есть алгоритм получения хэша, то ты можешь проверить, что пароль тот самый, а дальше проверять этот пароль по всем сайтам.

если пароль простой, да еще и переиспользуется, то твоим аккаунтам крышка.
Linux Safari Chrome
 Томск
3
0
Damaten (#7501642)
Есть базы паролей. Именно паролей, а не хэшей от них.
Пусть там не будет гневик4гневик, но password, 123456, qwerty, cjhjrnsczxj,tpmzyd;jgeceyekb,fyfy там будут.
По ней можно брутфорсить, тупо в цикле все эти пароли, что-то вроде этого:
md5( $login . $password[$i] )
ну или md5( $login . "/" . $password[$i] )
А теперь внезапно, посмотрим на скорость современного брутфорса, на современных машинах, цифры могут выглядеть так:
MD5 23070.7 M/s
SHA-1 7973.8 M/s
SHA-256 3110.2 M/s
SHA-512 267.1 M/s
NTLM 44035.3 M/s
DES 185.1 M/s
WPA/WPA2 348.0 k/s
23 миллиона хэшей md5 в секунду, 8 миллионов sha-1 хэшей.
Шестисимвольные пароли подбираются за секунды (!), семисимвольные - дело нескольких минут. Словарные соответственно - и того меньше. Да, мы говорим не о plaintext, а об индивидуально посоленных и хэшированных паролях. Если они слабые или известные - им хана.
Первый проход (это будет проход со словарем) по базе посоленных и хэшированных паролей займет всего лишь пару часов. Второй - еще несколько дней. Слабые пароли будут поломаны. Сильные - нет.

А если вам кто-то рассказывает, что "архитектура главное", но сам при этом хэширует пароли через md5 или sha - знайте, он ничего не понимает в криптографии.
Windows Safari Chrome
 Екатеринбург
2
0
Пёх
23 миллиарда, 8 миллиардов же.
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Первое знакомство с комбинаторикой действительно пугает.
Например, 6-символьный пароль только из букв a-z и цифр - это уже больше 2 миллиардов вариантов. Один пароль одного пользователя (мы же про соленые хеши говорим, если кто помнит).
Windows Safari Chrome
 Екатеринбург
1
0
Пёх
Не, я про то, что Damaten неправильно прочитал свои же значения скорости.  Видеокарта проверяет в секунду десятки миллиардов MD5-хэшей, а не миллионов.
Windows Firefox
 Москва
0
0
arkharis
Всё правильно, поэтому разработчики PHP предупреждают об опасности использования md5 и sha1 для генерации хэшей паролей и строго рекомендуют использование функций password_hash и password_verify.
Linux Ubuntu Safari Chrome
 De Linge PJ Dronten (The Netherlands)
0
0
Чук
Hashcat + список наиболее часто употребляемых паролей. Думаю процентов 90 подберется довольно быстро.
И вот еще. Алгоритм работы ASIC майнера _совершенно_ не подходит для взлома паролей. Я имею ввиду именно алгоритм работы непосредсвенно микросхемы-числомолотилки.
Windows Firefox
 Elisa Oyj
0
0
mithron
хм. То есть вы солите пароли логинами? То есть повторяющиеся пары логин-пароль у вас и еще на каком-то сайте будут иметь один и тот же хеш?
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Вы не заметили конструкцию " / " между полем и логином? Вместо нее может быть все, что угодно.
Windows Firefox
 Elisa Oyj
0
0
mithron
Спасибо! Действительно подумал, что просто для иллюстрации.
Linux Safari Chrome
 Томск
0
0
Damaten (#7501642)
Ну, на одном движке если сайты - то да, будет одинаковый хэш.
Так что не надо изобретать свои механизмы соли, надо брать проверенные, вроде PHP-шной функции crypt
https://php.net/manual/en/images/2a34c7f2e658f6ae74f3869f2aa[...]
Linux Safari Chrome
 Санкт-Петербург
0
0
Leonid Kaganov
У каждого движка соли (их много для разных нужд) генерируются в в конфигурации и представляют собой длинные строки.
Windows Firefox
 San Jose
0
0
Heisenberg2
Были времена когда линукс ломали на счет раз. Я как-то словил руткит когда вписал прямой IP перед обновлением системы. 10 минут хватило. С тем дистрибутивом мне, конечно, повезло - у него было аж штук шесть уязвимостей под рутовый эксплойт.

Спаммерские ботнеты одно время даже преобладали на линуксе. Были даже ботнеты на OpenWRT.
Linux Safari Chrome
 Москва
0
0
_ (ngs-govno)
> Были даже ботнеты на OpenWRT

Они никуда не делись. Даже наоборот
Windows Safari Chrome
 Домодедово
1
0
id
> Так поздравим ЖЖ, «SUP Media» и лично Александра Мамута с непревзойденной криворукостью местных программистов в напрочь загубленном проекте. А на дворе шел 2018 год, между прочим.

Леонид, на дворе 2018 год, между прочим. Ты считаешь, что админы ЖЖ тупы? А возможно, все наоборот: они трезво просчитывают риски?
И среди двух зол: "пароль юзера Lleo утек куда-то в сеть" и "приходится отвечать "нет" человеку в штатском, потребовавшему предоставить пароль юзера Lleo", они осознанно выбрали меньшее?

Помнится, был такой Telegram, который как раз так и ответил: "Не можем предоставить пароли, так как не храним их"...
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Не понял глубины мысли.
В ЖЖ пришел человек в штатском и попросил пароль Васи Пушкина, а ЖЖ в ответ слил хакерам пароли вообще всех абонентов? Логика ускользает.
Windows Safari Chrome
 Гонконг
0
0
trueASheran
В ЖЖ пришел человек и попросил пароль Васи Жмуркина. Потом пришел еще раз и попросил пароль Славы Укуркина. Потом еще и еще. В ЖЖ сказали человеку - забирай уже всю базу сразу, а то зачем зря столько раз ходить. А уж человеки в своей конторе базу хакерам спамерам и слили.
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Наивный вы как ребенок. ЖЖ для того и был куплен, чтобы компетентные люди имели всю базу сразу. И ICQ для того же. Вложить такие миллиарды в контроль над важным сетевым ресурсом ради того, чтобы потом обивать пороги с листочком по одному - вы серьезно? :)))
Linux Safari Chrome
 Москва
0
0
vctor
Что-то не заметно бережливого отношения к курице, несущей золотые яйца.
Как только купили мегапопулярный в те времена ресурс, так сразу стали его убивать.
Linux Firefox
 San Mateo
0
0
sfsfsfsdf
так его же не преднамеренно убивали, а просто по-другому не умеют управлять
Windows Safari Chrome
 Домодедово
2
0
id
> Не понял глубины мысли.
> ЖЖ для того и был куплен, чтобы компетентные люди имели всю базу сразу.

Вот ты сам и раскрыл всю глубину: именно для того, чтобы базу можно было иметь, она и хранится плейнтекстом, а не хешами.
Windows Safari Chrome
 Москва
2
0
DarkSup
Да ну, как-то сложно. Человеку в штатском один раз выдаётся админский пароль, и он сам уже потом заходит в аккаунт Васи Вилкина, и Пети Ложкина, и даже Сергея Лукьяненко. Сами-то пароли человеку на фиг не сдались, ему компромат накопать...
Linux Safari Chrome
 Москва
0
0
vctor
СУП-Носик-Мамут.
Ностальгия пополам с тошнотой.
Windows Safari Chrome
 Гонконг
2
0
trueASheran
Лично подбирал пароль на двери туалета с кодовым замком из 10 кнопок за пять минут. Брутфорс работает!
Linux Safari Chrome
 Москва
3
0
_ (ngs-govno)
Если были 5 минут, значит не очень то и хотелось
Windows Safari Chrome
 Москва
1
0
DarkSup
Туалеты обычно запираются изнутри, а не снаружи.
Так что тут, видимо, пришлось подбирать уже после завершения процесса, чтобы выйти.
Windows Safari Chrome
 Екатеринбург
1
0
Пёх


Windows Safari Chrome
 Челябинск
1
0
vinny-the-poo
В заведениях типа Макдональдса на кодовый замок запирается как раз-таки снаружи. А код печатается на чеке. Чтобы пользоваться мог только клиент. Изнутри дверь запирается только на щеколду.
Windows Firefox
 Москва
2
0
vctor
Даже Макдаки у вас суровы. В мск пока общедоступно.
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
У нас?!!

С этой фигнёй я столкнулся в Ницце, на Английской набережной.

Добрый сортрудник втихаря сунул мне чей-то выброшенный чек. А выйдя из заведения, я увидел ещё одного члена нашей группы, влекомого сюда явным желанием, читавшимся в глазах. Передал ему чек, как переходящее знамя.

P.S. Я по Макдональдсам не хожу, думал везде так.
Windows Safari Chrome
 Мытищи
0
0
2:5020/321
Это где такие? У нас пока вроде как PissFree
Windows Safari Chrome
 Челябинск
0
0
vinny-the-poo
Windows Firefox
 Израиль
5
0
Павел бывший Пашка
Любые кодовые механические замки дешевле 100 долларов я открываю за несколько минут голыми руками. Не взламываю - открываю. Хуле, всю жизнь в металлообработке так или иначе. Слесарь-программист, ага.
Еще не было такого, чтобы не смог. Могу и с завязанными глазами, это не выебон, просто зрение для этого не нужно.
Нет, был один интереснейший случай. Не открыл, но успешный.
Принесли ребята на спор висячий кодовый замок незнакомой системы. Пробую, щупаю - хуйня какая-то. Как будто не замок.
Стал внимательно осматривать. Кодовые колесики есть, да... но на другой стороне замка прямоугольная выемка примерно 30 х 10 мм и глубиной с миллиметр, так вот - в ней и вокруг металл слегка потерт. К тому же корпус - латунь...
Ну? Еще не поняли?
Туда магнитный ключ прислоняли, а колесики - просто маскировка. На вот тебе, крути, подбирай!
И точно, парень достает из кармана ключ - 4 неодимовых магнитика в пластик залито.
Вот уважаю такой подход!
На прошлой работе также грамотно камеры безопасности были сделаны - открыто висели муляжи с красными огонечками - на, ломай, а настоящие камеры были хорошо попрятаны и имели автономное питание. Но такие умные хозяева стали только после ограбления...
Понимаете принцип?
Сам ввод пароля может быть обманкой для лохов и воров. А чтоб зайти, для своих надо сперва нажать, скажем, на какой-то незаметный пиксель в углу... Тут можно пофантазировать.
Windows Firefox
 Тула
1
0
stream
Легкое гугление дает https://ljpromo.livejournal.com/840465.html где особенно интересен последний коммент
Linux Safari Chrome
 Москва
1
0
_ (ngs-govno)
Увидел давно забытое слово "спам". Издержки своего почтового сервера?
Linux Safari Chrome
 Москва
0
2
Leonid Kaganov
Вам конечно виднее, но вообще у меня почта домена на Яндексе.
Windows
 Москва
4
0
_ (ngs-govno)
Что виднее? Я же вопрос задал. Удивил яндекс, конечно...
Windows Safari Chrome
 Москва
1
0
crompton
Мне прислали старый пароль от вконтакта (ну, может, 2008 года), два пароля от qip.ru и один часто используемый непонятно откуда. Судя по написанному выше, это мог быть diary.ru. А вот от жж не присылали, возможно, потому, что он привязан к другому ящику. Почему-то идут письма на один ящик, а на тот, к которому жж привязан ничего не приходит. Возможно, мейл.ру просто фильтрует такие письма как спам.
Mac Safari
 Швейцария
4
0
Миха23
Это, конечно, феерично. Суп из семи залуп.

Но в вашем дневнике, Лео, регистрация тоже до жопы кривая.
Windows Firefox
 Mt Laurel
0
0
Andy Kovtun (qolorado)
Между брутфорсом и плейнтекстом есть еще такая штука как словарная атака. Пароли типа "cegpftfk100hfp" libcrack с нужными словарями раскручивал 20 лет назад на полудохлом пеньке-2 просто влет.

Затем-то и нужны хитровыебанные пароли, чтобы только брутфорс, только хардкор. Т.ч. супчик вполне себе мог хранить хэши, просто словарные пароли раскрутили либкраком.
Windows Safari Chrome
 Санкт-Петербург
0
0
Вячеслав78 (#7499747)
Мне каждый день прилетает по 4-5 таких писем. Пароли всегда разные, но мои. Т.е, это действительно мои пароли, которые я когда-то придумывал для реги на каких-то сайтах.

И был один пароль, который я совершенно точно помню (где и когда). Это старый пароль от VK.COM.

Также был второй пароль, который использовался мной на сайтах знакомств MAMBA.

В итоге, делаю вывод, что эти товарищи работают по слитым базам ВКОНТАКТЕ И МАМБА.РУ.
Linux Safari Chrome
 Санкт-Петербург
0
0
Svami Dhyan Nataraj (shaplov)
1. Прикольно. Я такие письма поудалял невозвратно. Придет следующее, надо будет посмотреть...

2. Новость не очень хорошая, потому что у меня в ЖЖ было всего два пароля, один из них дефолтный для не очень важных вещей... Как и у тебя, со времен DataForce'а. Возможно его теперь придется менять...

3. На счет пин кода ты прав, но только почти: вопрос именно в особенностях проектирования системы. Банк может гарантированно организовать прекращение попыток подбора после трех (или сколько надо) попыток тупо заблокировав карту. Поэтому четыре цифры вполне достаточно. Сайт же такой возможностью не обладает. Может замедлить этот процесс, затруднить капчей, но количество попыток у атакующего -- велико. Поэтому пароль обязан быть сложнее...
Mac Safari
 Домодедово
0
0
id
Достаточно после трех неудачных попыток блокировать логин всего лишь на 5 минут, чтобы сделать брутфорс бессмысленным.
Linux Safari Chrome
 Санкт-Петербург
0
1
Svami Dhyan Nataraj (shaplov)
Это прекрасный способ прострелить себе ногу. Далее злохакер пишет скрипт пытающийся три раза логиниться случайным паролем раз в пять минут, и жертва не сможет зайти на сайт никогда...
Linux Safari Chrome
 Москва
0
1
Leonid Kaganov
Но только в случае, если жертва не залогинена :) А найти такой момент сложно.
Linux Safari Chrome
 Санкт-Петербург
2
0
Svami Dhyan Nataraj (shaplov)
ну, во-первых у всех разный стиль использования веба. Кто-то таки разлогинивается (сам видел)
А во-вторых можно отдельно попробовать совершить атаку на сессию авторизации... Это не так просто как перебор паролей, но метод социальной инженерии скажем может хорошо сработать...
Windows Safari Chrome
 Челябинск
1
0
vinny-the-poo
«Возможно его теперь придется менять»

Вообще-то следовало сделать это сразу, как только мысль пришла в голову, до написания комментария. В ЖЖ это несложно.

-------------------------------------

«Для регистрации на сайте задайте пароль»
...
«Данный пароль уже используется пользователем Pupkin_123. Задайте другой пароль.»
Windows Firefox
 Москва
1
0
Qware
Иногда чтобы понять, хранится ли пароль в plaintext, достаточно запросить его восстановление. Если пришлют сам пароль, значит точно plaintext, если ссылку на его сброс/замену - уже есть варианты. Увы, даже в 2018 очень часто присылают сам пароль.
Windows Safari Chrome
 Киев
0
1
Serj K.
Ну, если сделано по-человечески, тоже не факт, что такая система «всё, капут, ломабельно» - пароль может по кускам лежать в разных местах, а собираться в случае надобности.
Гхм. Не. Фантастика.
Linux Firefox
 Дмитров
0
0
id59577522
А я сегодня утром вот такое письмо прочитал: https://lkml.org/lkml/2018/10/31/412

On that day your account (linux-kernel@vger.kernel.org) password was: qwerty

Что-то сомневаюсь насчет qwerty.
Windows Firefox
 Пущино
2
0
Келаврик
Как я понимаю, могут украсть базу с пересоленными паролями и тупо у себя заняться перебором. Тогда пароль из 4 цифр подбирается влёт.

А вообще длинные пароли предполагают запись на бумажку и хранение бумажки. Что ненадёжно уже по другим причинам.
Linux Ubuntu Firefox
 Казань
0
0
Ironsea (#7501682)
У меня такие письма содержат пароль от сайта объявлений "Из рук в руки", давно уже им не пользовался.
Windows Firefox
 Израиль
0
0
Павел бывший Пашка
А у меня куча разных, впрочем, не очень важных паролей были записаны на дверце шкафчика внутри маркером. Много лет там все это копилось, а на днях выкидывал этот шкафчик, и получил неожиданную головную боль - что с этим делать? Чтобы не потерять ничего и чтобы не утекло...
Сфотографировал. Послал самому себе. Первая часть решена.
Потом полчаса мыл ацетоном - ненадежно... Кое-что проступает...
Пришлось взять спрей, остатки закрасить, потом еще открутил эту дверь и выкинул отдельно, в другую помойку.
Windows Safari Chrome
 Мытищи
0
0
2:5020/321
Сжечь?
Windows Safari Chrome
 Киев
0
0
Serj K.
Странно, мне такое тоже в течение месяца приходилдо, но судя по пассу, грех повесил не на СУП, а на QIP.
Linux Ubuntu Safari Chrome
 Москва
0
0
Andrey (azangru)
Какой же русский акцент у этого хакера!

It turned out beautifully, do not hesitate — это они так «не сомневайтесь» поди пишут.

А "Narrative, if I do not receive the specified amount from you, then your device will be blocked" — это наше «Рассказываю, если я не получу денег на указанный счет, то...».

Прямо брр.
Mac Firefox
 Киев
1
0
Pavel (gul-kiev)
Всегда маркирую пароли. Присылали от vk, lj, torrents.ru и нескольких других говносайтов типа last.fm.

А вот насчёт четырёх цифр - тут есть нюансы. Допустим, у хакера всего три попытки. Вероятность 0.03% - невелика. А матожидание?
А если у хакера есть база из 10000 логинов, для каждого из которых есть три попытки, какое количество таких паролей он сможет угадать?

Ну и, конечно, у сайта и у банкомата разные ситуации. У банкомата есть пользователь с физической картой, которую и можно заблокировать после трёх неудачных попыток. К банкомату не придёт хакер с сотней тысяч ворованных карточек, и не начнёт их перебирать со скоростью сотни в секунду, с разных адресов. На сайте всё иначе, поэтому четырёх цифр для пароля недостаточно.
Windows Safari Chrome
 Австралия
0
0
Аноним164 (#7506344)
Про rainbow tables уже писали? Никаких plain text паролей, конечно, никто не хранит. А tipatupo, evtyz3gth и т.д. лучшие клиенты для радужных таблиц.
Windows Safari Chrome
 Самара
0
0
МимокрокодилЪ (#6703133)
Если бы утекли дампы, но в них лежали бы многократные хеши от соленых пассвордов, то и брутфорсы, и словари, и радужные таблицы шли бы лесом. Об чем Лео и говорит. Явно дырища где-то не только в способах охраны от утечек, но и в технологиях хранения и проверки пассвордов.

всего комментариев: 206

<< предыдущая заметка следующая заметка >>