» »

Hotmail gesla kar po domače rezal na 16 znakov

1
2
»

Rias Gremory ::

Ummm...ne razumem vprašanja ker nisem podkovan v tej smeri. Kar sem hotel povedati je to, da bi že zdavnaj kdo ugotovil kakšno nepravilnost in jo sporočil.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Lonsarg ::

Ti res verjameš, da na prvo stran google zadetkov ne more zlonamerna spletna stran? Hm, kako računalnik naresti varen za uproabnike kot si ti, hud izziv:)

Rias Gremory ::

Seveda lahko. Vendar pač afaik search mašine probavajo delovati v smeri, da bi našli čim manj zlonamernih strani oz. jih pač blacklistajo.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

VolkD ::

Rias Gremory je izjavil:

Ne boš verjel, našel sem 2 strani in nobena me ni vprašala za kaj uporabljam geslo, če ti ni všeč pač ne uporabljaj.

http://howsecureismypassword.net/
http://www.passwordmeter.com/

To je bedarija. odtipkal sem to kar sem videl - torej "Enter password" in dobil rezultat 655 million years.

Če bi šel iskat neko geslo bi najprej odtipkal vse kar mi je v vidnem polju. Ta stran je torej povsem neuporabna za testiranje kvalitete gesla.
Preden zaspiš zapri oči. Preden zapreš oči, ustavi avto.

Roadkill ::

http://ismycreditcardstolen.com/

Knock yourself out.

Uporabljajte unikatna gesla. Čim daljša in čimbolj kompleksna.

Če je geslo enostavno mu dolžina ne pomaga. Tule je recimo primer gesel, ki jih je hashcat izpljunil po parih sekundah (gre za linkedin dump):


ccc931908c8ab3fad78d1f671b656b3b8f7f839f:biggreensmile1
538e97b2e7a988eba1bc7308a63b491d9e1fa541:playtimesocial1
fb6aef43dd197f694a64ee2caa0d3f52a9cfc3c8:thompsonsmile
aa57c991d7dae400be1fcc02466f842ac0c851ba:sigmachismile
07fe8db6d5d6f185a113bdc1a35ecd14fd9aa557:carolinashine
412278d5352a87b58f71420ee874e8d931e4f7fe:caterhamseven
1379f673d2dc865229d289ad2aa7c21c37fce273:pertplusshampoo
8ef47c36c72e9b6b55c98a1ff3d213096e024f4a:terrenceseven
3dda3fa7e78ebf7adfddfcc9c317d8f0ba466eb9:suckthisshelley
eb21ed3447d61818e919a3ce4fd2a8e363beac05:1qazxsw2sara
359d96ea900d0f5fa9e4b093ca73f1a5ea8653bf:1andonlysachin
af4a6ad76bcde307fda8da565d7360d10b5c4ed6:09031981salem
d97b914e74c8e0086ec2e5f5358b34470bbb269a:ginger07ryan
24abc2e9825c04b04aa9556c53464ae917ed54f3:smilenowryan
7f1893fdfe17a6814e3644a323a83a5b95dbb2ad:rush2112sam
9446980c0e53ca1af4f2583e3ce40fcca89ca2c2:majesticroses
3e292eba89e205a19a1d86c991213f96b626c77e:gabrielaromero
ae2f8664cdb2223f44ffde636edad8680204aa04:infinityring
16aef5641b1791f2bd423dcb85980297490fd49d:bluestarring
00b2fc9be96e92b4d113dbdf740e109f78a9c124:ghost203rider
c9c66fda7fe4be0ac251867ac1e882a689bf2f94:schneckerich
1a577c24945dda3143185dde2e4aab24be38a80a:burnsidering
aeab6594a2891d9355f89d833e3d8843dee2f748:babybluereese
ba8ca320788a188ee552d966cb6c03ea0f448198:scratchypuppies
b5569447e7742bc5a6375fdb5bd1fbcf3e56733d:assassinracing


Ne mislit, da je vaše geslo varno samo zato, ker je dolgo 10 ali 20 znakov.
Iz linkedin hashdumpa so padala ven tudi gesla z 25 in več znaki...
Ü

Roadkill ::

Strani, ki ste jih limali višje so ocenile, da bi za crackanje večino besed iz zgornjega seznama porabil nekje med 500 in miljon let.
Resnica je, da je hashcat v ~10 urah izpljunil 70.000 gesel - nobeno krajše od 7 znakov.

Priporočam http://keepass.info/
Ü

Zgodovina sprememb…

  • spremenil: Roadkill ()

Lonsarg ::

No, na spletne strani kaki hudi brute forci odpadejo. Pri hash filih pa je varnost tudi relativna, ker je obvisno od tega kako močno je hash kriptiran in ne samo varnosti gesla.
Če pretiravam: Pri miljon bitno kriptiranem hashu je že uporaba 4 številke dolgega PINa skoraj popolnoma varna.

Bo pa treba v bližji prihodnosti gesla skenslati in iti povsem na certifikate, ki so na ločenem čipu in ne kot file. Brez tega oblačna prihodnosti ni mogoča, ker je 90% ljudi z gesli popolnoma neresnih.

Matija82 ::

Roadkill je izjavil:

http://ismycreditcardstolen.com/

Knock yourself out.

Uporabljajte unikatna gesla. Čim daljša in čimbolj kompleksna.



Kompleksnost je precenjena. Mojpassword12ZaLinkEdČ je popolnoma dovolj za neke spletne strani.

Prilimal si pa hashe, kjer je veliko odvisno od algoritma toda to ni več v tvojih rokah.

Roadkill ::

Če se tebi Mojpassword12ZaLinkEdČ ne zdi kompleksno, še ne pomeni, da ni. :)
Ü

urosz ::

kaj nebodo še gesla šla iz mode? čas bi že bil, da bi kitajčeki delali terminale za prstne odtise za $1, da si vsak lahko enega nabavi pa se gre v celoti na prstne odtise

techfreak :) ::

Prstni odtis je uporabniško ime, ne geslo.

urosz ::

aja ups my bad, sem se prenaglil. no potem pa v kombinaciji z nekim dnk readerjem :DD

Lion29 ::

techfreak :) je izjavil:

Prstni odtis je uporabniško ime, ne geslo.


bo kar oboje
Founder and CTO @ Article-Factory.ai

techfreak :) ::

Niti ne, ker prstni odtis ni skrivnost in je primerljiv z uporabniškim imenom. Geslo je pa nekaj, kar veš samo ti in nobeden ne more priti do njega.

Okapi ::

Ampak vsaj takoj opazi, če mu ukradejo prst;)

Mimogrede, Nexus7 ima face recognition za odklepanje. In lahko vklopiš celo mižikanje - da ga kdo ne odklene s tvojo fotko.

O.

Zgodovina sprememb…

  • spremenil: Okapi ()

Rias Gremory ::

Če je mrtev ne. :))

V bistvu je najbolje uporabiti dve različni metodi imo. Npr. geslo+odtis.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Okapi ::

Če je mrtev ne.
To je v resnici velika prednost prstnega odtisa kot gesla. Ker če nenadoma umreš, lahko tvoja družina ali dediči pridejo do vsebine računalnika, kar si običajno želiš.

O.

Lonsarg ::

Do prstnega odtisa tok težko ni priti, sam tarča mora nekam prijet, bolj za silo geslo.

Čip z certifikatom vgrajen v prst/roko/prstan, to pa je nekaj drugega, v tem primeru pa res samo odvzem prsta/čipa/prstana deluje. V bistvu je lahko tudi ura/pašček, pač nekaj kar imaš 100% časa gor brez izjeme.

Okapi ::

Do prstnega odtisa tok težko ni priti, sam tarča mora nekam prijet, bolj za silo geslo.
Me prav zanima, koliko prstnih odtisov so na tak način že ukradli in uspešno zlorabili. V real lifu, ne na Mythbusterjih.

O.

Lion29 ::

Okapi je izjavil:

Do prstnega odtisa tok težko ni priti, sam tarča mora nekam prijet, bolj za silo geslo.
Me prav zanima, koliko prstnih odtisov so na tak način že ukradli in uspešno zlorabili. V real lifu, ne na Mythbusterjih.

O.


ja drži, nikakor nisem rekel, da je prstni odtis neka super zaščita, je pa super priročna varianta (če nimaš lih zamazanih prstov :) )

kombinacija prstnega odtisa in roženice je že kar super...rfid čip bi bil sedaj že zakon.... v prihodnsoti pa vidim jaz neko kamero, ki zajameneko sliko tvojega skupka kvantnih delcev :)
Founder and CTO @ Article-Factory.ai

HeMan ::

In kaj brani roparja ponoči, da te ne napade in odreže prst in tako izprazni tvoj bančni račun na bankomatu? :) Geslo je zame dost boljše :P

Okapi ::

Koliko prstov bi ti morali odrezati, preden bi povedal geslo?>:D

Zgodovina sprememb…

  • spremenil: Okapi ()

HeMan ::

Ampak lahko poveš napačno geslo takoj. Daš mu kartico in pin, pa lahko zbežiš. In podobno. Pač zamudno za roparja, ki bi rad na hitro opravil. Prst odrezat pa je malo lažje :)

Lonsarg ::

Tebe dejansko bolj skrbi, da ti nekdo ukrade bančni račun, kot da ti odreže prst? Brez skrbi, da če en misli na silo da računa, da ti bo odrezal vseh 10 prstov, dokler ne poveš pravega gesla, nič se ne boš z napačnim geslom izognu;)

HeMan ::

Ne verjamem. Ti imaš v mislih inteligentnega roparja. Jaz pa obupanega človeka na ulici. Takemu je lažje prst odrezat :)

Okapi ::

Hočeš reči vseh 10 prstov. Ker ne ve, kateri je pravi.>:D

O.

Truga ::

Okapi je izjavil:

Do prstnega odtisa tok težko ni priti, sam tarča mora nekam prijet, bolj za silo geslo.
Me prav zanima, koliko prstnih odtisov so na tak način že ukradli in uspešno zlorabili. V real lifu, ne na Mythbusterjih.

O.

Vsak dan se to dogaja. Prstni odtis namesto gesla na racunalniku je bedarija brez primere. Prstne odtise namrec puscas na vseh tipkah od vseh prstov (ce hitro pises anyway).

Roadkill je izjavil:

Ne mislit, da je vaše geslo varno samo zato, ker je dolgo 10 ali 20 znakov.
Iz linkedin hashdumpa so padala ven tudi gesla z 25 in več znaki...

Also, na netu se dobi ze kar precej obsezne rainbow tabelce..

BaToCarx ::

Truga je izjavil:


Also, na netu se dobi ze kar precej obsezne rainbow tabelce..



Ki ti ne pomagajo nič če je hash "salted".

BaToCarx ::

Scrypt @ Wikipedia Je tud gut ne. Zdaj ko je tolko HW mašinc za razbijanje baziranih na FPGA.

moderator: zlepi z zgornjim, hvala.

Truga ::

BaToCarx je izjavil:

Truga je izjavil:


Also, na netu se dobi ze kar precej obsezne rainbow tabelce..

Ki ti ne pomagajo nič če je hash "salted".

Vidim da ne poznas standardnih praks slabih php programerjev, ki delajo forume ala phpbb/invision. Pa ne recem da ta dva doticna nimata salted passwordov (mislim da celo oba imata), ampak pre-mnogi nimajo. Ali pa "admin" (beri uporabnik, ki ni sel niti skozi vso obvezno dokumentacijo) ne vkljuci opcije za md5, kaj sele za kaksen salt, ceprav je v readmeju !!WARNING!! TURN THIS ON AFTER YOU HAVE CONFIGURED YOUR SHIT/BEFORE GOING PUBLIC!!, po defaultu je pa off, da si lahko menjas geslo direkt v bazi dokler konfiguriras zadevo (te prakse je k sreci vedno manj).

Se spomnis Diablo 3 fiaska, ko so folku kar po spisku kradli accounte? No, accounti so bili ukradeni z raznih "fan-sitov" blizzard iger, ko so "hekerji" (more like script kiddies, te zadeve so trivialne) odnesli baze tem sajtom, folk pa nuca povsod isti mail/username+password. Po moznosti se na mailu. Se takoj vidi, koliko ljudi dejansko poskrbi/ve kako se varuje podatke svojih uporabnikov.

Isto se zdaj dogaja v GW2: https://www.guildwars2.com/en/news/mike...

2 primera na ogromni skali samo iz zadnjega pol leta. Ja, salt je super zadeva. To bi moral vsi nucat. Zal v real lifu ni tako.

BaToCarx ::

Truga je izjavil:

BaToCarx je izjavil:

Truga je izjavil:


Also, na netu se dobi ze kar precej obsezne rainbow tabelce..

Ki ti ne pomagajo nič če je hash "salted".

Vidim da ne poznas standardnih praks slabih php programerjev...


To ti dam pa prov ja. Se posipam s pepelom.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648123 (34542) Pero_SLO
»

Yahoo nadaljuje odpravljanje gesel

Oddelek: Novice / Omrežja / internet
2710970 (5185) Kenpachi
»

Google bi se znebil gesel. Kaj je alternativa?

Oddelek: Novice / Omrežja / internet
4613599 (10952) Jst
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost
8018704 (15382) BaToCarx
»

Internetna in mrežna gesla

Oddelek: Informacijska varnost
91821 (1820) jerneju

Več podobnih tem