Slo-Tech - Raziskovalec Troy Hunt, ki vzdržuje servis Have I been pwned?, je včeraj na svojem blogu objavil, da je odkril datoteko s kompilacijo uporabniških imen in gesel, pridobljenih z vdori v tisoče spletišč širom svetovnega spleta, pa tudi z ugibanjem - kombiniranjem starejših, že prej objavljenih podatkov. Ni znano, koliko je legitimnih in koliko izmišljenih ter koliko so podatki stari, seznam novoodkritih podatkov pa je Hunt z izločanjem že znanih in preverjanjem skrčil na skoraj 3000 spletišč in 80 milijonov uporabniških imen z gesli. Velik del je takih, ki se doslej še niso pojavila, vse v neenkriptirani, plain-text obliki. V seznamu omenjenih spletišč je tudi nekaj slovenskih:
Kot rečeno, dejanska ranljivost prijavnih podatkov ni znana, vseeno pa najbrž ni odveč preveriti, ali je na seznamu kakšno znano spletišče in tam za vsak slučaj zamenjati geslo.
Zaradi tega vdora je Joker nehal izhajat? Kako so jim lahko pobrali gesla? O varnosti in zaščiti zgleda da nimajo dosti pojma, so pa dobri v videoigricah.
"When we are dead, it's not what we HODL or SODL that matters.
It's what we BUIDL."
mam account na agp pro kjer sm kupu nekaj računalniških zadev... Jeah Sebi k vedno uporabljam neka fake neumna gesla za vse kar je šalabajzarskega. Tko da nema vdorov hehe
Zaradi tega vdora je Joker nehal izhajat? Kako so jim lahko pobrali gesla? O varnosti in zaščiti zgleda da nimajo dosti pojma, so pa dobri v videoigricah.
ma dok sm bil najstnik sm rad bral revijo. Forum njihov je leglo psiho geekov.. V bistvu forum je dokaj normalen, dokler ne prideš na 'Gnoj'
Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.
Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.
Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.
Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.
Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.
Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.
Med tem se pa on sam nesramno masti z bazami, ki jih ima...
Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.
Ker SHA-1 je res najbolj primerena zgoščevalna fukncija za hashiranje gesel.
Je pa najbolj enostavna za primerjanje. Ta gesla so tako ali tako zunaj - point te zbirke je v tem, da si lahko zgradis svoj sistem za preverjanje kvalitete gesla v primeru brute-force napada. SHA-1 je samo za to, da niso ravno v plain textu, po drugi strani pa ne zahteva veliko resoursov za izracun.
Ce bi prebral clanek bi videl zakaj SHA-1...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25
Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.
Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.
Med tem se pa on sam nesramno masti z bazami, ki jih ima...
Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.
Ker SHA-1 je res najbolj primerena zgoščevalna fukncija za hashiranje gesel.
Je pa najbolj enostavna za primerjanje. Ta gesla so tako ali tako zunaj - point te zbirke je v tem, da si lahko zgradis svoj sistem za preverjanje kvalitete gesla v primeru brute-force napada. SHA-1 je samo za to, da niso ravno v plain textu, po drugi strani pa ne zahteva veliko resoursov za izracun.
vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima
Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?
Kje pa piše, da si poleg gesel ne beleži še IP naslova, iz katerega si obiskal spletno stran? Da ti ne pozauga še kakšnega drugega podatka? Kje piše, da je takšna baza podatkov ustrezno zaščitena in da je ne bo zlorabil ne on, ne kdo drug.
Ne vpišem svojega gesla na tisti obrazec, pa če me baričevičevi psi v rit ugriznejo in zaradi tega dobim prešernovo nagrado.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima
Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?
Kje pa piše, da si poleg gesel ne beleži še IP naslova, iz katerega si obiskal spletno stran? Da ti ne pozauga še kakšnega drugega podatka? Kje piše, da je takšna baza podatkov ustrezno zaščitena in da je ne bo zlorabil ne on, ne kdo drug.
Ne vpišem svojega gesla na tisti obrazec, pa če me baričevičevi psi v rit ugriznejo in zaradi tega dobim prešernovo nagrado.
Exactly! Če bi 2x zapored vpisal isto geslo na njegovo spletno stran bi se moglo iz not pwned premaknit na pwned.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Napisal sem uporabna vrednost, seveda je bilo mišljeno kaj je uporabna vrednost zame. Da odpišeš 'Kreten si' seveda ni uporabna vrednost.
HIBP ima zbirko leakov, prek katere lahko preveriš, če je tvoje uporabniško ime oz. e-mail, navsezadnje pa tudi geslo v kateri izmed teh zbirk, kjer ti tudi pove v kateri zbirki je. Uporabna vrednost je torej da nekdo drug srkbi za to, da sledi novicam leakov informacij, jih zbira in naredi hiter search po njih, brez da bi se moral s tem ukvarjati sam. Obenem ti tudi servirajo na e-mail, če je bilo tvoje uporabniško ime oz. geslo kje ujeto. Tisti del z geslom je samo za zraven.
Sicer ti pa na isti strani tudi ponudi prenos zbirke SHA-1 hashev gesel, ki so bili v pobegih. Sam pač, zadeva je velika 10 GB in vsebuje pol milijarde zapisov. Če se najdeš v bazi po mailu glede na ponudnike, če si v tistem času npr. ponovno uporabljal geslo in si precej ziher, da je pobengilo, sprobaš tistega, za katerega si zelo prepričan, da je itak na internetu, potem pa primerjaš število najdb. Če se število najdenih gesel ujema s številom najdenih uporabniških imen, potem je to to. Sicer pa iščeš naprej.
vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima
Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?
Kje pa piše, da si poleg gesel ne beleži še IP naslova, iz katerega si obiskal spletno stran? Da ti ne pozauga še kakšnega drugega podatka? Kje piše, da je takšna baza podatkov ustrezno zaščitena in da je ne bo zlorabil ne on, ne kdo drug.
Ne vpišem svojega gesla na tisti obrazec, pa če me baričevičevi psi v rit ugriznejo in zaradi tega dobim prešernovo nagrado.
Če mu ne zaupaš, ga pač ne vpišeš, problem rešen brez šimfanja po internetu.
Vprašanje glede prenosa te baze: https://haveibeenpwned.com/Passwords Ko s torrentom potegnem, kam se pol ta SHA-1 hash od 7-Zip datoteke vpiše? Dobim samo neberljiv txt file...
Vprašanje pa še vedno stoji :) Oz. bolj pravilno vprašano, kako odpreti to zdownloadano Pwned passwords .7z datoteko? 7-Zip mi pokaže not .txt file, ki pa je prazen. Preveril bi rad za par aktualnih gesel, a jih ne želim vpisovati na spletno stran (kljub tem hashom in podobnim tujkam). Bi raje poiskal v potegnjeni datoteki.
