» »

Na internetu se je znašlo 10 milijard gesel

Na internetu se je znašlo 10 milijard gesel

Slo-Tech - Na internetu se je pojavila datoteka rockyou2024.txt, ki vsebuje skoraj deset milijard edinstvenih gesel, ki jih ljudje dejansko uporabljajo. Datoteko je 4. julija na nekem hekerskem forumu objavil uporabnik z vzdevkom ObamaCare, v njej pa je v besedilni obliki (plain-text) zapisanih natančno 9.948.575.739 gesel.

Avtentičnost datoteke so preverili na Cybernews in ugotovili, da gre za zbirko gesel iz različnih varnostnih incidentov. Nekaj je novih, nekaj je starih, vsa pa so bila vsaj nekoč aktivna. To je v spremljajočem besedilu k objavi priznal tudi uporabnik, ki je gesla priobčil.

Spomnimo, da je pred tremi leti na internet pricurljala datoteka rockyou2021.txt, ki je vsebovala 8,4 milijarde gesel v enaki obliki. V naslednjih treh letih so torej hekerji dodali še poldrugo milijardo gesel. Skupno gre za gesla, ki so na internet pritavala v zadnjih dveh letih v več kot 4000 varnostnih incidentih.

Ključna funkcija tovrstnih seznamov je pomoč pri razbijanju gesel s surovo silo oziroma ugibanjem (brute-force). Že zdavnaj so minili časi, ko se je gesla ugibalo zaporedoma po abecedi. Dandanes gre bodisi za izkoriščanje ranljivosti bodisi za socialni inženiring, kamor sodi tudi preverjanje vseh znanih gesel. Deset milijard gesel je možno preveriti sorazmerno hitro, če sistemi niso zaščiteni pred množičnim vpisovanjem gesel. Še posebej je to problematično, če hekerji pridobijo kopijo baze z gesli, četudi so gesla zaščitena.

Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).

24 komentarjev

mrTwelveTrees ::

Evolve ::

tragedija

twom ::

Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?

c3p0 ::

Te liste pridejo predvsem prav, ko se dela in primerja hashe, ki jih dobijo iz neke baze, oz. za izdelavo rainbow tables.

Brute force pri nekem dobro setuppanem servisu nima šans, ker IP blacklista po par poskusih, ali naredi ugibanje težavno (vedno večji backoff time, ipd.).

Legon ::

twom je izjavil:

Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?


Kompleksnost gesla te nič ne zaščiti v primeru kot ga opisuje novica. Osveževanje gesel je pač še en kamenček v mozaiku varnosti.

TESKAn ::

Legon je izjavil:

twom je izjavil:

Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?


Kompleksnost gesla te nič ne zaščiti v primeru kot ga opisuje novica. Osveževanje gesel je pač še en kamenček v mozaiku varnosti.

Microsoft pravi:
Password expiration requirements do more harm than good, as they make users select predictable passwords, composed of sequential words and numbers that are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cybercriminals almost always use credentials as soon as they compromise them.
Uf! Uf! Je rekel Vinetou in se skril za skalo,
ki jo je prav v ta namen nosil s seboj.

Legon ::

Govora je bilo o tem zakaj je smiselno občasno menjat tudi kompleksna gesla in zakaj sem govoril o tem, da je to samo en kamenček v mozaiku varnosti. Če se online ne uporablja kompleksnih in unikatnih gesel po možnosti z podporo MFA potem, že v osnovi zadeva ne štima.

Zgodovina sprememb…

  • spremenilo: Legon ()

Matko ::

Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).


Nujno je potrebno dopisati unikatnih - vsak "stran" svoje geslo!

Grimnir2 ::

TESKAn je izjavil:

Legon je izjavil:

twom je izjavil:

Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?


Kompleksnost gesla te nič ne zaščiti v primeru kot ga opisuje novica. Osveževanje gesel je pač še en kamenček v mozaiku varnosti.

Microsoft pravi:
Password expiration requirements do more harm than good, as they make users select predictable passwords, composed of sequential words and numbers that are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cybercriminals almost always use credentials as soon as they compromise them.


To se nanaša na politike, ko so silili folk menjat gesla vsak mesec in podobne bizarosti.

Vseeno pa nič ne škodi občasno zamenjat gesel, ker lahko uidejo. Kar sicer ni tak problem če imaš zares različna gesla za vsako stvar.

energetik ::

Jasno da imamo leta 2024 ob poplavi dobrih password managerjev za vsak stvar svoje unikatno in naključno geslo. To zadnje se precej premalo poudarja. Nobena kompleksnost ne pomaga, če geslo ni true random. In če je random, je lahko sestavljeno zgolj iz malih črk, pa bo povsem varno.
Denimo tale 3 gesla so enako močna:
eNAb=e08pkxvD>
rvkxeqbwhjxshanuru
053712962165969864122347


Zamenjave niso smiselne, če se tega zgoraj napisanega drži. Lahko ga zamenjaš, pa hekerji slučajno ukradejo bazo čez 1 uro. Za to mora poskrbeti sam servis. Vsak pa lahko poskrbi, da to geslo ni uporabljeno nikjer drugje.
vires in numeris

Zgodovina sprememb…

MrStein ::

Uf, a vi še uporabljate gesla?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

prowb ::

MrStein je izjavil:

Uf, a vi še uporabljate gesla?


Ja kaj drugega pa naj?

To je edina zadeva, ki jo res vedno imam s seboj...

link_up ::

ne vidim nobenih gesel, ki bi imeli v sebi naše črke. Tudi nobenega smajlija ni vmes...neka old school gesla... :D
In and Out

mtosev ::

Ma kreteni so tile hackerji.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

kow ::

twom je izjavil:

Zakaj je staro geslo problematično in novo boljše - izjave da je treba stara gesla menjat iz varnostnih razlogov (če sta oba enako kompleksna in naključna)? Razen da so imeli pri starem geslu več časa da ga uganejo?


Gre samo za statisticno verjetnost, da je uporabnik naredil varnostno napako in mu je nekdo izmaknil gesla (cetudi nakljucna in kompleksna). Dokler nisi targetiran ali nisi delal kaksne neumnosti, staro geslo ni problematicno.

energetik ::

MrStein je izjavil:

Uf, a vi še uporabljate gesla?
Passkey omogoča le malo storitev, zaenkrat... Kaj pa bi ti uporabljal.
vires in numeris

Nikonja ::

Za večino gesel me iskreno boli tista leva, tudi če priletijo na splet ker itak za te butaste stvari žvečem eno in isto geslo...za tista res pomembna itak imam vsaj 16 mestno random geslo + vklopljeno 2FA ali passkey- seveda nič od tega ni 100% varno, ampak mislim da je dovolj idiotov z debilnimi gesli in brez 2FA tko da že znjima hakerski debilčki imajo več kot dovolj dela.

miko22 ::

Kjer je možno MFA, pa naj majo gesla, če jim kaj pomaga.
Zakaj pa slo-tech nima MFA? :D

WizzardOfOZ ::

Nikonja je izjavil:

...za tista res pomembna itak imam vsaj 16 mestno random geslo + vklopljeno 2FA

Že nekaj časa in ne uporabljam jih na telefonu, pa imam mir.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!

Lombi ::

Matko je izjavil:

Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).


Nujno je potrebno dopisati unikatnih - vsak "stran" svoje geslo!


Tudi to ne pomaga. Imel sem 30 znakov dolgo unikatno random geslo za FB, preko 0day exploita v chrome so mi zviznili session cookie, spremenili ip v slovenskega in v slabih dveh minutah zamenjali maile in telefonske stevilke.

Samo passkey in MFA zares pomagajo.
moja video predavanja za adobe in wordpress: 321.si
moje slike in animirani filmi: lo.si

Load3r ::

Se ce ni mailov poleg potem si nimas kaj z tem listom... Lahko samo pogledaš če se kje tvojo geslo not najde, čeprav mislim da so sama bedna gesla not.

Phantomeye ::

Lombi je izjavil:

Matko je izjavil:

Pred tovrstnimi napadi se lahko zaščitimo s spremembo starih gesel, uporabo neočitnih gesel in predvsem z vklopom večstopenjskega preverjanja pristnosti (2FA ali MFA).


Nujno je potrebno dopisati unikatnih - vsak "stran" svoje geslo!


Tudi to ne pomaga. Imel sem 30 znakov dolgo unikatno random geslo za FB, preko 0day exploita v chrome so mi zviznili session cookie, spremenili ip v slovenskega in v slabih dveh minutah zamenjali maile in telefonske stevilke.

Samo passkey in MFA zares pomagajo.


Na githubu obstaja python scripta, ki ti iz chroma pobere vsa gesla in jih shrani v txt (vsaj po defaultu), če jo poženeš lokalno. Meni je avast ni zaznal.

V osnovi deluje tko, da pobaše file ChromeData.db in ga dekriptira.

OK.d ::

In Google ne ve za to luknjo:|
LPOK.d

WizzardOfOZ ::

ve, ve, samo jo dopušča.
Milčinski je napisal butalce kot prispodobo in ne kot priročnik!!!
Svuda u svijetu ima budala ali je izgleda kod nas centrala!!!


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )

Oddelek: Novice / Zasebnost
5919534 (13343) MrStein
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648193 (34612) Pero_SLO
»

Večina gesel ni varnih

Oddelek: Novice / Zasebnost
465189 (3700) Jst
»

hotmail password crack (not a joke)

Oddelek: Informacijska varnost
224380 (3039) bluefish
»

Popustil najšibkejši člen Slo-Techa (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
19319271 (11927) jype

Več podobnih tem