» »

Razkritih 80 milijonov gesel

Razkritih 80 milijonov gesel

Slo-Tech - Raziskovalec Troy Hunt, ki vzdržuje servis Have I been pwned?, je včeraj na svojem blogu objavil, da je odkril datoteko s kompilacijo uporabniških imen in gesel, pridobljenih z vdori v tisoče spletišč širom svetovnega spleta, pa tudi z ugibanjem - kombiniranjem starejših, že prej objavljenih podatkov. Ni znano, koliko je legitimnih in koliko izmišljenih ter koliko so podatki stari, seznam novoodkritih podatkov pa je Hunt z izločanjem že znanih in preverjanjem skrčil na skoraj 3000 spletišč in 80 milijonov uporabniških imen z gesli. Velik del je takih, ki se doslej še niso pojavila, vse v neenkriptirani, plain-text obliki. V seznamu omenjenih spletišč je tudi nekaj slovenskih: Kot rečeno, dejanska ranljivost prijavnih podatkov ni znana, vseeno pa najbrž ni odveč preveriti, ali je na seznamu kakšno znano spletišče in tam za vsak slučaj zamenjati geslo.

31 komentarjev

Ribič ::

In kje lahko prenesem omenjeno bazo podatkov na svoj računalnik? Tega gospod Troy nikoli ne objavi. Zanimajo me samo gesla, ne pa uporabniška imena.
Pametni ljudje ne potrebujejo pametnih naprav.

BigWhale ::

Joker. :D

Vazelin ::

Je LordFebo že zamenjal geslo?:)

PrimozR ::

FYI, HIBP omogoča preverjanje tako uporabniških imen/e-mailov kot gesel, če se pojavijo kje v bazi.

Prenosa baz pa namenoma ne objavi, a ni logično?

(Če kdo ne najde: https://haveibeenpwned.com/Passwords )

Zgodovina sprememb…

  • spremenil: PrimozR ()

b3D_950 ::

Ja, šit, pa menda ne boš šel pisat gesla na neko random web stran.
< blendernation.com >

Vazelin ::

PrimozR ::

b3D_950 je izjavil:

Ja, šit, pa menda ne boš šel pisat gesla na neko random web stran.

Itak je že leakan, what could possibly go wrong :D

SmeskoSnezak ::

Ok, in ce si preneses to bazo, kako lahko odkrijes/isces svoja gesla?
@ Pusti soncu v srce... @

Ribič ::

PrimozR je izjavil:

Prenosa baz pa namenoma ne objavi, a ni logično?

Med tem se pa on sam nesramno masti z bazami, ki jih ima...

Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.
Pametni ljudje ne potrebujejo pametnih naprav.

4knative ::

Zaradi tega vdora je Joker nehal izhajat? Kako so jim lahko pobrali gesla? O varnosti in zaščiti zgleda da nimajo dosti pojma, so pa dobri v videoigricah. :D
"When we are dead, it's not what we HODL or SODL that matters.
It's what we BUIDL."

shintaro ::

mam account na agp pro kjer sm kupu nekaj računalniških zadev... Jeah Sebi k vedno uporabljam neka fake neumna gesla za vse kar je šalabajzarskega.
Tko da nema vdorov hehe

4knative je izjavil:

Zaradi tega vdora je Joker nehal izhajat? Kako so jim lahko pobrali gesla? O varnosti in zaščiti zgleda da nimajo dosti pojma, so pa dobri v videoigricah. :D


ma dok sm bil najstnik sm rad bral revijo. Forum njihov je leglo psiho geekov.. V bistvu forum je dokaj normalen, dokler ne prideš na 'Gnoj'

Zgodovina sprememb…

  • spremenilo: shintaro ()

dellon ::

FireSnake ::

4knative je izjavil:

Zaradi tega vdora je Joker nehal izhajat?:D


Stečaj Jokerja nima nič opraviti z vdorom.
Kaj te je napeljalo na to mišljenje?
"In The Sound Of Silence Time Is Standing Still"
Poglej, in se nasmej ----> www.vicmaher.si ;)

McMallar ::

Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.

Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.

Ribič je izjavil:

PrimozR je izjavil:

Prenosa baz pa namenoma ne objavi, a ni logično?

Med tem se pa on sam nesramno masti z bazami, ki jih ima...

Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Zgodovina sprememb…

  • spremenil: McMallar ()

Yacked2 ::

McMallar je izjavil:

Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.

Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.

Ribič je izjavil:

PrimozR je izjavil:

Prenosa baz pa namenoma ne objavi, a ni logično?

Med tem se pa on sam nesramno masti z bazami, ki jih ima...

Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.


Ker SHA-1 je res najbolj primerena zgoščevalna fukncija za hashiranje gesel.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

D3m ::

Meni piše 2x :|

Ampak nobenega datuma ali česarkoli.

Piše obakrat unverified.
|Lenovo E575|A6-9500B|
|Lenovo A10|Mediatek MT8121|

veso266 ::

sam je pa dober mehanizem uspostavil: https://haveibeenpwned.com/Passwords
za zbiranje gesel

vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima
Why do you need an e signature if everyone can delete it

Zgodovina sprememb…

  • spremenilo: veso266 ()

Yerpo ::

veso266 je izjavil:

sam je pa dober mehanizem uspostavil: https://haveibeenpwned.com/Passwords
za zbiranje gesel

vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima


Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?
Mrbit ja

shintaro ::

veso266 je izjavil:

sam je pa dober mehanizem uspostavil: https://haveibeenpwned.com/Passwords
za zbiranje gesel

vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima


jaz sem riskiral in vtipkal en password k uporabljam za manj pomembne zadeve. NOT PWNED YEEA!!!

Sm pa bil siguren da je pwned ker na ihavebeenpwned imam najmanj 6 'pwned' sajtov

Zgodovina sprememb…

  • spremenilo: shintaro ()

McMallar ::

Yacked2 je izjavil:

McMallar je izjavil:

Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.

Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.

Ribič je izjavil:

PrimozR je izjavil:

Prenosa baz pa namenoma ne objavi, a ni logično?

Med tem se pa on sam nesramno masti z bazami, ki jih ima...

Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.


Ker SHA-1 je res najbolj primerena zgoščevalna fukncija za hashiranje gesel.


Je pa najbolj enostavna za primerjanje. Ta gesla so tako ali tako zunaj - point te zbirke je v tem, da si lahko zgradis svoj sistem za preverjanje kvalitete gesla v primeru brute-force napada. SHA-1 je samo za to, da niso ravno v plain textu, po drugi strani pa ne zahteva veliko resoursov za izracun.

Ce bi prebral clanek bi videl zakaj SHA-1...
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

Yacked2 ::

McMallar je izjavil:

Yacked2 je izjavil:

McMallar je izjavil:

Ocitno ne poznas Troya in njegovega dela. Malo si poglej njegovo stran in preberi kaksen blog zapis. V enem je zelo jasno in podrobno povedal zakaj in kako to pocne.

Lahko si pa tudi potegnes celotno bazo gesel z njegove strani samo so vsa zgoscena z SHA-1 tako da jih lahko uporabis za primerjanje z obstojecimi gesli.

Ribič je izjavil:

PrimozR je izjavil:

Prenosa baz pa namenoma ne objavi, a ni logično?

Med tem se pa on sam nesramno masti z bazami, ki jih ima...

Sicer pa bi jaz rabil samo seznam gesel brez uporabniških imen... rabim za wordlisto.


Ker SHA-1 je res najbolj primerena zgoščevalna fukncija za hashiranje gesel.


Je pa najbolj enostavna za primerjanje. Ta gesla so tako ali tako zunaj - point te zbirke je v tem, da si lahko zgradis svoj sistem za preverjanje kvalitete gesla v primeru brute-force napada. SHA-1 je samo za to, da niso ravno v plain textu, po drugi strani pa ne zahteva veliko resoursov za izracun.

Ce bi prebral clanek bi videl zakaj SHA-1...


So zunaj ja, ampak sedaj so pa še na kupu:
https://cynosureprime.blogspot.si/2017/...
Zato SHA1 ni ok.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

Markoff ::

Yerpo je izjavil:

veso266 je izjavil:

sam je pa dober mehanizem uspostavil: https://haveibeenpwned.com/Passwords
za zbiranje gesel

vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima


Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?

Kje pa piše, da si poleg gesel ne beleži še IP naslova, iz katerega si obiskal spletno stran? Da ti ne pozauga še kakšnega drugega podatka? Kje piše, da je takšna baza podatkov ustrezno zaščitena in da je ne bo zlorabil ne on, ne kdo drug.

Ne vpišem svojega gesla na tisti obrazec, pa če me baričevičevi psi v rit ugriznejo in zaradi tega dobim prešernovo nagrado.
Ad astra per aspera

Yacked2 ::

Markoff je izjavil:

Yerpo je izjavil:

veso266 je izjavil:

sam je pa dober mehanizem uspostavil: https://haveibeenpwned.com/Passwords
za zbiranje gesel

vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima


Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?

Kje pa piše, da si poleg gesel ne beleži še IP naslova, iz katerega si obiskal spletno stran? Da ti ne pozauga še kakšnega drugega podatka? Kje piše, da je takšna baza podatkov ustrezno zaščitena in da je ne bo zlorabil ne on, ne kdo drug.

Ne vpišem svojega gesla na tisti obrazec, pa če me baričevičevi psi v rit ugriznejo in zaradi tega dobim prešernovo nagrado.


Exactly!
Če bi 2x zapored vpisal isto geslo na njegovo spletno stran bi se moglo iz not pwned premaknit na pwned.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

PrimozR ::

Kdo je pa rekel da zbira gesla?

Yacked2 ::

PrimozR je izjavil:

Kdo je pa rekel da zbira gesla?


Daj ga še meni na ZS, jih tudi ne zbiram. Zraven mi lahko pa še osebno slikaš ali pa kakšno kreditno kartico.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

PrimozR ::

Kaj si naredil takšnega, da daješ vsaj občutek, da tega ne boš zlorabil? Pa kaj je uporabna vrednost tega, da jaz tebi na ZS napišem moje geslo?

Zgodovina sprememb…

  • spremenil: PrimozR ()

Yacked2 ::

Pa kaj je uporabna vrednost tega, da jaz tebi na ZS napišem moje geslo?

Odpisal ti bom: "Kreten si"!

Saj če želiš lahko postavim tudi spletno stran :)
Kaj pa haveibeenpwned daje občutek, da ne zlorabljajo gesel?
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

PrimozR ::

Napisal sem uporabna vrednost, seveda je bilo mišljeno kaj je uporabna vrednost zame. Da odpišeš 'Kreten si' seveda ni uporabna vrednost.

HIBP ima zbirko leakov, prek katere lahko preveriš, če je tvoje uporabniško ime oz. e-mail, navsezadnje pa tudi geslo v kateri izmed teh zbirk, kjer ti tudi pove v kateri zbirki je. Uporabna vrednost je torej da nekdo drug srkbi za to, da sledi novicam leakov informacij, jih zbira in naredi hiter search po njih, brez da bi se moral s tem ukvarjati sam. Obenem ti tudi servirajo na e-mail, če je bilo tvoje uporabniško ime oz. geslo kje ujeto. Tisti del z geslom je samo za zraven.

Sicer ti pa na isti strani tudi ponudi prenos zbirke SHA-1 hashev gesel, ki so bili v pobegih. Sam pač, zadeva je velika 10 GB in vsebuje pol milijarde zapisov. Če se najdeš v bazi po mailu glede na ponudnike, če si v tistem času npr. ponovno uporabljal geslo in si precej ziher, da je pobengilo, sprobaš tistega, za katerega si zelo prepričan, da je itak na internetu, potem pa primerjaš število najdb. Če se število najdenih gesel ujema s številom najdenih uporabniških imen, potem je to to. Sicer pa iščeš naprej.

Zgodovina sprememb…

  • spremenil: PrimozR ()

Yerpo ::

Markoff je izjavil:

Yerpo je izjavil:

veso266 je izjavil:

sam je pa dober mehanizem uspostavil: https://haveibeenpwned.com/Passwords
za zbiranje gesel

vsak ki se boji za svoje geslo ga vpiše notri on ga pa skrivaj (mogoče tudi ne, kdo ve) zbira in si gradi lepo bazo gesel, ki jih še nima


Kje pa piše, da ne bi smel imeti nekaj od tega, da ponuja storitev? In zakaj bi bil to problem, dokler nikomur ne škoduje?

Kje pa piše, da si poleg gesel ne beleži še IP naslova, iz katerega si obiskal spletno stran? Da ti ne pozauga še kakšnega drugega podatka? Kje piše, da je takšna baza podatkov ustrezno zaščitena in da je ne bo zlorabil ne on, ne kdo drug.

Ne vpišem svojega gesla na tisti obrazec, pa če me baričevičevi psi v rit ugriznejo in zaradi tega dobim prešernovo nagrado.


Če mu ne zaupaš, ga pač ne vpišeš, problem rešen brez šimfanja po internetu.
Mrbit ja

slothec ::

Vprašanje glede prenosa te baze: https://haveibeenpwned.com/Passwords
Ko s torrentom potegnem, kam se pol ta SHA-1 hash od 7-Zip datoteke vpiše? Dobim samo neberljiv txt file...

slothec ::

Jah se oproščam, nisem vedel.

Vprašanje pa še vedno stoji :)
Oz. bolj pravilno vprašano, kako odpreti to zdownloadano Pwned passwords .7z datoteko? 7-Zip mi pokaže not .txt file, ki pa je prazen.
Preveril bi rad za par aktualnih gesel, a jih ne želim vpisovati na spletno stran (kljub tem hashom in podobnim tujkam). Bi raje poiskal v potegnjeni datoteki.

Zgodovina sprememb…

  • spremenilo: slothec ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Preverite svoje geslo med 320 milijoni pobeglih

Oddelek: Novice / Varnost
335694 (892) Uporabnix
»

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

Oddelek: Novice / Varnost
344868 (1547) njyngs
»

Zadnje aktivnosti LulzSec

Oddelek: Novice / Varnost
204364 (2288) Taura
»

Win server 2003 in Win XP - file sharing oz. skupna raba

Oddelek: Omrežja in internet
221318 (1189) Mitja.GTI
»

Problem z odjavljanjem

Oddelek: Omrežja in internet
6723 (644) Cokolesnik

Več podobnih tem