Forum » Informacijska varnost » hotmail password crack (not a joke)
hotmail password crack (not a joke)
____ ::
Pozdrav!
tak bom reko..prebral sem par zanimivih člankov kako uspešno crackati hotmail account (gmail, yahoo etc.) in trdijo da je to enostavno nemogoče. Med drugim so izpostavli dva ki jima je to uspelo (kao genija). Jaz pa bi rad vas povprašal, če vam je uspelo slučajno.
Ps; nena pišem zato, da bi odkril načine, zato NOČEM niti da napišete ime kakih programov ali opišete načine kako vam je uspelo, le zanima me ali se da ali ne.
Ps2: Govorim o načinu crackanja gesla nekoga, ki se še nikoli ni na vašem računalniku prijavil, torej da nebi moglo nikjer v domačem računalniku biti še zabeleženo to geslo.
Hvala,
Lp, Tadej
tak bom reko..prebral sem par zanimivih člankov kako uspešno crackati hotmail account (gmail, yahoo etc.) in trdijo da je to enostavno nemogoče. Med drugim so izpostavli dva ki jima je to uspelo (kao genija). Jaz pa bi rad vas povprašal, če vam je uspelo slučajno.
Ps; nena pišem zato, da bi odkril načine, zato NOČEM niti da napišete ime kakih programov ali opišete načine kako vam je uspelo, le zanima me ali se da ali ne.
Ps2: Govorim o načinu crackanja gesla nekoga, ki se še nikoli ni na vašem računalniku prijavil, torej da nebi moglo nikjer v domačem računalniku biti še zabeleženo to geslo.
Hvala,
Lp, Tadej
- premaknil iz Omrežja in internet: Gandalfar ()
Matek ::
Ne da se. Če bi se dalo, bi bil to huge security issue in bi se o tem pisalo povsod po internetu. Lahko nekomu podtakneš keylogger, lahko uganeš odgovor na neumno izbrano vprašanje za resetiranje gesla, ne moreš pa pognati programčka in skrekati gesla od accounta.
Bolje ispasti glup nego iz aviona.
Vanadium ::
No jaz bom tako rekel, men so vdrli v moj gmail 2x in so uspesno spremenil geslo in je trajalo nekaj časa, da sem jih takrat nazaj dobil, pa nism mel nobenega trojanca, virusa, ne obiskujem čudnih strani..., prvic sem sam bil kriv, ker sem imel slabo geslo, drugič pa je bilo geslo že malo boljše pa jim je vseeno uspelo. Zdaj mam 19 mestno geslo z ciframi, velikimi in malimi črkami, pike pa taki znaki pa je ze 3 cca leta mir bogu hvala. Dobim pa na drugi mail ki ga imam pri operaterju in je določen mail za resetiranja passworda vsake toliko časa da je nekdo hotu resetirat geslo, torej nekaj se dogaja v tej smeri pomoje
Zgodovina sprememb…
- spremenilo: Vanadium ()
;-) ::
Če ma človek enostavno geslo, ne predolgo bi lahko z bruteforce šlo, je pa dolgotrajen postopek.
Matek ::
Če ma človek enostavno geslo, ne predolgo bi lahko z bruteforce šlo, je pa dolgotrajen postopek.Em, ne vem če. Za bruteforcanje potrebuješ dostop do baze oz. hash od nastavljenega gesla, nad katerim se lahko potem bruteforce zneseš. V primeru omenjenih Google/Hotmail/Yahoo spletnih emailov pa lahko poskušaš edino z vnašanjem gesla v za to namenjeno polje na strani, kar pa gre bistveno bistveno počasneje in je tudi s strani ponudnikov omejeno zaradi zaščite pred podobnimi napadi.
Bolje ispasti glup nego iz aviona.
;-) ::
Jaz sem mislo tisto, ko so neki tooli.
Imaš "programček" in wordlisto, v wordlisto vpišeš možne kombinacije gesla, črke, besede, številke, ki so povezane z napadenim in potem program probuje kombinacije. Vnešeno ima zamik med poskusi, da ponudnik ne opazi kaj nenavadnega.
Imaš "programček" in wordlisto, v wordlisto vpišeš možne kombinacije gesla, črke, besede, številke, ki so povezane z napadenim in potem program probuje kombinacije. Vnešeno ima zamik med poskusi, da ponudnik ne opazi kaj nenavadnega.
Matek ::
Aha, ok, ampak to se obnese samo, če je oseba res tako neumna, da za geslo uporablja kako ime/rojstni dan bližnjih ali kaj podobnega, obenem pa jo mora napadalec tudi osebno poznati in imeti dostop do omenjenih podatkov. Že povsem enostavno geslo, ki nima očitne povezave z lastnikom računa (npr. "traktor") pa je odporno na tak "napad".
Ampak to nikakor ni crackanje gesla, zgolj malenkost avtomatizirano ugibanje. Kakega dictionary attacka pa, ker nimaš hasha, ne moreš izvesti, kaj šele kakega bolj obsežnega bruteforce napada.
Ampak to nikakor ni crackanje gesla, zgolj malenkost avtomatizirano ugibanje. Kakega dictionary attacka pa, ker nimaš hasha, ne moreš izvesti, kaj šele kakega bolj obsežnega bruteforce napada.
Bolje ispasti glup nego iz aviona.
333333 ::
Kak pa si dobil geslo nazaj? Pa so ti spremenili tud security quection pa answer?
Spiritual
Zgodovina sprememb…
- spremenilo: 333333 ()
Ales ::
Berem par postov v tej temi in moram napisat par stvari.
Tudi pri brute force napadu (tudi na daljavo) že dolgo obstajajo programske rešitve, ki poleg golih matematičnih iteracij uporabljajo različne druge tehnike. Vedenjske raziskave v kombinaciji s statistiko, pa se pride daleč. Osebni podatki dan danes tudi niso več nobena skrivnost. Napadi z različnih lokacij in velikega števila računalnikov niso neka velika težava.
Torej...
Minimalno uporabljate gesla dolga 8 naključnih znakov, ki vsebujejo najmanj eno veliko, eno malo črko, eno številko in po možnosti še en poseben znak (procent, zvezdica, plus, itd.). Tako boste dosegli vsaj približno zadovoljivo entropijo gesla.
Nikoli ne uporabljajte besed iz slovarja, niti če povežete dve skupaj. Nikoli ne uporabljajte besed iz slovarja, ki imajo na koncu dodano eno samo številko. Pri različnih dostopih ne uporabljajte istih gesel. Res ne. Če pa že morate, močno(!) kompenzirajte s kompleksnostjo gesla. Ampak res, NE. Menjajte gesla vsake toliko časa.
Upoštevajte, da nikoli ne veste, kako je geslo shranjeno pri ponudniku storitve. Ja, v nekaterih primerih je to še vedno lahko navaden plain text. In ja, vdori se dogajajo. Forumi, webmaili in podobne storitve niso varne. Do vašega hasha / teksta gesla ima lahko dostop x ljudi, tudi če nikoli ne pride do vdora.
MadPanterjeva izkušnja ni osamljen primer.
Če bo kdo res tako moder, da bo za mail oz. forume uporabljal tako smešno lahko geslo, kot je "traktor", pa naj. Samo ne se jokat pol...
Tudi pri brute force napadu (tudi na daljavo) že dolgo obstajajo programske rešitve, ki poleg golih matematičnih iteracij uporabljajo različne druge tehnike. Vedenjske raziskave v kombinaciji s statistiko, pa se pride daleč. Osebni podatki dan danes tudi niso več nobena skrivnost. Napadi z različnih lokacij in velikega števila računalnikov niso neka velika težava.
Torej...
Minimalno uporabljate gesla dolga 8 naključnih znakov, ki vsebujejo najmanj eno veliko, eno malo črko, eno številko in po možnosti še en poseben znak (procent, zvezdica, plus, itd.). Tako boste dosegli vsaj približno zadovoljivo entropijo gesla.
Nikoli ne uporabljajte besed iz slovarja, niti če povežete dve skupaj. Nikoli ne uporabljajte besed iz slovarja, ki imajo na koncu dodano eno samo številko. Pri različnih dostopih ne uporabljajte istih gesel. Res ne. Če pa že morate, močno(!) kompenzirajte s kompleksnostjo gesla. Ampak res, NE. Menjajte gesla vsake toliko časa.
Upoštevajte, da nikoli ne veste, kako je geslo shranjeno pri ponudniku storitve. Ja, v nekaterih primerih je to še vedno lahko navaden plain text. In ja, vdori se dogajajo. Forumi, webmaili in podobne storitve niso varne. Do vašega hasha / teksta gesla ima lahko dostop x ljudi, tudi če nikoli ne pride do vdora.
MadPanterjeva izkušnja ni osamljen primer.
Če bo kdo res tako moder, da bo za mail oz. forume uporabljal tako smešno lahko geslo, kot je "traktor", pa naj. Samo ne se jokat pol...
Karen ::
Pa še nekaj: večina (tudi sam) uporablja isto geslo za več različnih stvari (jaz recimo imam univerzalno geslo za razne forume kot je ta - torej nizka prioriteta). Samo nevarno pa je isto geslo uporabiti potem za maile, dostop do bančnega accounta ipd. Torej če imaš geslo od enega foruma povprečnega uporabnika si že skoraj zmagal kar se tiče ugibanja.
Glede tvojega originalnega vprašanja pa nimam pojma oz. ne poznam primerov (sicer bi bil ali bogat ali pa za rešetkami, hehe).
Glede tvojega originalnega vprašanja pa nimam pojma oz. ne poznam primerov (sicer bi bil ali bogat ali pa za rešetkami, hehe).
ABX ::
Če moreš udirat v sistem se obrni na uporabnika, človek je daleč najbolj šibka točka varnostnega mehanizma.
No, edina izjema so MS produkti.
No, edina izjema so MS produkti.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
333333 ::
Sicer pa če vzamemo firefox in da so je user shranil gesla kot je vidno na sliki
Če stisnes pokaži gesla se ta izpisejo na ekranu ce so shranjena.
"Prijatelj" gre preverit svoj mail na tvoji kisti in rabi 10s da jih vidi ce je pocasen, recimo en nacin kako bi lahko kdo dobil tvoj password pa vseeno kolk zakompliciran je :)
"Prijatelj" gre preverit svoj mail na tvoji kisti in rabi 10s da jih vidi ce je pocasen, recimo en nacin kako bi lahko kdo dobil tvoj password pa vseeno kolk zakompliciran je :)
Spiritual
Ales ::
Ne pokažejo se kar tako, če je nastavljen master password. V tem primeru bo Firefox ponovno vprašal za master passowrd, tudi če ga je uporabnik že prej vpisal (ko je recimo obiskal neko shranjeno stran, pol ure nazaj). Ampak ja, tako shranjevanje gesel ima pomanjkljivosti.
Vanadium ::
@poe_T: od tega je že kar nekaj časa tako da se malo bežno spomnim vem, da sem nekje našel da je bil mail ukraden pod gmail help in potem so me na drugi mail z googla supporta kontaktirali in sem napisu kateri mail je moj in sem čaku ene 3 dni da se mi je spet javil, potem je poslal mi neki link od gmaila na katerem sem moral vpisat podatke o zadnjem delujočem geslu, kdaj približno sem se nazadnje vpisal uspešno, 10 najpogosteje uporabljenih emailov z katerimi sem najpogostej komuniciral, ter še neke podatke, itd... in na koncu, ko sem dokazal pač, da sem res jaz pravi lastnik sem prišel do možnosti ponastavitve gesla in sem se lahko vpisal. Zanimivo pa je, da je bil vdor narejen iz strani slovenca, ker sem nato še cca pol leta pa še zdaj dobim kako naročilnco za izdelavo ponudbe za gasilsko opremo, aparate ipd. zadeve. Sem jim takrat odgovarjal še, da je bil narejen vdor v moj mail in, da mi zaupajo podatke od osebe ki je uporabljala moj mail da ga prijavim pol je pa vse vtihnilo. Tko da iz moje izkušnje se naučite to da imejte komplicirano geslo tako kot ga imam jaz sedaj pa je mir že, kar nekaj časa. Skratka mail ti, kar hitro plunejo in nisem bil osamljen primer, ko sem takrat odkrival kako rešit zadevo. Baje je celo takrat bila to neka varnostna napaka v gmailu in se je ful hitro dalo pljunit gesla.
EDIT:
sem našel toti link za ukradene gmail accounte:
https://www.google.com/support/accounts...
EDIT:
sem našel toti link za ukradene gmail accounte:
https://www.google.com/support/accounts...
Zgodovina sprememb…
- spremenilo: Vanadium ()
Gost ::
Gesla vam najdejo preko drugih programov. Točno tako ja. V firefoxu recimo ni bilo nastavljenega master passworda in potem se jih da prebrati preprosto ven iz tekstovnih datotek. Obstaja kar nekaj takih virusov.
KoMar- ::
Moja izkušnja: Potegnem si program Eagle (za risat vezja) iz rapidshare.com in ker sem radoveden, prenešeni .exe extractiram z WinRARom (seveda šele po tem, ko sem ga že zagnal, ha-ha)... notri sta bila original installer in "trojanec" (narejen z nekim "password stealer maker"-jem), ki pobrska po registru in raznih .ini datotekah in na nek FTP proba naložit .txt s "poročilom" o geslih na moji mašini. Z Wiresharkom sem potem dobil dostop do tega FTPja in uspel umaknit svoj .txt :-P Pri meni konkretno je uspel dobit samo geslo za Messenger, ampak kaj, ko imam to geslo za več stvari 
Zgodovina sprememb…
- spremenil: KoMar- ()
BigWhale ::
Firewall zna pomagati proti "klicanju domov".
Ja, zato ker ni nihce toliko pameten, da bi sel klicat domov na portu 80, a ne? :)
Vice ::
Kolega je imel tudi skoraj 24 mestno geslo pri googlu, ravno zato ker so mu ga 1x že ukradli. No glej ga zlomka pa so mu tudi to 24 mestno razbili in pošiljali emaile na njegove kontakte... Po vsem tem pljuvanju čez google sem ga vprašal kdaj se mu je to zgodilo in kje je v tistem času uporabljal pošto... in ker ni bilo ravno težko to ugotoviti, saj je na internet hodil v kafiču zraven doma kjer visi cele dneve, sva se odpravila na kraj zločina... Nato sem pokazal svoje neverjetne hekerske sposobnosti in se logiral na njegov account v pičli sekundi, pa še gesla mi ni bilo potrebno razbijati, še manj pa vedeti... Tako da sedaj je dilema ali so hekerji neverjetno bistri ali uporabniki rabijo kakšen "šnel kurz" iz računalništva.
bluefish ::
Bolj slednje, sploh glede na to, da prave hekerje prav malo briga mail naslov od nekega povprečneža. Jasno, froci z internetzom so pa nekaj drugega.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Varna gesla po vladnoOddelek: Programiranje | 5901 (4306) | AndrejO |
| » | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 43179 (29598) | Pero_SLO |
| » | Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in geselOddelek: Novice / Varnost | 8482 (5161) | njyngs |
| » | gmail vdorOddelek: Pomoč in nasveti | 3274 (2532) | Mesar |
| » | Odtujena tudi gesla za Yahoo, Gmail in AOLOddelek: Novice / Zasebnost | 4946 (3655) | techfreak :) |