» »

Anonimni heker prevzel odgovornost za vdor v Hacking Team in ga opisal

Anonimni heker prevzel odgovornost za vdor v Hacking Team in ga opisal

Slo-Tech - Za zdaj še neznani heker, ki je lani vdrl v računalniški sistem italijanskega podjetja Hacking Team, je predstavil potek lanskega napada. Vdor je dvignil ogromno prahu, ker je Hacking Team eno vodilnih podjetij na svetu, ki različnim državam dobavlja programsko orodje za vohunjenje, vdiranje in prestrezanje, prav zato je bil vdor v njihov sistem še toliko večja ironija.

Heker, ki se predstavlja z nadimkom Phineas Phisher, je najprej podrobnosti razkril v španščini, da bi se porogal angleško govorečemu internetu, sedaj pa je tu tudi angleški prevod. Opis dela razkriva, da ne gre za kakšnega naivnega script kiddieja, temveč sposobnega posameznika.

Pojasnil je, da je imel Hacking Team dobro zaščiten računalniški sistem, ki je internetu kazal le zadnjo verzijo Joomle, e-poštni strežnik, nekaj usmerjevalnikov, dva VPN-ja in filter spama. Za ciljani socialni inženiring (spear-phishing) se ni odločil, ker bi v Hacking Teamu verjetno takšno elektronsko pošto prepoznali, saj navsezadnje iste trike prodajajo. Naposled se je odločil, da bi v embedded napravah, vidnih na internetu, poiskal kakšno neznano (zero-day) ranljivost. Po dveh tednih vzvratnega inženiringa mu je to uspelo, tako da se je prebil v omrežje. Tam je našel nezavarovano verzijo MongoDB in varnostne kopije, ki so bile dostopne na napravah iSCSI, dostopnih prek lokalne mreže. Ko je pridobil dostop do njih, je tam našel prijavne podatke domenskega administratorja, kar mu je dalo popoln nadzor nad sistemom, in tako je z Exchangea dobil njihovo elektronsko pošto. Potem je počakal še, da se je sistemski administrator prijavil in vpel Truecryptov nosilec, na katerem je imel svoja gesla. S temi je potem ukradel še izvorno kodo.

Sporočilo je zaključil s pozivom k modernemu robinhoodovstvu. Ali je Phineas Phisher resnično odgovoren za vdor, je za zdaj nemogoče potrditi, zdi pa se to verjetno. Policija namreč še vedno ni aretirala nobenega osumljenca za napad, kar priča o temeljiti izvedbi napada.

52 komentarjev

«
1
2

čuhalev ::

Morda bi bilo bolje, da bi imel sistemski administrator gesla v beležki. :)) Ali ni bil tudi v slovenski bitcoin firmi tudi administrator kriv?

Oberyn ::

čuhalev je izjavil:

Morda bi bilo bolje, da bi imel sistemski administrator gesla v beležki.

Problem pri geslu
SV)[J<_Y@yAf$i)it=o_eemgh?}q>pCc^K"0?V.R!wnwY<Fe[:8$x<]_&fCj2b"oVL)$1ct(^Tpi]xQMIeT+3:/}XnRz0,Hx

je, da ga je zelo težko pretipkati iz beležke v prijavni dialog.

čuhalev ::

Takšno geslo ti popolnoma nič ne koristi, če ti npr. SHA1 iz tega naredi 40 črkovno geslo. Analiza 1.

Oberyn ::

čuhalev je izjavil:

Takšno geslo ti popolnoma nič ne koristi, če ti npr. SHA1 iz tega naredi 40 črkovno geslo. Analiza 1.

SHA1? A smo mogoče leta 1995?

nurse013 ::

Od kje je pa prsel trucrypt nosilec ne razumem

Ah,, pac nisem racunalnical
:)
you gotta be kidding me...

737 ::

Nas želijo pa prepričati, da Truecrypt ni več varen. :-)

fosil ::

Očitno je imel na nekem ključku TC nosilec in ko ga je odklenil se je dalo iz njega vzet gesla.
Nima to veze z TC.
Kot sef, lahko je še tako varen dokler je zaklenjen, kot je enkrat odklenjen...
Tako je!

jlpktnst ::

Problem je, da ne veš kdo ti gleda čez ramo, ne na noben zanesljiv način.

Anonymuz ::


Problem pri geslu
SV)[J<_Y@yAf$i)it=o_eemgh?}q>pCc^K"0?V.R!wnwY<Fe[:8$x<]_&fCj2b"oVL)$1ct(^Tpi]xQMIeT+3:/}XnRz0,Hx

je, da ga je zelo težko pretipkati iz beležke v prijavni dialog.



You're doing it wrong.

odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene


Tole je lahko shranjeno v glavi, ne rabi biti na papirju ali v elektronski obliki.

Rias Gremory ::

 Obligatory xkcd image

Obligatory xkcd image

Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Oberyn ::

Anonymuz je izjavil:

You're doing it wrong.
odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene

Tole je lahko shranjeno v glavi, ne rabi biti na papirju ali v elektronski obliki.

Tako geslo pod sodobnim dictionary attack-om pade v treh dneh.

kixs ::

Oberyn je izjavil:

Anonymuz je izjavil:

You're doing it wrong.
odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene

Tole je lahko shranjeno v glavi, ne rabi biti na papirju ali v elektronski obliki.

Tako geslo pod sodobnim dictionary attack-om pade v treh dneh.


Ne verjamem. Sicer pa lahko das tudi kaksen poseben znak vmes ali na konec...

Anonymuz ::

V treh dneh?
Dictinoary attack, ki vključuje arhaičen marginalen jezik izpred 150 let?
I want the shit that you're smoking, I really do.
Btw, poezija samo kot primer, lahko je karkoli, ampak dolg stavek, pomožnosti v narečju ali slengu, pa je stvar bulletproof. Jasno dokler nisi računovodja od kakšnega mehiškega kartela. Potem je pa čas za upgrade ...

Rias Gremory ::

Simboli + besede ki so lahke za zapomnit in redno menjavanje gesel. Sploh v bolj kritičnih sistemih.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

njyngs ::

Oberyn je izjavil:

Anonymuz je izjavil:

You're doing it wrong.
odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene

Tole je lahko shranjeno v glavi, ne rabi biti na papirju ali v elektronski obliki.

Tako geslo pod sodobnim dictionary attack-om pade v treh dneh.

Če si kak kavbojc, indijec, švab ali pa francoz mogoče res. Me zanima kje je kak dictionary za prekmurščino. RIP brute force v takem primeru.

Looooooka ::

Oberyn je izjavil:

Anonymuz je izjavil:

You're doing it wrong.
odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene

Tole je lahko shranjeno v glavi, ne rabi biti na papirju ali v elektronski obliki.

Tako geslo pod sodobnim dictionary attack-om pade v treh dneh.

Ne pa ne.
Prej pade aa34%6x3
Dolžina je precej bolj pomembna od "zajebanosti". Če pa poznaš nekoga, ki bo šel dictionary attack uporabljat tako, da bo začel z najdaljšimi besedami in z njimi tvoril najdaljše znane stavke pa predlagam, da ga butneš po stopnicah in mu izropaš hišo. Nekje v njej namreč skriva delujoč kvantni računalnik. Boš obogatel v enem dnevu.

cegu ::

Geslo naj bo čudno ali pa dolgo.
Tudi dictionary attack ne pomaga pri dolgem geslu. Če te pa že res skrbi da bo nekdo vanj vrgel vse verze prešerna, pa le zamenjaš eno besedo:

odnekdajlepesoGORENJKEsloveleallepseodurksebiloninobene


Tukaj pa dictionary propade.

SeMiNeSanja ::

Kaj ti koristi, če ima 99 uporabnikov 'varna' gesla, eno teslo pa za geslo uporabi "12345678"? Po možnosti tisto teslo, ki ima tudi username tak, da ga uganeš že iz prve (sploh ni redkost, da je to kar direktor podjetja...)?

Mr.B ::

V nekem normalnem sistemu, se ti geslo zaklene recimo po 50tih neuspleih poizkusih. Pa da vidim ta napad na našo prešernovo poezijo. Po nekaj dneh bo verjetno vsakemu uporabniku jasno, da se mu zaklepa račun, verjetno bo tudi še tako lenemu adminu v JS nekako jasno po ene dveh tednih da nekdo poizkusa uganiti geslo...

Seveda pa način, ki je opisan, čal ni tako trivialen, tako da veliko sreče.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

[D]emon ::

50 neuspelih poskusov je ... well, a few too many. :)) Vsak spodoben sistem te bo zaklenil ven po treh, morda petih. No, Apple pa po desetih. :))
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

Mr.B ::

[D]emon je izjavil:

50 neuspelih poskusov je ... well, a few too many. :)) Vsak spodoben sistem te bo zaklenil ven po treh, morda petih. No, Apple pa po desetih. :))


Seveda, zamenjaš geslo na desktop sistemu, potem imaš pa tablico, telefon, pa še kakšno elektronsko napravo, ki ima shranjeno tvoje geslo. Že vidim to veselje :-) Cel dopoldan porabiš za support klice, ko prosiš za odklep gesla. Če tvoje geslo ravno ni password, good, je verjetno no kaj že. Izračunaj.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

[D]emon ::

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

Phantomeye ::

[D]emon je izjavil:

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.


odvisno KAKO jih shraniš.

Mr.B ::

[D]emon je izjavil:

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.

Se strinjam,
zato pa vsakič ko preberem mail na telefonu, vtipkam geslo, nje. Pa zato da mi admin v domeni ne sari po mašini, le te nima v mašini, in se veselo nastavim politiko, da nikoli za nič ne dovolim shranejvati geslo, pa ko oprem meil odjemalev, vsakič čakam še pin po telefonu...
Da se strinjam, shranjevanje gesla je bedarija, zato pa vektro napada nikoli ni geslo, ker vsak admin v katerm koli okolju zna nastaviti da geslo: 123456 ravno ni varno.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

šernk ::

[D]emon je izjavil:

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.


pisanje gesel pa še večja. keylogerji spadajo v sam vrh in so nekako se mi zdi še najlažje namestljivi in najbolj nevidni. če imaš pa ti nekje geslo shranjeno pa mora nekdo pridobiti dostop do tvojega sistema najprej, če pa pridobi dostop do sistema in tega ne opaziš je pa nepomembno ali geslo pišeš, kopiraš, imaš kje shranjeno ali pa tudi če ga govoriš. v vsakem primeru bo geslo dobil.
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.

[D]emon ::

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

Mr.B ::

[D]emon je izjavil:

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.

No bi videl admina, ki ima na svojih strežnikih obevzno dvofaktorsko avthentikacijo.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Anonymuz ::

[D]emon je izjavil:

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.

Če si dovolj dobra/zanimiva tarča, potem boš fasal nesnago še na telefon (obstajajo prav malware paketi, ki po mreži iščejo ranljive telefone s točno tem namenom - mail je itak compromised čim je comp compromised), potem pa mal gledanja kdaj spiš s pomočjo tvojega smartphona, in ko ti pa sredi noči telefon parkrat zapiska si ob vse kar imaš vrednega.
Se pa take stvari ne dela na random joe schmojih, ni dovolj dodane vrednosti :)

čuhalev ::

[D]emon je izjavil:

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.

Danes mi je kolega pokazal aplikacijo v oblaku, ki je povezana z njegovim telefon, in se hvali, da lahko bere sporočila na računalniku. Še posebno je izpostavil, kako mu to koristi pri spletni banki. Da lahko samo prekopira PIN.

Kaj naj še rečem.

[D]emon ::

Reces lahko, da so nekateri ljudje pac debili.
Mavrik ta forum uporablja za daljsanje e-penisa. Ker si ne upa iz hise.

šernk ::

[D]emon je izjavil:

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.


in imaš 100 različnih gesel za 100 različnih strani? poleg tega vse spletne strani ne omogočajo 2 step verifikacije.
lastpass reši to zadevo recimo z enim geslom. dodaš še 2 ali 3 step avtentikacijo, onemogočiš prijavo iz tujine + email potrditev za vsako novo napravo itak imajo že default po novem. Potem ostane le še prevzem nadzora nad računalnikom. tam je pa itak vseeno kakšno varnost imaš (ravno v tej novici je primer, da če se te nekdo loti te bo dobil)
In general, high velocity doesn't produce harmful injuries.
But what is dangerous is the high acceleration
or deceleration given at a certain time interval.

Mr.B ::

Potem pa uporabiš isto metodo kot so jo zgoraj, ko dobiš dostop do kontejnerja s tvojimi gesli...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Spiky28 ::

majster, well done

GrX ::

[D]emon je izjavil:

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.


Potem pa mi ti prosim povej, kako naj si zapomnem več 10 gesel?! Sploh tista gesla, ki jih uporabljaš mogoče nekajkrart na leto oz gesla, ki so sestavljena iz črk, številk, ločil in drugih znakov... Si lahko zapomneš geslo v stilu kr#$54SffA87-Dsx!kjs ? Kaj pa 10 gesel v podobnem formatu?

Spiky28 ::

Če si sysadmin moraš imeti "pod kontrolo" kup enih različnih gesel, ki morajo biti seveda kompleksna. In ker jih v praksi, tako kot je GrX napisal, rabiš parkrat na leto, se mi hranjenje na kriptirani particiji, ki jo mountaš po potrebi ne zdi neumno. Lahko imaš namesto v digitalni obliki 'oldschool' na papirju, ampak če ima nekdo že dostop do tvojga računalnika itak ni razlike ali prebere z diska ali preko keyloggerja.

Massacra ::

GrX je izjavil:

[D]emon je izjavil:

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.


Potem pa mi ti prosim povej, kako naj si zapomnem več 10 gesel?! Sploh tista gesla, ki jih uporabljaš mogoče nekajkrart na leto oz gesla, ki so sestavljena iz črk, številk, ločil in drugih znakov... Si lahko zapomneš geslo v stilu kr#$54SffA87-Dsx!kjs ? Kaj pa 10 gesel v podobnem formatu?


You are doing it wrong!

"urskaskaceurskaskacepozeleninjiviajajajajaporumenivodi"

Mr.B ::

A dejte.Jaz dem Admin pro cca desetih strankah.Gesla se menjajo na tri mesece.Samo pro eni stranki zaradi auditina spreminjam geslo...ostalo reset. Tako da keypass in podobne zadeve.In ce imam na masini keyloger ima potem nekdo dostop so vsega...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

gslo ::

jaz imam glede tega priročno rešitev za najbolj kritična gesla. kompleksnemu geslu zgeneriranemu s password managerjem na koncu dodaš še krajše geslo, ki je lahko tudi zapomnljivo. tega seveda nimaš zapisanega in ga vneseš peš. dvo-komponentno geslo? zakaj pa ne. morda pa tako rešiš kak account, če ti že vzamejo "keys to the kingdom". :-)

prowb ::

njyngs je izjavil:

Me zanima kje je kak dictionary za prekmurščino. RIP brute force v takem primeru.


Če človek stoji zraven mene, pa mi narekuje geslo, ga ne bom uspel "heknat" :D

čuhalev je izjavil:

[D]emon je izjavil:

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.

Danes mi je kolega pokazal aplikacijo v oblaku, ki je povezana z njegovim telefon, in se hvali, da lahko bere sporočila na računalniku. Še posebno je izpostavil, kako mu to koristi pri spletni banki. Da lahko samo prekopira PIN.

Kaj naj še rečem.


Kaj bi kompliciral? Na banki celje imajo hude probleme sedaj ko jih je prevzela A banka, predvsem, ker imajo nove programe in vsaj trojno količino gesel... Kje so ta gesla? Vsaka blagajničarka jih ima zapisana v svoji beležkici, za katero se je glasno pohvalila, da jo ima vedno s seboj!

Zgodovina sprememb…

  • spremenilo: prowb ()

Thuban ::

pa saj imajo zapisano v takem dnevniku, ključ pa vedno v torbici no




:D :| :))

Anonymuz je izjavil:


odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene


takšno geslo ni ravno dobro. Nabor znakov, ki jih je treba preveriti je premajhen. S pomočjo grafične kartice takšno geslo pade hitro.

Dosti bolje bi bilo
1879KrasnaSiBistraHciPlanin.BrdkaVPrirodniSiLepoti!


Tako da vsaj koncept si zadel, samo nekoliko ga je bilo potrebno izpiliti.
I'm sorry, Dave. I'm afraid I can't do that.

Zgodovina sprememb…

  • spremenil: Thuban ()

johnnyyy ::

prowb je izjavil:

Kaj bi kompliciral? Na banki celje imajo hude probleme sedaj ko jih je prevzela A banka, predvsem, ker imajo nove programe in vsaj trojno količino gesel... Kje so ta gesla? Vsaka blagajničarka jih ima zapisana v svoji beležkici, za katero se je glasno pohvalila, da jo ima vedno s seboj!

Nekaj podobnega sem doživel na NLB pri zaprtju računa. Zaposlena odpre zvezek, prepiše geslo in ugotovi da ni pravo, potem poiskuša z drugim, ki tudi ni pravo. Na koncu si zaklene račun. Kliče na podporo, se noben ne javi, kliče še enkrat, ne zna povedat tipu v podpori, katero geslo ji dela težave. No rezultat je bil, da v eni uri nisem mogel zapreti računa.

Pithlit ::

Thuban je izjavil:

Anonymuz je izjavil:


odnekdajlepesoljubljankesloveleallepsiodurskebiloninobene


takšno geslo ni ravno dobro. Nabor znakov, ki jih je treba preveriti je premajhen. S pomočjo grafične kartice takšno geslo pade hitro.

Dosti bolje bi bilo
1879KrasnaSiBistraHciPlanin.BrdkaVPrirodniSiLepoti!


Tako da vsaj koncept si zadel, samo nekoliko ga je bilo potrebno izpiliti.

Sej ni treba dobesedno jemat.

Vzameš Cankarjevo Erotiko, stran 26, vrstica 12... in prepišeš. Seveda dobesedno (z vsemi ločili, velikimi in malimi črkami, presledki, šumniki...). Pa naj te napada tist ko hoče. Bonus? Geslo imaš varno shranjeno v praktično vsaki slovenski knjižnici.
Life is as complicated as we make it...

Anonymuz ::

Thuban je izjavil:


takšno geslo ni ravno dobro. Nabor znakov, ki jih je treba preveriti je premajhen. S pomočjo grafične kartice takšno geslo pade hitro.
...
Tako da vsaj koncept si zadel, samo nekoliko ga je bilo potrebno izpiliti.

2558 oz. cca 1080 kombinacij mi bo grafična razbila?
Najhitrešji superračunalnik zmore manj kot 1 ExaFlop, ajde naj mu bo, to je 1018 'operacij' na sekundo. Recimo da haširanje v povprečju 28 znakov dolgega gesla rabil vsaj 100 operacij. To pomeni, da bo povsem brute force approach rabil 1080 * 102 / 1018 = 1064 sekund. več kot 1056 let. Vesolja bo že n-krat konec, preden se bo to zgodilo. Pa je tu privzeto, da bad guy točno ve, da je moje geslo iz samih malih črk. Če tega ne ve, se stvar samo mnogo mnogo bolj poslaša.

gslo ::

a ni brutforcanje danes mal bl pametno/potweakano kot le gola matematika?

poweroff ::

LOL:
They were the databases for test instances of RCS. The audio that RCS records is stored in MongoDB with GridFS. The audio folder in the torrent [6] came from this. They were spying on themselves without meaning to.


Hmm, res so bili nemarni:
Although it was fun to listen to recordings and see webcam images of Hacking Team developing their malware, it wasn't very useful. Their insecure backups were the vulnerability that opened their doors.
sudo poweroff

Anonymuz ::

gslo je izjavil:

a ni brutforcanje danes mal bl pametno/potweakano kot le gola matematika?

Dictionary napadi (kamor tudi šteje bruteforce) so hitrejši za ranljiva gesla.
Ampak, predpostavimo, da napadalec ve, da je neko geslo stavek, in da celo ve v katerem jeziku je (kako je izvedel pustimo).
Hkrati ima ta napadelec zelo napreden algoritem za tvorjenje stavkov, ki ve kakšna je slovnica (spoli,skloni,število, ipd) dotičnega jezika in kakšne besede so "za silo" smiselne če so skupaj.
Moj primer, iz 13-ih besed, bi še vedno vzel konkretno veliko časa.
Besed, ki pašejo na različna mesta v stavku je različno, v povprečju recimo kakih 50. Pa recimo, da bi št. operacij z dolžino stavka precej naraščalo, v povprečju morda kakih 1000 operacij/ guess.
Matematika torej pravi:
5013 = 1022 možnosti
to je še vedno 107 sekund. Torej skoraj tri mesece, da bi najboljši superračunalnik danes, s super naprednim algoritmom in kupom podatkov, ki jih napadalci ponavadi nimajo na voljo to razbil. Že če se ne ve v katerem jeziku je stavek se to najmanj podvoji. Da potem sploh ne nadaljujemo od tam.
Kot rečeno, danes ni realne možnosti za razbitje takega gesla, vsaj ne s strani nekega random hackerja (pustimo NSA na strani za kak trenutek ali dva), hkrati pa ga lahko ima vsak osebek z IQ nekje nad 70-80 v glavi in je ranljivost omejena na keylogger (kar spet pri pametnih osebkih ni problem).

Mr.B ::

Da brut force dela, ja ce imas file ali bazo pri sebi. Brut force na zivi sistem, kjer se ti account zaklene po n napacnih poizkusih, je bolj ali manj brezveze razen kot del DOSanja. Tako da ja gelso z max 15 znaki je dovolj dobro za bolj ali manj vse primere seveda je dvofaktorska avthentikacijs povsod dostopna. Me pa zanima, kdo ima root dostop za masino narejeno z dvofakorsko avthentikacijso...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Markoff ::

Mr.B je izjavil:

[D]emon je izjavil:

50 neuspelih poskusov je ... well, a few too many. :)) Vsak spodoben sistem te bo zaklenil ven po treh, morda petih. No, Apple pa po desetih. :))


Seveda, zamenjaš geslo na desktop sistemu, potem imaš pa tablico, telefon, pa še kakšno elektronsko napravo, ki ima shranjeno tvoje geslo. Že vidim to veselje :-) Cel dopoldan porabiš za support klice, ko prosiš za odklep gesla. Če tvoje geslo ravno ni password, good, je verjetno no kaj že. Izračunaj.

Kolega, mi pa nismo videli veliko nastavitev gesel v slovenskih zasebnih ali javnih organizacijah, kajneda? Ker sicer ne bi brcali v temo.

Jaz sem jih. A LOT. Brcaš v temo. Redki so, kjer sistem sploh ne zaklepa računov po n neuspešnih poizkusih. Večina je ali na default nastavitvah (24, če se prav spomnim) ali na 3-10 neuspešnih poizkusov.

Phantomeye je izjavil:

[D]emon je izjavil:

Shranjevanje gesel je najvecja bedarija, ki jo lahko storis.


odvisno KAKO jih shraniš.


True. Še bolje je uporaba SSO in kombinacije what-you-have (pametna kartica / RSA ključek / biometrija) + what-you-know (PIN / geslo + periodična menjava le-tega). Če si ne moreš zapomniti ENEGA gesla, si verjetno glavni kandidat za odpoved delovnega razmerja.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021

Zgodovina sprememb…

  • spremenilo: Markoff ()

Markoff ::

čuhalev je izjavil:

[D]emon je izjavil:

Bi ga rad videl junaka, ki mi bo na two-factor avtentikaciji keyloggal geslo.

Danes mi je kolega pokazal aplikacijo v oblaku, ki je povezana z njegovim telefon, in se hvali, da lahko bere sporočila na računalniku. Še posebno je izpostavil, kako mu to koristi pri spletni banki. Da lahko samo prekopira PIN.

Kaj naj še rečem.

Očitno je tvoj kolega Eloi. Morlochov pa je po svetu več kot dovolj.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sova (morda) ni le razmišljala o nakupu Hacking Teamovega trojanca (strani: 1 2 )

Oddelek: Novice / Varnost
6551381 (20128) matijadmin
»

Hacking Team in Boeing razmišljala o okužbah prek brezpilotnega letalnika

Oddelek: Novice / Zasebnost
167903 (5452) Glugy
»

Vdor v Hacking Team v divjino ponesel neznane ranljivosti

Oddelek: Novice / Varnost
158292 (4030) noraguta
»

Tudi slovenska policija razmišljala o nakupu Hacking Teamovega trojanca (strani: 1 2 3 )

Oddelek: Novice / Zasebnost
10243823 (38239) matijadmin
»

Hekerje so heknili

Oddelek: Informacijska varnost
51685 (1346) greatdrakon

Več podobnih tem