» »

Preverite svoje geslo med 320 milijoni pobeglih

Preverite svoje geslo med 320 milijoni pobeglih

Slo-Tech - Strokovnjak za računalniško varnost Troy Hunt je postavil spletno stran za preverjanje izgorelih gesel, k čemur so ga napeljala nova varnostna priporočila NIST-a. Ta namreč priporočajo, da se pri registraciji in menjavi gesla to preveri in uporabniku ne dovoli izbrati gesla, ki ni varno. To so gesla, ki enostavno uganljiva, in gesla, ki so priplavala na splet v vdorih na kakšne spletne strani (izgorela gesla).

Kot pojasnjuje Hunt, je zbral 320 milijonov gesel, ki veljajo za neprimerna in katerih uporaba se odsvetuje. Uporabniki lahko varnost svojega gesla preverijo tako, da ga vpišejo na njegovo spletno stran, ki vrne podatek o tem, ali je geslo na seznamu. Vpisovanje aktualnih gesel na spletne strani je seveda zelo slaba ideja, četudi gre za Troya Hunta, ki mu zaupamo, zato je pripravil tudi drugo možnost. Kdor zna, lahko svoje geslo pretvori v zgoščeno vrednost SHA1, in vpiše slednje. Stran bo sama prepoznala, da gre za SHA1. Kdor je še bolj paranoičen, lahko s spleta prenese skoraj šest gigabajtov težko datoteko, v kateri so zgoščene vrednosti SHA1 vseh 320 milijonov gesel. V tekstovnih obliki teh gesel ne moremo dobiti, ker nekatera vsebujejo osebne podatke in ker bi bilo z njimi še laže kam vdreti.

Hunt poudarja, da je še vedno proti razširjanju gesel, pridobljenih v vdorih, zato je trenutna lista zgolj v obliki SHA1. To je sicer neprimeren format za hranjenje gesel, če načrtujemo svoj sistem, a v tem primeru gre zgolj za seznam že izgorelih gesel, kjer namen ni varovati, temveč jih shraniti v obliki, ki je ni mogoče identificirati.

Hunt predlaga, da spletne storitve prenesejo ta seznam in ga uporabijo, kot to priporoča NIST. To pomeni, da uporabniku preprosto ne dovolijo izbrati gesla na seznamu. S tem bi preprečili uporabo ranljivih gesel, vprašanje pa je, koliko bi takšna prisila povečala recikliranje gesel in njihovo zapisovanje, ker je ponovno zelo slaba ideja. A z gesli je vedno križ.

33 komentarjev

vostok_1 ::

Sem že hotu pripomnit...pol pa vdim SHA1...šure i might try that...vsaj MD5 ni :)
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21

carota ::

Ne štekam zakaj ni uporabil sha1 funkcije napisane v javascriptu, da se izvede client-side, in samo hash postal na server.

dexterboy ::

Kaj? Vpišem svoje geslo kot kontrolo, da vidim, če je ŽE BILO uporabljeno?
Ne... čak mal, če še ni bilo, bo pa TAKOJ, ko ga vpišem?
ROFL
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.

Glugy ::

Jz ne bom vpisoval; treba je imet kopije za stvari ki jih ne moreš pogrešit pa če gre za kontakte al pa datoteke. Pol pa tud če ti kdo ukrade geslo ni tak problem ob predpostavki da kdo ne poskuša prevzet tvoje identitete za destruktivne namene. Sicer pa je tak tko da tist k te pozna ti bo verjal da to nisi bil ti; tist k pa ne pa pač ne. Je blo že tko namenjen.

#000000 ::

nice try :)

bodo pa dobili super wordlisto :)

Zgodovina sprememb…

  • spremenilo: #000000 ()

kixs ::

Preverite svoje geslo med 320 milijoni pobeglih


Dobra fora... :))

SimplyMiha ::

IP + gesla vnešena na to stran s tega IP-ja = juriš na vse znane spletne storitve

sandi203 ::

Po moje povezava https://haveibeenpwned.com/Passwords v članku slo-tech.com ni najboljša in tako iz komentarjev na forumu izzove začudenje.

Veliko boljša je osnovna stran: https://haveibeenpwned.com/ kjer vpišeš e-poštni naslov ali uporabniško ime (brez gesla!) in spletna stran preveri ali je tvoj e-poštni naslov že bil kje uporabljen v kakšnem vdoru. In če je bil, potem izpiše, kje je bila zloraba. Na primer pri mojem e-poštnem naslovu je napisalo, da je bila zloraba 2012 na Dropboxu.

Osnovni problem je, da uporabniki uporabljajo ISTO uporabniško ime (ali e-poštni naslov) in geslo na več straneh. Ko se pojavi vdor v eno spletno stran, se nepridipravi dokopljejo do obojega uporabniškega imena (e-pošta) in gesla in potem na drugih spletnih straneh poskusijo s temi avtorizacijami in enostavno vdrejo.

Vvečina uporabnikov v ogromni poplavi spletnih prijav uporabljajo ISTO uporabniško ime in geslo, ker si je nemogoče zapomniti na desetine gesel.

Povrhu pa uporabljajo še enostavna gesla s čim manj črkami za natipkati. Tako tudi če so gesla shranjena v zgočeni obliki, jih je z brute force metodo ali metodo tabele najpogostejših gesel mogoče dokaj hitro pretvoriti v čitljivo obliko.

Prava pot:
1. Uporaba password manager orodij in shranjevanje vseh gesel v orodje.
2. Eno in isto geslo se uporabi natanto enkrat (na eni spletni strani).
3. Geslo mora biti od 20 do 25 znakov (najbolje, da se v orodju za shranjevanje gesel nastavi politika ustvarjanja novega gesla. Npr. najmanj 3 črke, namanj 3 velike črke, namanj 3 številke, nammanj 3 posebni znaki - jaz uporabljam Password Safe, kjer je to možno enostavno nastaviti).
4. Vedno kopirati gesla iz password manager orodja v spletne strani.

Problem zgornjega je, ker predstavlja dodatno delo in se je velika večina uporabnikov ne loti.

100% varnosti zgornje točke seveda ne zagotavljajo, vendar ni bistveno, da imamo 100% zanesljivo geslo (ker le-to ni možno), bistveno je, da imamo geslo bolj varno kot 99,999% ostalih uporabnikov. Cilj vdiralcev je, da za čim manj resursov pridobijo čim več gesel. Gesel za katere bi potrebovali več let, da jih razbijejo (25 znakov dolgo geslo), ne bodo zapravljali časa (= denarja), ampak se bodo raje posvetili ostalim milijonom uporabniških gesel, ki jih je mogoče enostavno pridobiti. Torej v stilu sledeče zgodbe. Dvema turistoma se približuje lev in nevarnost, da jih pokonča. Prvi hiti, da bi si preobul natikače v športne copate. Drugi mu zabrusi: "Kaj ti bodo športni copati? Kaj misliš, da boš hitrejši od leva?" Prvi mu odgovori: "Ne, cilj je, da sem hitrejši od tebe."

AndrejO ::

dexterboy je izjavil:

Kaj? Vpišem svoje geslo kot kontrolo, da vidim, če je ŽE BILO uporabljeno?
Ne... čak mal, če še ni bilo, bo pa TAKOJ, ko ga vpišem?
ROFL

Spgregledal si, da lahko za kakšno manj pomembno geslo poskusiš s SHA1(geslo), za kakšno bolj občutljivo, pa lahko celoten seznam preneseš k sebi domov in preverjaš doma.

OK.d ::

Hahaha nice try:))
LPOK.d

IL_DIAVOLO ::

dexterboy je izjavil:

Kaj? Vpišem svoje geslo kot kontrolo, da vidim, če je ŽE BILO uporabljeno?
Ne... čak mal, če še ni bilo, bo pa TAKOJ, ko ga vpišem?
ROFL


Haha ikr :D

GrimReaper ::

Sam uporabljam na večini straneh isto geslo od 2006. In tudi tukaj napiše da ni ok.
Vdrli so mi edino enkrat v Steam, pa še tisto sem BP dobil nazaj.
Seveda imam za email, eBay, Paypal in ostale pomembne stvari gesla shranjena v KeePass, 12 oz. 16 mest s posebnimi znaki, ampak za forume in trgovine se mi pa res ne da.
7600X | Noctua NH-D15 | ASUS STRIX X670E-F | G.Skill 6000 CL30
Palit GameRock 4080 | Be Quiet 802 | ASUS Strix 1000W

BlackMaX ::

Dobra fora haha

SlimDeluxe ::

Še dobro da piše "Do not send any password you actively use to a third-party service - even this one!"
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

zenith1 ::

Jaz svoje geslo pozabim po treh dneh ker si vedno izmišljam nekaj novega.

Scaramouche ::

kaj je to? idiot hour? da jim dam svoje geslo katerega potem vedo, pa moraš biti težek retard da padeš na to foro...

opeter ::

1. april? Kisle poletne kumarice? :)
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

MadMen ::

Očitno ma nekdo password janezjansa, milankucan pa očitno ni tako popularen :D

Yacked2 ::

Očitno bomo kmalu dobil plain verzijo:
https://gist.github.com/roycewilliams/b...
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

wasd ::

sandi203 je izjavil:

Po moje povezava https://haveibeenpwned.com/Passwords v članku slo-tech.com ni najboljša in tako iz komentarjev na forumu izzove začudenje.

Veliko boljša je osnovna stran: https://haveibeenpwned.com/ kjer vpišeš e-poštni naslov ali uporabniško ime (brez gesla!) in spletna stran preveri ali je tvoj e-poštni naslov že bil kje uporabljen v kakšnem vdoru. In če je bil, potem izpiše, kje je bila zloraba. Na primer pri mojem e-poštnem naslovu je napisalo, da je bila zloraba 2012 na Dropboxu.


No vidš tole pa je dobra zadeva! Hvala za link :)
Je zanimivo preverit za razne stare maile.

--Switch-- ::

Nivo komentiranja na slo-techu pada na nivo 24ur, nekateri ste res bebci, upam za vaše dobro, da še otroci. Človek bi od "tehnično" podkovane raje pričakoval vsaj malo preverjanja dejstev preden začnete bluziti z idiotskimi, mene pa že ne bojo nategnili komentarji. Človek ki stoji za to stranjo je za vas doktor računalniške varnosti, kateremu ne boste nikoli kos in to je njegov side project, namenjen temu kar so vam že drugi morali ponovno razlagat (beri sandi203, Andrej0 in SlimDeluxe).

aycabron ::

>vpište geslo tle da vidimo če ga že mamo v bazi!

harmony ::

--Switch-- je izjavil:

Nivo komentiranja na slo-techu pada na nivo 24ur, nekateri ste res bebci, upam za vaše dobro, da še otroci. Človek bi od "tehnično" podkovane raje pričakoval vsaj malo preverjanja dejstev preden začnete bluziti z idiotskimi, mene pa že ne bojo nategnili komentarji. Človek ki stoji za to stranjo je za vas doktor računalniške varnosti, kateremu ne boste nikoli kos in to je njegov side project, namenjen temu kar so vam že drugi morali ponovno razlagat (beri sandi203, Andrej0 in SlimDeluxe).


Poscijem mu se na doktorat, kjer od folka zahteva nek vnos gesel. WTF???

wasd ::

Pa v čem je problem? Piše jasno, da se naj ne vpisuje aktivnih gesel. In če gesla niso več v uporabi, gre le za kupček random znakov. Kaj je problem vtipkati "jebelacesta8884", če te zanima ali je bilo to geslo med ukradenimi in ga ne uporabljaš več?

PARTyZAN ::

Fantje, dajte prebrat novico, potem pa še vse kar piše na spletni strani, no. Če vam še vedno niso stvari jasne pa bo bolje, če spamate po 24ur komentarjih.

--Switch-- ::

harmony je izjavil:

--Switch-- je izjavil:

Nivo komentiranja na slo-techu pada na nivo 24ur, nekateri ste res bebci, upam za vaše dobro, da še otroci. Človek bi od "tehnično" podkovane raje pričakoval vsaj malo preverjanja dejstev preden začnete bluziti z idiotskimi, mene pa že ne bojo nategnili komentarji. Človek ki stoji za to stranjo je za vas doktor računalniške varnosti, kateremu ne boste nikoli kos in to je njegov side project, namenjen temu kar so vam že drugi morali ponovno razlagat (beri sandi203, Andrej0 in SlimDeluxe).


Poscijem mu se na doktorat, kjer od folka zahteva nek vnos gesel. WTF???


Harmony nek ADHD? Iz konteksta napačno povlečeš doktorat in še vedno ne dojameš čemu je stran namenjena. Trolaš ali si res WTF???

Zgodovina sprememb…

MrStein ::

Welcome to the "tipični forumaš a bogami i prebivalec".
(ne dela se, folk je resnično takšen)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

BlaY0 ::

Moj ST password je na tej listi. Se mi je zdelo, da nekdo non-stop trola tukaj "namesto mene"! Zdaj imam potrdilo :))

Yacked2 ::

Če prav razumem niso vsi hashi na tej strani razbiti? Ker načeloma lahko leakano LinkedIn bazo direktno pripneš na ta list, ne da bi razbijal, ker je hashirana z SHA1
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

OK.d ::

LPOK.d

wasd ::

Ta razbita gesla sama po sebi niso tak problem. Sej menda niso objavili gesel, povezanih z emaili ane?

SeMiNeSanja ::

http://securityintelligence.com/news/mo...

Noja...tu so tudi gesla šla poleg.....

Potem pa bo danes in naslednje dni še ogromno govora o Equifaxu...malo sledite novicam!

Uporabnix ::

Obstaja poleg te spodnje spletne strani še kakšna, kjer se da preveriti, katera spletna mesta so bila napadena in podatki ukradeni? Torej, da osvežujejo seznam glede na nove vdore?
https://haveibeenpwned.com/PwnedWebsites


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
7018389 (14708) SeMiNeSanja
»

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )

Oddelek: Novice / Zasebnost
5917768 (11577) MrStein
»

Razkritih 80 milijonov gesel

Oddelek: Novice / Varnost
3112831 (6717) slothec
»

Preverite svoje geslo med 320 milijoni pobeglih

Oddelek: Novice / Varnost
3310988 (6186) Uporabnix
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
95491 (4301) Phantomeye

Več podobnih tem