» »

CNBC postavil orodje za preverjanje moči gesel, izvedba katastrofalna

CNBC postavil orodje za preverjanje moči gesel, izvedba katastrofalna

Slo-Tech - CNBC se je na lastni koži naučil, da je pot v pekel tlakovana z dobrimi nameni, uporabniki pa, da so za svoja gesla odgovorni predvsem sami. V torek so namreč na CNBC objavili članek, ki je spodbujalo uporabo varnih gesel. Eksperiment je šel strahovito narobe.

Dobra gesla so takšna, ki si jih je enostavno zapomniti, težko uganiti, bodisi s surovo silo (torej so dovolj dolga) bodisi s poznavanjem vseh podrobnosti o uporabniki (torej s socialnim inženiringom). CNBC-jem članek se je osredotočal na prvi aspekt in je v ilustracijo uporabnikom omogočal vpis lastnega gesla, algoritem pa je potem izračunal, kako odporno je geslo na napad s surovo silo. Zraven je izrecno pisalo, da CNBC gesel nikjer ne shranjuje. Le kaj bi lahko šlo narobe, če na neko tretjo internetno stran (pa četudi verodostojnega izdajatelja) vpisujemo gesla? V resnici so gesla najverjetneje shranjevali v dokument na Google Sheets in jih delili vse naokoli.

Za začetek stran ni uporabljala šifrirane povezave SSL/TLS, kar pomeni, da smo gesla v resnici nezaščitena posredovali po internetu. Analiza pa je pokazala, da jih je CNBC še radodarno delil z oglaševalci in drugimi partnerji, denimo z Googlovim DoubleClick. Spletna stran je kmalu po odkritju fiaska izginila, obstaja pa še arhivska verzija. Tolaži nas dejstvo, da so ljudje lahko vpisali le geslo, ne pa tudi uporabniškega imena ali elektronskega naslova, a vseeno je to bolj jalova tolažba. Zato še enkrat - ne vpisujte gesel nikamor.

15 komentarjev

OK.d ::

Človeška neumnost ne pozna meja8-O
LPOK.d

dronyx ::

In kako so preverjali kvaliteto v zvezi s "socialnim inženiringom"? Si moral vpisati imena ljubic, kužkov, najljubših risanih junakov?

Thuban ::

dronyx je izjavil:

In kako so preverjali kvaliteto v zvezi s "socialnim inženiringom"? Si moral vpisati imena ljubic, kužkov, najljubših risanih junakov?


s socialnim inženiringom so prišli do gesel uporabnikov... :)
Na srečo ta gesla niso direktno povezana s kakšnimi računi ampak vseeno lahko ta gesla vključilo v brute force napad in najprej preverijo vsa vpisana gesla pri morebitnem napadu, šele nato pa gredo po slovarju.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

SeMiNeSanja ::

Ampak vseeno - koliko moraš biti butast, da greš 'kar nekam' vtipkavat svoja gesla?

Koliko je tam zunaj enih 'servisov', kjer kao lahko preveriš, če so tvoj user/pass barabe že kdaj kje ukradli. In gredo ljudje in tam res vtipkavajo svoje podatke...

Darvinnnnnnnnnnnnnnnnnnnnn?

Pithlit ::

It would take a computer about

7 OCTILLION YEARS
to crack your password

MWAHAHAHAHA!!!!

https://howsecureismypassword.net/
Life is as complicated as we make it...

M.B. ::

Kaj pa če je vse res? https://xkcd.com/792/
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

AC_DC ::

Pri meni bi trajalo samo 111,360,505,459,199,350 NONAGINTILLION YEARS .

Pithlit ::

Showoff!
Life is as complicated as we make it...

dronyx ::

Pithlit je izjavil:

https://howsecureismypassword.net/


Za password123 je potrebnih 1 mesec, za geslo123 pa samo minuta?

GupeM ::

Haha. Naj mi en pove v čem je razlika med raznimi zgoraj naštetimi octillioni, nonagintillioni potajBogaČemillioni in tem:
 FOREVER

FOREVER

stb ::

dronyx je izjavil:

Pithlit je izjavil:

https://howsecureismypassword.net/


Za password123 je potrebnih 1 mesec, za geslo123 pa samo minuta?

Očitno gledajo samo dolžino, kar je za nespameten brute force tehnično čisto ok.
Problem je, da večina vdiralcev ni tako nespametna in najprej poskusi gesla z raznih seznamov najpogostejših gesel.

AC_DC ::

GupeM je izjavil:

Haha. Naj mi en pove v čem je razlika med raznimi zgoraj naštetimi octillioni, nonagintillioni potajBogaČemillioni in tem:
 FOREVER

FOREVER


Names of large numbers @ Wikipedia
1 page down je tabela, vrednosti od 10^6 do 10^1000 v trojnem imenovanju.

Zgodovina sprememb…

  • spremenilo: AC_DC ()

GupeM ::

AC_DC je izjavil:

GupeM je izjavil:

Haha. Naj mi en pove v čem je razlika med raznimi zgoraj naštetimi octillioni, nonagintillioni potajBogaČemillioni in tem:
 FOREVER

FOREVER


Names of large numbers @ Wikipedia
1 page down je tabela, vrednosti od 10^6 do 10^1000 z imeni.

Saj mi je jasno da nekaj pomeni. Ampak vse kar je več kot nekaj 10 let, lahko vzamemo za "forever", čeprav v resnici ni. Ampak v resnici tudi tisto geslo ki sem ga jaz vpisal ne spada v forever.

Pithlit ::

V resnici to preverja kar nekaj na lepe oči...
Life is as complicated as we make it...

pivmik ::

Dropbox je objavil free orodje 'zxcvbn' za preverjanje passwordov:
https://blogs.dropbox.com/tech/2012/04/...
LP, Gregor GRE^


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Gesla iz vdora v Ashley Madison zaradi hude malomarnosti že zlomljena

Oddelek: Novice / Varnost
1016565 (12489) Blinder
»

Vdor in kraja gesel s forumov Ubuntuja (strani: 1 2 )

Oddelek: Novice / Varnost
5215739 (4334) b3D_950
»

Obsežen napad na namestitve WordPressa

Oddelek: Novice / Varnost
65491 (3428) Bistri007
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost
8018685 (15363) BaToCarx

Več podobnih tem