» »

Odtujena tudi gesla za Yahoo, Gmail in AOL

Odtujena tudi gesla za Yahoo, Gmail in AOL

CNet - Včeraj smo poročali, da se je na spletu znašlo deset tisoč parov uporabniških imen in gesel uporabnikov Microsoftove storitve Live, ki pokriva tudi elektronski predal Hotmail. Microsoft se je hitro odzval na dogodek in uporabnikom na dolgo in široko razložil, kako so se nepridipravi dokopali do njihovih osebnih podatkov. Zelo enostavno, pravzaprav, sami so jim jih dali, ko so se ujeli na limanice tehnike ribarjenja.

Sedaj pa so po medmrežju zakrožili še osebni podatki uporabnikov Gmaila, Yahooja in AOL-a. Skupno naj bi šlo za več kot 30.000 javno objavljenih podatkov, medtem ko je številka dejansko pridobljenih verjetno še mnogo višja. Google se je odzval z besedami, da so pozorni na industrijo ribarjenja in da se trudijo zavarovati uporabnike, a najbolj se lahko ti zavarujejo sami. Doslej so sicer morali ponastaviti le približno 500 gesel prizadetih računov. Tudi Yahoo poziva uporabnike, naj skrbijo za higieno svojega računalnika, k čemur sodi tudi redno spreminjanje gesel in uporaba zdrave pameti pri klikanju. Problematični so zlasti leni uporabniki, saj nedavne raziskave kažejo, da kar 40 odstotkov uporabnikov uporablja isto geslo za vse spletne strani, vključno z elektronskim bančništvom.

30 komentarjev

Redorange ::

Problematični so zlasti leni uporabniki, saj nedavne raziskave kažejo, da kar 40 odstotkov uporabnikov uporablja isto geslo za vse spletne strani, vključno z elektronskim bančništvom.

Predlog za naslednjo anketo...

BaRtMaN ::

SuperGenPass

Dragi ::

Problematični so zlasti leni uporabniki, saj nedavne raziskave kažejo, da kar 40 odstotkov uporabnikov uporablja isto geslo za vse spletne strani, vključno z elektronskim bančništvom.

Jst delam točno to. Komu se da zapomnit vsa gesla ki jih ima.

Operina datoteka s fajli ima nekje 50KB, zdej pa sami poračunajte na kolkih straneh sem registriran. Da bi si dal vsakič novo geslo? Japajade.

Biometrični čitalnici prstnih odtisov FTW.

Zgodovina sprememb…

  • spremenil: Dragi ()

techfreak :) ::

Imam povsod drugo geslo ... in večino gesel imam tudi nekje zapisano. Je pa res, da sem ta mesec moral 2x resetirati geslo na PayPalu, ker sem ga enostavno pozabil.:|

P4ajo ::

Imam povsod drugo geslo ... in večino gesel imam tudi nekje zapisano. Je pa res, da sem ta mesec moral 2x resetirati geslo na PayPalu, ker sem ga enostavno pozabil.:|


Če jih imaš zapisane na računalniku ravno tako reskiraš...

Osebno imam na nekih nepomembnih straneh, ki nimajo nobene veze z denarjem in podobnih isto geslo, na pomembnejših straneh pa je drugačno povsod...

techfreak :) ::

Misliš da se bom sekiral, če mi geslo za ST najdejo? Za PayPal in podobne storitve pa si ga zapomnem ... ali pa zahtevam novo geslo ob naslednji prijavi.

Poldi112 ::

>Če jih imaš zapisane na računalniku ravno tako reskiraš...

Nope, oz. minimalno. Pač zakodiraš tisto datoteko pa je.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Daniel ::

Trucrypt in na zakriptirani particiji datoteka z gesli. Res pa je, da ne smeš pozabit Truecrypt gesla :D tega ne moreš ponastaviti

techfreak :) ::

Trucrypt in na zakriptirani particiji datoteka z gesli. Res pa je, da ne smeš pozabit Truecrypt gesla :D tega ne moreš ponastaviti

Ko že ravno omenjaš Truecrypt ... s katerim programom in kako dolgo bi trajal bruteforce napad, da bi lahko odklenil Truecrypt container (geslo od a - Z, 0-9, $ in ostali znaki, 20-40 znakov)?

Edit: Typo

Zgodovina sprememb…

slitkx ::


Ko že ravno omenjaš Truecrypt ... s katerim programom in kako dolgo bi trajal bruteforce napad, da bi lahko odklenil Truecrypt container (geslo od a - Z, 0-9, $ in ostali znaki, 20-40 znakov)?

Čemu bi to TI moral vedeti?

Zgodovina sprememb…

  • spremenil: slitkx ()

techfreak :) ::

Me ne sme preprosto zanimati? So takšne informacije tipa classified?

Če te že zanima, sem se nekaj časa nazaj zaklenil kar nekaj skeniranih dokumentov + emailov ... in ker vsega nimam natisnjeno, bi rad prišel do teh podatkov in sem pozabil geslo.

Azrael ::

Če ima container s pozabljenim geslom?
Nekoč je bil Slo-tech.

slitkx ::

Me ne sme preprosto zanimati? So takšne informacije tipa classified?

Če te že zanima, sem se nekaj časa nazaj zaklenil kar nekaj skeniranih dokumentov + emailov ... in ker vsega nimam natisnjeno, bi rad prišel do teh podatkov in sem pozabil geslo.

Itak, da te lahko. Samo v prejšnjem postu "zveniš" kot kak cryptmulc, ki mu je dolgcajt, pa bi rad malo čekiral tuje zadeve. ;):D

techfreak :) ::

Očitno me še ne poznaš. Se lahko zdaj vrnemo na prvotno temo oz. če kdo ve odgovor na moje prvotno vprašanje?

McMallar ::

Če želiš to bruteforcat pozabi. Not in your lifetime...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

techfreak :) ::

Če želiš to bruteforcat pozabi. Not in your lifetime...

Je še kakšen drug način?

Azrael ::

Če veš koliko znakov je bilo geslo dolgo, je to že precejšnje zmanjšanje možnih variacij, enako tudi, če veš del gesla ali katerih znakov zanesljivo ni bilo notri itd.

Kdaj in koliko se bo čas razbitja gesel za tak primer, skrajšal, ne vem.

Glej novice na S-T ali se zaposli in požanji uspeh pri neki tričrkovni agenciji, ki so jim take stvari v veselje in imajo na plačilni listi nekaj brihtnih buč, ki se ukvarjajo s problemi take sorte.
Nekoč je bil Slo-tech.

MrStein ::

SuperGenPass


Hej! Ukradel mi je idejo ! ;)

Ima pa nekaj slabosti:
- če spremenim eno geslo, moram spremeniti vse (ja, avtor svetuje oni trik s številkami, a potem si moraš zapomniti, na katerih mestih imaš tak, pa vrednost števca za vsako mesto)
- za vse storitve na foo.bar.com, baz.bar.com itd... generira isto geslo. Sicer je bolje, kot isto geslo na vseh spletnih straneh, a vseeno.
- mogoče še kaj, a se v tem trenutku ne spomnim...

Angel478:
Problematični so zlasti leni uporabniki, saj nedavne raziskave kažejo, da kar 40 odstotkov uporabnikov uporablja isto geslo za vse spletne strani, vključno z elektronskim bančništvom.

Jst delam točno to. Komu se da zapomnit vsa gesla ki jih ima.

Operina datoteka s fajli ima nekje 50KB, zdej pa sami poračunajte na kolkih straneh sem registriran. Da bi si dal vsakič novo geslo? Japajade.

Biometrični čitalnici prstnih odtisov FTW.

Certifikat FTW ! ;)
Sicer podpirajo poznam trenutno le tri strani, ki jo podpirajo, ampak počasi se daleč pride.
(e-davki..., ecare.simobil.si , NLB Klik - tu je sicer še dodatno geslo)


Aja, ponekod nimam istega gesla kot sicer. In se j*bem s supportom že en mesec, ker sem na enem geslo pozabil, zdaj pa se pogajam za resetiranje...

Pa še to: geslo SE ZAPIŠE. Razen če misliš ankrat v prihodnosti razlagati, "Draga, pejt na ulico beračit, ker sem pozabil master password in... ne, nikjer ga nimam zapisanega... torej nimam dostopa do TRR, PayPal-a itd..." ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

BaRtMaN ::

MrStein: Za tvojo drugi pomanjkljivost je poskrbljeno, imaš v nastavitvah "Disable subdomain removal". Lahko si zgradiš prikrojen SuperGenPass, nastaviš lahko pa v bistvu dve zadevi:
- dolžino generiranega (hasha)
- rezanje poddomene

Kar se tiče rednega spreminjanja gesla je pa res malo nadležno, ker moraš spremenit na vseh straneh istočasno. Ampak vsaj veš, da bo delovalo eno geslo iz zelo male množice (masterpass014-masterpass020 recimo). Sam sicer nimam ciklusa menjavanja, priznam da se počutim s tako dolgim geslom (več kot default) dovolj varno.

Al bi se temu reklo le false sense of security? :)

Hm, po kratkem razmisleku je tole kar dobra varnost. Če nekdo vdre v kakšno bazo uporabniških podatkov, kot prvo upam, da tam hranijo posoljene hashe in ne plaintext gesla. Marsikatera stran to še dela, ampak četudi napadalec tam dobi moje geslo, mu to koristi le za tisto domeno. Da bi šel pa prav delat mavrične tabelce za vsako domeno za ugotovitev glavnega gesla za prav uporabnike tega bookmarkleta, ki jih je mogoče 0,1%, se mi pa ne zdi smiselno. Ni nek tradeoff med time/profit. :)

Zgodovina sprememb…

  • spremenil: BaRtMaN ()

MrStein ::


- rezanje poddomene

Kje točno je ta opcija?
A potem sploh ne reže? Pol je problem, če greš na www.slo-tech.com, naslednji dan pa na slo-tech.com, pa ti ni jasno zakaj geslo ne prime ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::


- rezanje poddomene

Kje točno je ta opcija?
A potem sploh ne reže? Pol je problem, če greš na www.slo-tech.com, naslednji dan pa na slo-tech.com, pa ti ni jasno zakaj geslo ne prime ;)

Vsaka stran ima praviloma preusmeritev iz www na non-www ali pa obratno.

MrStein ::

slo-tech nima
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

slo-tech nima

Jah kaj ti naj rečem ... uporabi brskalnik iz tega tisočletja.

BaRtMaN ::

- rezanje poddomene
Kje točno je ta opcija?
A potem sploh ne reže? Pol je problem, če greš na www.slo-tech.com, naslednji dan pa na slo-tech.com, pa ti ni jasno zakaj geslo ne prime ;)

My bad, na strani lahko spremeniš le, ali si zapomne master password, ciljni brskalnik in dolžino gesla.
SuperGenPass

SuperGenPass


Na zgornji sliki maš opcijo. Na žalost moraš vsakič klikniti na show/hide poleg Regenerate password, odkljukati Disable subdomain removal in klikniti Submit.

MrStein ::

DejanL15:
slo-tech nima

Jah kaj ti naj rečem ... uporabi brskalnik iz tega tisočletja.

Ah, prej stran, zdaj pa je že brskalnik (FF 3.5) kriv? Daj odloči se.


Na zgornji sliki maš opcijo. Na žalost moraš vsakič klikniti na show/hide poleg Regenerate password, odkljukati Disable subdomain removal in klikniti Submit.

A to ima mogoče per domain setting? (dvomim)
Pol bi bilo že boljše.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

techfreak :) ::

Ja večina strani ima preusmeritve urejene. Recimo siol.net pa nima.

In očitno imaš star brskalnik, če ti preusmeritev na ST ne deluje.

BaRtMaN ::

Preusmeritve so server-side in del http-ja, za katerega mislim, da ga FF kar lepo podpira.

techfreak :) ::

Ja, ampak MrSteinu očitno ne deluje.

MrStein ::

Ja, ampak MrSteinu očitno ne deluje.

Kaka preusmeritev? ST obiskujem že leta z raličnimi PC-ji in browserji in še nikoli nič ni preusmerjal. Vsaj koliko se spomnim. Kaj ti vtipkaš in kam te preusmeri?

Aha, z www.ST... na ST.... www nikoli ne tipkam ;)
Samo tu je še star.slo-tech.com, ki nikamor ne preusmeri.
Sicer res ne vem kaj tu žvečiš. Isto geslo na različnih poddomenah na enih strežnikih in različna gesla na drugih so preverljivo dejstvo web-a.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

techfreak :) ::

Samo pravim, da ponavadi se težko prijaviš posebej na www. in posebej na brez-www, ker so preusmeritve.

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Previdno! Na pohodu je nova internetna prevara!

Oddelek: Informacijska varnost		52462 (1916) bili_39a
»

Lažni profili na Facebooku pogosta zloraba

Oddelek: Novice / Varnost		159458 (7784) c3p0
»

Sony ni pričal pred Kongresom, uradno mnenje IP

Oddelek: Novice / Varnost		135512 (4245) 3furious
»

Ribarjenje vedno manj priljubljeno

Oddelek: Novice / Zasebnost		216755 (5339) fiction

Več podobnih tem