Slo-Tech - Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.
Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.
Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.
Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo oziroma ugibanjem (brute-force). Že zdavnaj so minili časi, ko se je gesla ugibalo zaporedoma po abecedi. Dandanes gre bodisi za izkoriščanje ranljivosti bodisi za socialni inženiring, kamor sodi tudi preverjanje vseh znanih gesel. Deset milijard gesel je možno preveriti sorazmerno hitro, če sistemi niso zaščiteni pred množičnim vpisovanjem gesel. Še posebej je to problematično, če hekerji pridobijo kopijo baze z gesli, četudi so gesla zaščitena.
Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).
Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?
Te liste pridejo predvsem prav, ko se dela in primerja hashe, ki jih dobijo iz neke baze, oz. za izdelavo rainbow tables.
Brute force pri nekem dobro setuppanem servisu nima šans, ker IP blacklista po par poskusih, ali naredi ugibanje težavno (vedno večji backoff time, ipd.).
Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?
Kompleksnost gesla te nič ne zaščiti v primeru kot ga opisuje novica. Osveževanje gesel je pač še en kamenček v mozaiku varnosti.
Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?
Kompleksnost gesla te nič ne zaščiti v primeru kot ga opisuje novica. Osveževanje gesel je pač še en kamenček v mozaiku varnosti.
Password expiration requirements do more harm than good, as they make users select predictable passwords, composed of sequential words and numbers that are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cybercriminals almost always use credentials as soon as they compromise them.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.
Govora je bilo o tem zakaj je smiselno občasno menjat tudi kompleksna gesla in zakaj sem govoril o tem, da je to samo en kamenček v mozaiku varnosti. Če se online ne uporablja kompleksnih in unikatnih gesel po možnosti z podporo MFA potem, že v osnovi zadeva ne štima.
Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).
Nujno je potrebno dopisati unikatnih - vsak "stran" svoje geslo!
Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?
Kompleksnost gesla te nič ne zaščiti v primeru kot ga opisuje novica. Osveževanje gesel je pač še en kamenček v mozaiku varnosti.
Password expiration requirements do more harm than good, as they make users select predictable passwords, composed of sequential words and numbers that are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cybercriminals almost always use credentials as soon as they compromise them.
To se nanaša na politike, ko so silili folk menjat gesla vsak mesec in podobne bizarosti.
Vseeno pa nič ne škodi občasno zamenjat gesel, ker lahko uidejo. Kar sicer ni tak problem če imaš zares različna gesla za vsako stvar.
Jasno da imamo leta 2024 ob poplavi dobrih password managerjev za vsak stvar svoje unikatno in naključno geslo. To zadnje se precej premalo poudarja. Nobena kompleksnost ne pomaga, če geslo ni true random. In če je random, je lahko sestavljeno zgolj iz malih črk, pa bo povsem varno. Denimo tale 3 gesla so enako močna: eNAb=e08pkxvD> rvkxeqbwhjxshanuru 053712962165969864122347
Zamenjave niso smiselne, če se tega zgoraj napisanega drži. Lahko ga zamenjaš, pa hekerji slučajno ukradejo bazo čez 1 uro. Za to mora poskrbeti sam servis. Vsak pa lahko poskrbi, da to geslo ni uporabljeno nikjer drugje.
Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?
Gre samo za statisticno verjetnost, da je uporabnik naredil varnostno napako in mu je nekdo izmaknil gesla (cetudi nakljucna in kompleksna). Dokler nisi targetiran ali nisi delal kaksne neumnosti, staro geslo ni problematicno.
Za večino gesel me iskreno boli tista leva, tudi če priletijo na splet ker itak za te butaste stvari žvečem eno in isto geslo...za tista res pomembna itak imam vsaj 16 mestno random geslo + vklopljeno 2FA ali passkey- seveda nič od tega ni 100% varno, ampak mislim da je dovolj idiotov z debilnimi gesli in brez 2FA tko da že znjima hakerski debilčki imajo več kot dovolj dela.
Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).
Nujno je potrebno dopisati unikatnih - vsak "stran" svoje geslo!
Tudi to ne pomaga. Imel sem 30 znakov dolgo unikatno random geslo za FB, preko 0day exploita v chrome so mi zviznili session cookie, spremenili ip v slovenskega in v slabih dveh minutah zamenjali maile in telefonske stevilke.
Samo passkey in MFA zares pomagajo.
moja video predavanja za adobe in wordpress: 321.si
moje slike in animirani filmi: lo.si
Se ce ni mailov poleg potem si nimas kaj z tem listom... Lahko samo pogledaš če se kje tvojo geslo not najde, čeprav mislim da so sama bedna gesla not.
Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).
Nujno je potrebno dopisati unikatnih - vsak "stran" svoje geslo!
Tudi to ne pomaga. Imel sem 30 znakov dolgo unikatno random geslo za FB, preko 0day exploita v chrome so mi zviznili session cookie, spremenili ip v slovenskega in v slabih dveh minutah zamenjali maile in telefonske stevilke.
Samo passkey in MFA zares pomagajo.
Na githubu obstaja python scripta, ki ti iz chroma pobere vsa gesla in jih shrani v txt (vsaj po defaultu), če jo poženeš lokalno. Meni je avast ni zaznal.
V osnovi deluje tko, da pobaše file ChromeData.db in ga dekriptira.
