» »

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel

Slo-Tech - Spletna stran Have I Been Pwned, ki se ukvarja z beleženjem ukradenih in pobeglih prijavnih podatkov uporabnikov različnih spletnih storitev, je sporočila, da so pridobili bazo s 773 milijoni elektronskih naslovov in 21 milijonov enoličnih gesel. To je največja baza doslej. Kot pojasnjuje ustanovitelj strani Troy Hunt, gre za kombinacijo novih in starih vnosov, ki so se valjali po internetu. Sedaj zbrani v eni datoteki z imenom "Collection #1" in krožijo po forumih in tudi na spletni strani Mega. Takšne zbirke so še posebej pripravne za hekerje, saj ljudje pogosto reciklirajo gesla, zato lahko podatke z ene kompromitirane spletne strani uporabijo še na številnih drugih.

Najnovejša datoteka je največji tovrstni ulov. Vsebuje 1,16 milijarde unikatnih kombinacij elektronski naslov/geslo, torej se v njej ljudje ponavljajo. Originalna datoteka je imela 2,7 milijarde vrstic in je tehtala 87 GB. Od teh je 663 milijonov elektronskih naslovov že znanih (torej so že na Have I Been Pwned), preostanek pa je nov. Collection #1 namreč ni delo enega samega vdora, kot so bili denimo velikanski vdori v Yahoo, Equifax ali AdultFriendFinder, temveč nabirka več manjših. Nekaj izmed njih je že znanih, drugi so bili neznani.

Nasvet zato ostaja enak. Uporabljati je treba dolga, naključna gesla, predvsem pa za vsako spletno stran svoje. Ker v praksi tega nismo sposobni, so upravljalniki gesel (LastPass, KeePas, 1Password ipd.) zlata vredni. Če želite preveriti, ali so vaše geslo že kdaj kod razkrili, pa ga lahko poiščete v seznamu ukradenih gesel (v zgoščeni obliki).

59 komentarjev

«
1
2

gruntfürmich ::

12345

This password has been seen 2.333.232 times before...
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Ahim ::

Ti ti grdi naslovi in gesla, da kar pobegnejo na internet ...

RedDrake ::

Upravljalniki gesel so nepotrebna neumnost, ker nekje mora geslo še vedno obstajati v obliki, ki se jo da odkodirati v plaintext.

Jaz preprosto uporabljam _naključna_ enkratna gesla za vse.
Vedno ko se kam prijavljam izberem "pozabil sem geslo" in ga nastavim na naključen niz črk, številk in simbolov.
Na email računu imam efektivno nezlomljivo geslo (gre za stavek iz ene slovenske knjige, ki je dolg skoraj 100 znakov in ga znam na pamet) - tudi če bi kdo pridobil zgoščeno vrednost ga že zaradi dolžine ne bi uspel nikoli razbiti.

Baja ::

kolega se je pri dolgem geslu zatipkal, pa ga je vseeno prijavilo. nakar je ugotovil da stran vzame samo prvih x znakov :/

jype ::

RedDrake je izjavil:

Upravljalniki gesel so nepotrebna neumnost, ker nekje mora geslo še vedno obstajati v obliki, ki se jo da odkodirati v plaintext.
S tem ni nič narobe, če so gesla pravilno šifrirana.

RedDrake je izjavil:

Jaz preprosto uporabljam _naključna_ enkratna gesla za vse.
Ja, vsi, ki uporabljajo upravljalnike gesel tudi.

RedDrake je izjavil:

Na email računu imam efektivno nezlomljivo geslo (gre za stavek iz ene slovenske knjige, ki je dolg skoraj 100 znakov in ga znam na pamet) - tudi če bi kdo pridobil zgoščeno vrednost ga že zaradi dolžine ne bi uspel nikoli razbiti.
Efektivno torej potrebujemo zgolj dovolj dobro kamero in nekoga z dovolj sredstvi, da za teboj pošlje človeka, ki te ujame pri tipkanju gesla.

Skrb za informacijsko varnost je vedno tekma med znosnostjo življenja in vrednostno tveganj.

flameir ::

Mene pa zanima, kako dejansko delujejo upravljalniki gesel, jih kdo uporablja? Sem mal počekiru moj mail in geslo, pa vidim, da bo treba menjat. Hvala adobe, ker si kljub zajetnim denarcem objavil še moj mail in geslo. :))

@RedDrake
Imaš že prav, da je tvoja metoda verjetno varnejša, za moje starše recimo pa to odpade. Tudi meni se ne da vsakič, ko grem na eno stran resetirat gesel. Tako, da bi morda implementiral kakšen tak program pri očetu in mami, pa sebi tudi. Predlogi?

stara mama ::

Zadnjič sem štel, na koliko zadevah uporabljam gesla.
Številka? Blizu 50 gesel!
Zdaj pa mej geslo za vsakega posebej............
(upravljalcem gesel ne zaupam)

Zgodovina sprememb…

jype ::

stara mama je izjavil:

Blizu 50 gesel!
No, v primerjavi z več tisoč, ki jih imamo tisti, ki se resno ukvarjamo z internetom, to res ni pretirano.

flameir je izjavil:

Predlogi?
Švoh je s tem: Če koda ni na voljo (in pri veliki večini ni), potem jim ne bi smel zaupati, da so reči narejene pravilno, če pa je, moraš pa najti več posameznikov, ki so sposobni reči pregledati in ti potrditi, da so OK.

stara mama ::

jype je izjavil:

stara mama je izjavil:

Blizu 50 gesel!
No, v primerjavi z več tisoč, ki jih imamo tisti, ki se resno ukvarjamo z internetom, to res ni pretirano.

No, potem pa še povej najboljši sistem upravljanja z gesli za domačega uporabnika kot sem jaz, ki ne zaupam tem ponudnikom.

Ales ::

RedDrake je izjavil:

Upravljalniki gesel so nepotrebna neumnost, ker nekje mora geslo še vedno obstajati v obliki, ki se jo da odkodirati v plaintext.
Dokler je to "nekje" na varnem mestu, je varnostno tveganje pri takem hranjenju gesel sprejemljivo in manjše, kot pri večini drugih pristopov. Zato še zdaleč ne gre za neumnost.

Jaz preprosto uporabljam _naključna_ enkratna gesla za vse.
Pri uporabi upravljalnikov gesel gre tudi za naključna in individualna gesla. To da so tvoja gesla enkratna pa niti ni tako zelo varno, kot si predstavljaš.

Vedno ko se kam prijavljam izberem "pozabil sem geslo" in ga nastavim na naključen niz črk, številk in simbolov.
In od kod ti ideja, da je to varno?? Pri takem pristopu uporabnik *vsakič* generira novo geslo ali povezavo za reset na sistemu, ki ga ne pozna, potem dobi poslano novo geslo ali povezavo za reset preko e-maila, kjer gre sporočilo čez prejemniku neznane komunikacijske kanale, ki so lahko slabo zaščiteni, in se hrani na strežnikih, nad katerimi nima nadzora in imajo do njih dostop še drugi ljudje, po možnosti v plain tekstu.

Poleg tega za vsako prijavo porabiš minute ali celo desetine minut, da jo sploh opraviš, kar pomeni, da je to praktično neuporabno. Skratka, čisto vsaka tvoja prijava je nevarna in še s praktičnega vidika neuporabna za povrh.

Na email računu imam efektivno nezlomljivo geslo (gre za stavek iz ene slovenske knjige, ki je dolg skoraj 100 znakov in ga znam na pamet) - tudi če bi kdo pridobil zgoščeno vrednost ga že zaradi dolžine ne bi uspel nikoli razbiti.
Keylogger, MITM napad, prijava preko nezaščitene povezave, kamera, socialni inženiring, itd.. Možnosti pridobitve tvojega stringa je kar nekaj. Potem obstaja še možnost vdora v poštni predal mimo sistema avtentikacije, pri čemer tvoj string sploh ni potreben. Je vsebina tvojega poštnega predala enkriptirana?

Občutno bi izboljšal svojo varnost, če bi tak string uporabil za zaščito password managerja oz. za enkripcijo gesel, le te pa bi potem uporabljal za prijavo na druge storitve, s tvojim e-mailom vred.

Če ob tem ustrezno skrbiš za varnost okolja, v katerem poteka enkripcija, hranjenje in dekripcija gesel, poskrbiš za redno menjavo gesel ter za uporabo gesel le iz varnega okolja in preko varnih kanalov komunikacije, si naredil praktično vse, kar je še smiselno narediti za vsakodnevno varnost slehernika na spletu. Ob tem pa lahko vnos gesel opravljaš praktično v trenutku, brez čakanja.

MrStein ::

Uporabljati je treba dolga, naključna gesla, predvsem pa za vsako spletno stran svoje. Ker v praksi tega nismo sposobni, so upravljalniki gesel (LastPass, KeePas, 1Password ipd.) zlata vredni.

Ali pa če bi ponudniki podprli kake druge metode avtentikacije razen primitivnega načina z geslom.

RedDrake je izjavil:


Na email računu imam efektivno nezlomljivo geslo (gre za stavek iz ene slovenske knjige, ki je dolg skoraj 100 znakov in ga znam na pamet) - tudi če bi kdo pridobil zgoščeno vrednost ga že zaradi dolžine ne bi uspel nikoli razbiti.

Google "dictionary attack".
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

RedDrake ::

jype je izjavil:

S tem ni nič narobe, če so gesla pravilno šifrirana.

Če. Kdo ti garantira, da ni backdoora za potrebe vladnih služb, ki je že zdavnaj v rokah random kriminalcev?

jype je izjavil:


Efektivno torej potrebujemo zgolj dovolj dobro kamero in nekoga z dovolj sredstvi, da za teboj pošlje človeka, ki te ujame pri tipkanju gesla.

Recimo ja. Ampak še vedno se rahlo zaplete, ker uporabljam ne-standarden layout na tipkovnicah, ki so drugače čisto standardne. Stvar navade - ne paranoje :). Sicer povsem preprosto uganiti layout, če me ujamejo med uporabo text layouta pri pisanju besedil (forumi, kak dokument).

jype je izjavil:


Skrb za informacijsko varnost je vedno tekma med znosnostjo življenja in vrednostno tveganj.

Se povsem strinjam.

Elysium ::

RedDrake je izjavil:

jype je izjavil:

S tem ni nič narobe, če so gesla pravilno šifrirana.

Če. Kdo ti garantira, da ni backdoora za potrebe vladnih služb, ki je že zdavnaj v rokah random kriminalcev?

Pri password managerju, ki ga uporabljam, je enkriptana datoteka shranjena pri meni na računalniku.

RedDrake ::

Ales je izjavil:

Pri uporabi upravljalnikov gesel gre tudi za naključna in individualna gesla. To da so tvoja gesla enkratna pa niti ni tako zelo varno, kot si predstavljaš.
...
In od kod ti ideja, da je to varno?? Pri takem pristopu uporabnik *vsakič* generira novo geslo ali povezavo za reset na sistemu, ki ga ne pozna, potem dobi poslano novo geslo ali povezavo za reset preko e-maila, kjer gre sporočilo čez prejemniku neznane komunikacijske kanale, ki so lahko slabo zaščiteni, in se hrani na strežnikih, nad katerimi nima nadzora in imajo do njih dostop še drugi ljudje, po možnosti v plain tekstu.

Poleg tega za vsako prijavo porabiš minute ali celo desetine minut, da jo sploh opraviš, kar pomeni, da je to praktično neuporabno. Skratka, čisto vsaka tvoja prijava je nevarna in še s praktičnega vidika neuporabna za povrh.
...
Keylogger, MITM napad, prijava preko nezaščitene povezave, kamera, socialni inženiring, itd.. Možnosti pridobitve tvojega stringa je kar nekaj. Potem obstaja še možnost vdora v poštni predal mimo sistema avtentikacije, pri čemer tvoj string sploh ni potreben. Je vsebina tvojega poštnega predala enkriptirana?

Bom odgovoril kar skupaj.
Imam lasten poštni strežnik, ki ga upravljam sam. Ni v nobenem omrežju (le direkten link na javni IP za požarnim zidom), fizični dostop vključuje vlome, ki bodo pustili posledice. Strežnik dopušča samo kriptirane povezave in na njem ne teče skoraj noben proces, ki ni nujno potreben za e-pošto. Seveda, vedno obstaja možnost vdora preko stvari kot je bil recimo Heartbleed.
Kar se tiče nevarnih komunikacijskih kanalov, kolikšna je po tvojem verjetnost, da bodo nekega Janeza Novaka pwnali tako, da bodo prestrezali njegove maile na strežnikih od ISP-jev ali se šli MITM? Mislim da je tam nekje okoli ε > 0. Keylogger pomeni, da je clientside že pwnan, kar pomeni, da je tudi password manager pwnan, takoj ko boš vpisal njegovo geslo, da drugih implikacij sploh ne omenjam. Socialni inženiring je vedno opcija, ampak je identična opcija tudi za recimo password manager.

Ales je izjavil:


Občutno bi izboljšal svojo varnost, če bi tak string uporabil za zaščito password managerja oz. za enkripcijo gesel, le te pa bi potem uporabljal za prijavo na druge storitve, s tvojim e-mailom vred.

Če ob tem ustrezno skrbiš za varnost okolja, v katerem poteka enkripcija, hranjenje in dekripcija gesel, poskrbiš za redno menjavo gesel ter za uporabo gesel le iz varnega okolja in preko varnih kanalov komunikacije, si naredil praktično vse, kar je še smiselno narediti za vsakodnevno varnost slehernika na spletu. Ob tem pa lahko vnos gesel opravljaš praktično v trenutku, brez čakanja.

Nič boljše ne bi bilo.
Aja, govorimo o slehernikih. Ja, seveda one-click rešitve so za njih najbolj učinkovite. Dokler kaj ne gre narobe s kakšnim bugom in je potem pwnanih N miljonov uporabnikov.

RedDrake ::

MrStein je izjavil:


Google "dictionary attack".

Lol.
Dictionary attacks are relatively easy to defeat, e.g. by using a passphrase ...

In kaj je moja reč ... aja passphrase je, seveda.

flameir ::

Kaj če mi namesto tekmovanja, kdo ma boljši način upravljanja z gesli (ki ni ravno za normalnega smrtnika) predstavili vaš pogled na najboljšo rešitev za navadnega smrtnika (torej npr. nekaj klikov pri nastavitvi password managerja, ki jih lahko opravi tudi FDVjevec). :D

bbbbbb2015 ::

jype je izjavil:

RedDrake je izjavil:

Upravljalniki gesel so nepotrebna neumnost, ker nekje mora geslo še vedno obstajati v obliki, ki se jo da odkodirati v plaintext.
S tem ni nič narobe, če so gesla pravilno šifrirana.
Skrb za informacijsko varnost je vedno tekma med znosnostjo življenja in vrednostno tveganj.


Seveda je problem. Lahko imaš brute force attack, z več GB velikimi slovarji, ki probajo vse možne kombinacije besed v danem jeziku, na več deset ali sto GPUjih. Hashcat is your friend.
Najbolj varen je tisti google hardverski ključek. Samo nekako ni praktičen.

T743 ::

Kakšen yubikey mogoče, za second layer čez password na straneh, ki to omogočajo.

gruntfürmich ::

jype je izjavil:

No, v primerjavi z več tisoč, ki jih imamo tisti, ki se resno ukvarjamo z internetom, to res ni pretirano.

trolanje je resna stvar?
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Ales ::

RedDrake je izjavil:

... Imam lasten poštni strežnik, ki ga upravljam sam. ...

Ok, s tem izboljšaš svojo varnost, če privzamemo, da je strežnik na varnem mestu in dobro upravljan. Kot si že sam ugotovil, ta pristop pri sleherniku ne bo možen. Sploh če bi se hotel iti še enkripcijo vsebine poštnega strežnika.

De facto gre pri tvojem pristopu za poglavitno razliko med:

a) lasten poštni strežnik in vsakokratno pošiljanje svežih gesel nanj

b) lastna enkriptirana hramba gesel

Še vedno sem mnenja, da je pristop b) vsaj malo varnejši in precej bolj praktičen, razumem pa čisto, da ti a) odgovarja.

Da ne bo pomote, ne zagovarjam hrambe gesel v oblaku in skozi neke javne free ali plačljive storitve. Zagovarjam pa hrambo ekriptiranih gesel v lastni režiji. Lahko tudi delno v povezavi z online sinhronizacijo, če le uporabnik obdrži vsaj delni nadzor nad enkripcijo in prenosom podatkov.

Sam uporabljam pass znotraj dodatnega enkriptiranega razdelka. Dodaten korak je zato, ker pri moji priljubljeni konfiguraciji pass-a le-ta razkrije nekaj več meta podatkov, kot bi si želel. PGP v kombinaciji z Git-om (kar pass pravzaprav je) in temu namenjeni vtičniki za brskalnike čisto lepo deluje zame. Ni popolna varnost, a je zmes praktičnosti in dovolj dobre varnosti. Dovolj dobre, po moji presoji seveda... Za nekoga zna biti premalo, za nekoga drugega overkill...

MrStein ::

RedDrake je izjavil:

MrStein je izjavil:


Google "dictionary attack".

Lol.
Dictionary attacks are relatively easy to defeat, e.g. by using a passphrase ...

In kaj je moja reč ... aja passphrase je, seveda.

Pardon, bom razložil.
Vsaka javno znana beseda, besedna zveza, stavek ali kar celotno poglavje, je slabo geslo. Ker: javno znano


V primeru zasebnega strežnika je to sicer manj relevantno.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Tomay ::

Tudi, če preverim novo geslo na https://haveibeenpwned.com/Passwords je v trenutku, ko ga vnesem že "javno" Verjetno tudi oni zbirajo poizvedbe za gesla.
Voodoo 4Ever

SeMiNeSanja ::

Priporočam podcast Talking MFA with Roger Grimes. Zelo zanimiv interview...

r3dkv1c4 ::

Tomay je izjavil:

Tudi, če preverim novo geslo na https://haveibeenpwned.com/Passwords je v trenutku, ko ga vnesem že "javno" Verjetno tudi oni zbirajo poizvedbe za gesla.

Točno to.
Uporabniki pa na glavo "preverjat gesla".
Ravno o tem sem ne dolgo tega bral prispevek, kako pwned zbira gesla naivnih brezglavcev.
Vsaka stvar ima svojo mejo.

You can ban me, but you can't shut me down!

shadeX ::

gruntfürmich je izjavil:

12345

This password has been seen 2.333.232 times before...


"ihavebigpenis"

Oh no — pwned!
This password has been seen 53 times before



"ihavesmallpenis"

Good news — no pwnage found!


:))

kixs ::

meni napise:

"Oh no - catastrophic failure!"

nekikr ::

Edino moje geslo, ki je na tej strani, je tisto, ki je najbolj zakomplicirano od vseh. Se pravi je dolgo, s številkami, znaki, velikimi črkami itd. Ostala, lažja, so varna. Če nekdo pridobi txt datoteko z vsemi podatki je prav vseeno kako zakomplicirano geslo imaš, gmail račun enega Janeza, z geslom geslo123 ne bo pa nihče brute forcal.

predi ::

flameir je izjavil:

Kaj če mi namesto tekmovanja, kdo ma boljši način upravljanja z gesli (ki ni ravno za normalnega smrtnika) predstavili vaš pogled na najboljšo rešitev za navadnega smrtnika (torej npr. nekaj klikov pri nastavitvi password managerja, ki jih lahko opravi tudi FDVjevec). :D
Jaz uporabljam KeePass, odprtokodno rešitev, ki se uporablja tudi v EU ustanovah. Zanj celo delajo security audite. Notri imam samo accounte, ki so mi dejansko pomembni, sam program in varnostne elemente pa imam na usb-ključku, ki ga vtaknem samo ko je potrebno, vtikam pa samo v zaupanja vredne naprave (dva računalnika in en telefon).

Odpreš program, narediš novo bazo, nastaviš password in mogoče zraven še key file - njuna kombinacija odkriptira bazo. Nato narediš vnose v bazo (password se ustvari avtomatsko) za posamezne spletne strani, mogoče prilagodiš generator passwordov, da se bo ujemal z zahtevami spletne strani (mora imeti številko, mora bit dolg največ, brez posebnih znakov, ipd.), pa mogoče tudi prilagodiš kako se vede avtomatični vnos (recimo [vnos uporabniškega imena, tab, vnos passworda, enter], morda pa samo [password in enter]). Bazo shraniš, narediš backup, potem pa zamenjaš gesla na svojih spletnih straneh s temi novimi. Ko se moraš prijaviti, zaženeš program, odkleneš bazo, fokus za vnos znakov s tipkovnice nastaviš na polje spletne strani, greš v program in izbereš "Auto type", program pa namesto tebe vnese nastavljene znakovne nize. Nato program zapreš oz. zakleneš odprto bazo.

Obstaja tudi aplikacija za Android/iOS/Mac/Linux, vendar gre za port originalne aplikacije.

SeMiNeSanja ::

V bistvu so take strani kot haveibeenpwned krasen dodatek za hashcat in podobna orodja, sploh ko se gre za gesla z malo večjo dolžino in bi moral hashe mleti v neskončno, predenj bi jih 'zlomil', saj ti obiskovalci sami sproti gradijo tvoj dictionary, s katerim greš nad hash-e.

To pomeni, da je teoretično VSAKO geslo, ki je bilo kdaj vnešeno v iskalnik, sedaj (lahko) sestavni del dictionaryja, s tem pa tudi 'skurjeno', neuporabno za karkoli 'resnega' - ob predpostavki, da se dejansko ustvarja dictionary in da ta kdaj pade v napačne roke.
Tak Dictionary je zanimiv tudi za raziskovalce, ki s pomočjo AI analizirajo te podatke in se učijo avtomatizirano generirati ustrezne dodatne visoko verjetne kombinacije za Dictionary.

Tako na koncu nabereš bazo, ki v prvem preletu (v sekundah!) 'zlomi' (veliko?) več kot 50% gesel v tipični password datoteki.

zmaugy ::

SeMiNeSanja je izjavil:

V bistvu so take strani kot haveibeenpwned krasen dodatek za hashcat in podobna orodja, sploh ko se gre za gesla z malo večjo dolžino in bi moral hashe mleti v neskončno, predenj bi jih 'zlomil', saj ti obiskovalci sami sproti gradijo tvoj dictionary, s katerim greš nad hash-e.

To pomeni, da je teoretično VSAKO geslo, ki je bilo kdaj vnešeno v iskalnik, sedaj (lahko) sestavni del dictionaryja, s tem pa tudi 'skurjeno', neuporabno za karkoli 'resnega' - ob predpostavki, da se dejansko ustvarja dictionary in da ta kdaj pade v napačne roke.
Tak Dictionary je zanimiv tudi za raziskovalce, ki s pomočjo AI analizirajo te podatke in se učijo avtomatizirano generirati ustrezne dodatne visoko verjetne kombinacije za Dictionary.

Tako na koncu nabereš bazo, ki v prvem preletu (v sekundah!) 'zlomi' (veliko?) več kot 50% gesel v tipični password datoteki.


Meni nikoli na kraj pameti ne pride, da bi na takšni strani vpisoval svoja gesla - kao v preverbo. Mislim waat!?

MrStein ::

Aha, torej noben ni preveril in ugotovil, da se geslo NE POŠLJE na server haveibeenpwned.com?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

louser ::

nekikr je izjavil:

Edino moje geslo, ki je na tej strani, je tisto, ki je najbolj zakomplicirano od vseh. Se pravi je dolgo, s številkami, znaki, velikimi črkami itd. Ostala, lažja, so varna. Če nekdo pridobi txt datoteko z vsemi podatki je prav vseeno kako zakomplicirano geslo imaš, gmail račun enega Janeza, z geslom geslo123 ne bo pa nihče brute forcal.

Racunalnik ne ve, kaj je komplicirano geslo zate.

MrStein je izjavil:

Aha, torej noben ni preveril in ugotovil, da se geslo NE POŠLJE na server haveibeenpwned.com?

To ni mogoce.

Zgodovina sprememb…

  • spremenilo: louser ()

Ales ::

louser je izjavil:

MrStein je izjavil:

Aha, torej noben ni preveril in ugotovil, da se geslo NE POŠLJE na server haveibeenpwned.com?

To ni mogoce.

Geslo in hash gesla sta dve različne stvari.

Jeronimo ::

Kje se da pa imena in gesla videti? Ne samo na strani kjer ti reče, da si pwned ... dejansko, da vidim, ali obstaja povezava med mojim imenom in geslom.

Hvala

LP
JURIŠ !!!
Preko vode do slobode!

Ahim ::

louser je izjavil:

MrStein je izjavil:

Aha, torej noben ni preveril in ugotovil, da se geslo NE POŠLJE na server haveibeenpwned.com?

To ni mogoce.

Seveda je mogoce. Posilja se ocitno na tvoji strani zgeneriran (javascript) SHA1 hash.

MrStein ::

Neja se.

A se res nobenemu znalcu ni dalo klikniti na link do dokumentacije? Je takoj tam zraven vnosnega polja.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Oberyn ::

flameir je izjavil:

Kaj če mi namesto tekmovanja, kdo ma boljši način upravljanja z gesli (ki ni ravno za normalnega smrtnika) predstavili vaš pogled na najboljšo rešitev za navadnega smrtnika (torej npr. nekaj klikov pri nastavitvi password managerja, ki jih lahko opravi tudi FDVjevec). :D

KeePass, katerega podatkovna datoteka je nameščena na šifriranem razdelku Nitrokey tokena. Za storitve, ki to podpirajo in so tega vredne, one time password, kar ima tudi Nitrokey vgrajeno in sicer 20 ločenih generatorjev. Zbirka 'dizaster' dokumentacije je tudi tam gori, varno šifrirana. To je zmogljiva napravica, strojno in programsko v celoti odprtokodna in za povrhu evropskega porekla. Nekaj sicer stane, posebej ker jih moraš imeti več, ker če tako napravo izgubiš, si brez rezerve mrzel. To skupaj se mi zdi ena taka srednje komplicirana še kar varna rešitev za povprečnega človeka, ki mu je digitalna varnost pomembna, vendar ni fanatik.

AgiZ ::

Kaj je KeePass v navezi z raznimi plugini. Brez oblakov.
Pa tudi Password Safe naj bi bil ok.

GreenT ::

Haha,..vpišite svoj email. Jap jap,....nice try,... Če ga še nimajo, ga bodo mel pa poj.

GreenT ::

Za foro sem si zdej zadal, da bom spremenil geslo na hotmailu. Se dvakrat(!) logiram in zadeva zahteva sekundarno preverjanje. OK! Pošlejo kodo z SMS na mobitel, ... ki je ne dobim. Popolen fail! Obupam ... in sklenem, da obdržim staro geslo.

Čez pol ure še enkrat probam. Tokrat isti postopek, samo da notr vpišem sekundarni email naslov. Ki ima mimogrede popolnoma isto geslo. Dobim pošto na sekundarni email. Čakat moram 1 dan, da ga avtentificirajo? Ugasnem vse skupej,.... Ta trenutek ne morem nič...

...poj se pa folk sprašuje zakaj ne menjamo gesel....

Jeronimo ::

Kje se da to bazo dobiti oz. pregledati?
JURIŠ !!!
Preko vode do slobode!

nekikr ::

Racunalnik ne ve, kaj je komplicirano geslo zate.

Čemu torej že na vsaki strani zahtevajo kombinacijo malih in velikih črk, številk, posebnih znakov, kri device, vsega skupaj vsaj 9 znakov...če je pa vse isto, kot praviš?

louser ::

Ahim je izjavil:

louser je izjavil:

MrStein je izjavil:

Aha, torej noben ni preveril in ugotovil, da se geslo NE POŠLJE na server haveibeenpwned.com?

To ni mogoce.

Seveda je mogoce. Posilja se ocitno na tvoji strani zgeneriran (javascript) SHA1 hash.

Geslo + sol + algoritem = hash
Če je geslo leakono v plaintextu, ga je potrebno primerjati.
Če ni znan algoritem, je potrebno plaintext primerjati s plaintextom.
Ali pa oboje šifrirati z istim algoritmom in nato primerjati, kar je sicer izguba računske moči.

Stran je idealna za ustvarjanje mavričnih tabel.

Zgodovina sprememb…

  • spremenilo: louser ()

louser ::

Še en problem je, da se na straneh uporabniško ime enači z vzdevkom ali email naslovom.

spegli ::

"velikanski vdori v Yahoo, Equifax ali AdultFriendFinder"

Gdaj gmail ?!1$0žžžž'?

jype ::

spegli je izjavil:

Gdaj gmail ?!1$0žžžž'?
Gmail je narejen malce drugače kot večina teh servisov, zato je vdor vanj praktično nemogoč za tiste, ki bi ga objavili. Vladne agencije z dovolj sredstvi bi si po drugi strani tako reč verjetno lahko privoščile (in bi vključevala precej več kot zgolj "hekanje").

MrStein ::

Jeronimo je izjavil:

Kje se da to bazo dobiti oz. pregledati?

Za gesla tule https://haveibeenpwned.com/Passwords
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

vahid ::

jype je izjavil:

spegli je izjavil:

Gdaj gmail ?!1$0žžžž'?
Gmail je narejen malce drugače kot večina teh servisov, zato je vdor vanj praktično nemogoč za tiste, ki bi ga objavili. Vladne agencije z dovolj sredstvi bi si po drugi strani tako reč verjetno lahko privoščile (in bi vključevala precej več kot zgolj "hekanje").


V cem je pa dtugacen? Kolikor se spomnim je nek latino smrkavec prisel, do internih googlovih serverjev in dokumentov s spremembo http headerja (mislim, da je bil refered), tako, da vec kot ocitno niso imuni na klasicna amaterske napake (ljudje zaradi nekaj visokoletecih imen, mislijo, da je pa google nekaj posebnega, PR dela cudeze, ampak v vsalem podjetju rabis tudi "kanonfutr" in tudi tukaj jih je vecina podjetja, recimo slotechi noderatorji :))), me pa zanima zakaj bi bil gmail kaj bolj varen? Sem pa preprican, da niso vsi, ki bi nasli luknjo v googlovih serverjih, tako prijazni (ali, ce ze hocete, infantilni), da bi jo sli googlu nesti na nos.

Zbirka je sicer prastara, gor sem nasel email naslov, ki sem ga uporabljal leta nazaj za ucenje spam filtra.

Zgodovina sprememb…

  • spremenilo: vahid ()

shitrisss ::

Kje se dobi ta collection? Ma kdo link?
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
7018389 (14708) SeMiNeSanja
»

Keylogger

Oddelek: Informacijska varnost
121708 (1412) MrStein
»

Seznam strani kjer sem registriran

Oddelek: Pomoč in nasveti
172532 (1242) 90anze
»

Čas za menjavo gesel? Na spletu našli bazo s 560 milijoni uporabniških imen in gesel

Oddelek: Novice / Varnost
348396 (5075) njyngs
»

Tumblr šele sedaj odkril vdor iz leta 2013

Oddelek: Novice / Varnost
95491 (4301) Phantomeye

Več podobnih tem