Jump to content

Recommended Posts

Posted

VKxhCqhIX6o.jpg

 

В связи постоянным перебором паролей на форуме решил создать этот топик, чтобы показать, чем же плохо для пользователей ставить простые или одинаковые пароли на всех площадках.

Многие не считают, что в этом что-то страшное есть, ну уведут учетку на каком-то форуме, и что с того? Или просто ставят временный простой пароль, потом мол сменим на надежный, и этого никогда не происходит.

 

Итак,  в чем опасность, даже если вы не пересылаете через форум никакую секретную информацию, и аккаунт для вас не кажется чем-то ценным?

Злоумышленники, которые получат к нему доступ, скорее всего будут использовать его для какого-нибудь мошенничества. Чаще всего это распространение троянских программ, ложная продажа оборудования или обмен валют. Также часто взломанные аккаунты используются для общения преступников, или для ложных подтверждений об успешности сделок с мошенниками.

 

Так что безалаберность по отношению к своей безопасности грозит не только потерей аккаунта, но и способствует мошенничеству и совершению иных преступных действий. Более того, если будет заведено дело в органах правопорядка о случившемся инциденте(а таких все больше и больше), то вполне вероятно будет запрос данных о злоумышленниках и соучастниках, и ваша учетная запись как раз там будет фигурировать. Если вы не причастны к преступлению, то наверняка удастся это доказать, но зачем на это тратить время и нервы?

 

Как сейчас чаще всего получают доступ к учеткам на форумах и других ресурсах? Поскольку  у любого вменяемого ресурса есть защита от перебора паролей, то к учеткам пароли уже давно не подбирают, подбирают учетки к паролям. Скажем, известно, что пароль Qwerty12345 является наиболее часто используемым из простых, и его прогоняют по всему списку пользователей с разных IP, авось кто-нибудь да попадется. И действительно попадаются. А если прогнать так не один пароль, а 50 наиболее часто используемых, в том числе комбинации типа никнейм+1 в качестве пароля? Урожай будет значительно выше.

 

Второй по популярности метод это использование баз с других взломанных ресурсов. Скажем, взломали какую-то площадку, и если удалось там снять базу логинов и паролей, то наверняка в ней можно найти тех, кто использует те же данные для входа на других сайтах. И такой же прогон устраивается по всем биржам, форумам, социалкам, мессенджерам и другим площадкам, с которых злоумышленники могут что-то получить. Если в базе есть емейлы, также идет попытка получить доступ к почте. Напомню, что только известных взломанных площадок уже очень много, базы кого спокойно гуляют по даркнету, например BitcoinTalk.org, BTC-E.com, MtGox.com и т.п.

 

Что же делать, если удержать в голове кучу паролей сложно? Если разные пути. Например, использовать так называемые ключницы типа KeePass, где нужно помнить только пароль от ключницы, а остальные пароли брать из нее. Или можно иметь некий базовый пароль и алгоритм его изменения в зависимости от ресурса.  Например, базовый пароль + первые 4 символа от домена. Таким образом не надо помнить все пароли и зависеть от наличия ключницы под рукой, достаточно помнить один базовый пароль и алгоритм его изменения. Вариантов тут много, если задаться целью, можно еще найти.

 

Главное - этой целью задаться. Ведь на кону не только ваша учетная запись, но и невольно вы можете стать соучастником преступления, могут пострадать другие люди, а вам потом придется тратить время и нервы на доказывание, что это не вы с вашей учетной записи совершали эти действия.

Так что если у вас слабый пароль, или он еще много где используется, лучше смените его прямо сейчас, не откладывая на потом. Потом может стать внезапно поздно.

 

З.Ы., На нашем форуме все учетки, к которым был получен несанкционированный доступ, банятся, если обнаружен такой факт. Так что не обижайтесь.

  • polym0rph changed the title to Почему нельзя использовать везде одинаковые или простые пароли?
Posted
Цитата

Если вы не причастны к преступлению, то наверняка удастся это доказать, но зачем на это тратить время и нервы?

 

Ну вообще, наоборот, человеку должны доказать, что он причастен. А сам человек не обязан никому ничего доказывать. Это в теории конечно.

Posted
В 29.01.2018 в 21:01, polym0rph сказал:

Или можно иметь некий базовый пароль и алгоритм его изменения в зависимости от ресурса.  Например, базовый пароль + первые 4 символа от домена. Таким образом не надо помнить все пароли и зависеть от наличия ключницы под рукой, достаточно помнить один базовый пароль и алгоритм его изменения.

Знаком с такой методикой, читал как-то, причем именно на специализирующемся по ИБ ресурсе. По-моему, именно в таком виде - это очень слабая защита. Допустим, вводите сгенерированный таким образом пароль на  сомнительном сайте, или на сайте, который в скором времени ломают. И все, глазу знатока (или спец.программы) ясно, как выглядят все ваши пароли на иных ресурсах.

Если и использовать  такой алгоритм, то в усложненном виде.

Posted

а я в бумажный блокнот пароли записываю:smile:

да хоть бы и  150 различных- ищутся за 5-10 сек без проблем.

а на незначительных-с моей точки зрения ресурсах-такие и стоят 12345, и qwerty :biggrin::biggrin:

 

Posted
1 час назад, Helber сказал:

Если и использовать  такой алгоритм, то в усложненном виде.

Это пример. Его можно и нужно усложнять. Хотя даже в таком виде это лучше, чем везде одни и те же пароли использовать.

Posted

@voodoom  даже пришлось отыскать старый пост на хабре, чтобы удостовериться - все правильно!

 Спасибо за напоминание о том, как делать простые, но одновременно взломостойкие пароли.

Posted

@polym0rph , ок. А вообще тема важная, может, стоит ее закрепить вверху данного раздела форума?

 

 

Posted

@voodoom , имхо даже спец.программы на нынешнем среднем компе могут перебирать по МИЛЛИАРДУ паролей в секунду, но уж никак не по тысяче. И это я не беру в расчет ботнеты с 100000 взломанными компами, работающими сообща.

correct horse battery staple - такие пароли могут быть устойчивы к бруту, но легче ломаться с помощью "словарной" атаки. Так что многое зависит от неочевидности набора слов.

Posted
15 часов назад, Helber сказал:

имхо даже спец.программы на нынешнем среднем компе могут перебирать по МИЛЛИАРДУ паролей в секунду

 

Про миллиард это вы загнули.

Миллиард, единица с 9 нулями = частоте  1ГГц, принимая за "средний" комп (процессор) с тактовой частотой 1.5-2ГГц и с учетом служебных (системных) прерываний и количеством тактов на мат. операцию, да еще и умноженных на задержку инет соединения, при подборе пароля учетной записи дадут гораздо более скромный результат.

Заявленный миллиард вполне возможно получить, подбирая пароль на локальном компе с использованием видеокарты среднего диапазона, но это совсем другая история.

Posted

@Uliss , хм, очень возможно что и загнул... я не специалист. Просто при расчете брутстойкости всегда брал цифры по максимуму.

 

@Uliss , может, закрепите данную тему вверху раздела? Глядишь кто и прочтет...

Posted
1 минуту назад, Uliss сказал:

 

Править тему Админа?

https://www.youtube.com/watch?v=ssxPKi2Ar0s

 

:biggrin:

Я начал с того, что попросил об этом его самого, но за множеством важных дел он этого не заметил...)

  • polym0rph pinned this topic
Posted
В 05.02.2018 в 02:31, koolms1 сказал:

Спасибо за напоминание о том, как делать простые, но одновременно взломостойкие пароли.

 

1517927394177658020.thumb.jpg.a55aa6c2b168b3c748ed02824d8e8796.jpg

Posted
19 часов назад, Uliss сказал:

Править тему Админа?

Да ладно, не священная ж корова)

 

В 05.02.2018 в 08:58, Helber сказал:

А вообще тема важная, может, стоит ее закрепить вверху данного раздела форума?

Готово.

Posted
В 06.02.2018 в 20:42, polym0rph сказал:

Да ладно, не священная ж корова

А я как-то твой пост отредактировал, ты меня в угол на горох поставил...

  • 6 months later...
Posted

Пример простых, запоминающихся паролей:

Создаём текстовый документ, пишем в нём (Хрен, Россия или что-либо хорошо запоминающееся одно слово), берём хеш документа (например SHA-1) это и есть пароль.

Можно использовать любые другие файлы.

Posted (edited)
7 часов назад, Lekk сказал:

берём хеш документа (например SHA-1) это и есть пароль.

В этом есть некоторый резон. Но...

Может, вы восьминогий пришелец с планеты Ква-Пхе, и у вас сверхмозг. Однако я не умею вычислять в уме хеш любого слова, причем мгновенно.

А через создание текстового документа (при каждом входе куда угодно) и просмотр его хэша - много манипуляций и долго, ну кому такое подойдет?

На смартфоне такая функциональность может и не быть доступна.

Edited by Helber
Posted

@Helber 

Есть такое HashTab для Windows.

https://hashtab.ru/

Хеш можно брать любого файла (фото рабочего стола) или чего угодно запоминающегося.

 

P.S. Я считаю что все смартфоны дырявые в плане безопасности, дыры зашиты в железе а не в софте (там их тоже хватает).

Posted
5 минут назад, Lekk сказал:

Хеш можно брать любого файла

Но в любом случае это займет ВРЕМЯ, понимаете?

И метод (если я верно понимаю его суть) по удобству сравним с тем, чтобы при каждом вводе пароля заходить в обычный файл, где хранятся пароли, и тупо копипастить.

Правда, по надежности он может быть выше, поскольку в явном виде пароли нигде на компе не хранятся, а слова-основы - только в голове.

Но и ниже в то же время, потому что эти слова можно просто забыть.

Posted
3 минуты назад, Lekk сказал:

@Helber 

Вы можете хранить десятки сложных паролей в голове?

 

Десятки?

Сотни и тысячи!

Note_Items-DeeDee85-full-3212-389039.thumb.png.0c38f7b71b912031f4a749e29b4c972e.png

Posted

@Uliss 

Блокнот уязвимость другого уровня (не компютерного).

Я могу содать документ (.txt  .docx ......) с тысячью различных записей, разослать его повсем хранилищам, почтам и т.д.,  найти в нём пароли будет очень сложно если буду использовать хеши.

Возможно использование хеш на хеш и т.д.

Posted (edited)
21 минуту назад, Lekk сказал:

@Helber 

Вы можете хранить десятки сложных паролей в голове?

Нет, не могу.

Но и в вашем варианте, если основ для пароля будут десятки, часть из них забудется, а часть перепутается

 

5 минут назад, Lekk сказал:

Я могу содать документ (.txt  .docx ......) с тысячью различных записей, разослать его повсем хранилищам, почтам и т.д.,  найти в нём пароли будет очень сложно если буду использовать хеши.

Да, стеганографическая стойкость может быть в числе преимуществ вашего метода. Если никто из непредвиденных читателей и впрямь не догадается, чтО нужно делать с основами для паролей. А если догадается?

Edited by Helber
Posted

Вы догадались, в документе содержаться исходные даные для хеширования - Ваши действия далее?

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
  • Similar Topics

    • [Нельзя использовать клиентам из РФ!] Кошелек ePayCore (ePayCore.com)

      ePayCore.com – доступные онлайн-платежи!   Решения, предлагаемые электронной платежной системой ePayCore, разработаны для всех категорий клиентов. На сегодняшний день, как простые пользователи персональных аккаунтов, так и владельцы собственного бизнеса получают самые выгодные условия сотрудничества на рынке электронной коммерции. ePayCore – гармоничное воплощение привлекательных условий, уникальных инновационных технологий, безопасности, вашего спокойствия и комфорта.   Коми

      in Электронные деньги

    • Почему криптовалюта имеет шанс заменить обычные деньги ?

      Существует замечательный закон Закон Коперника — Грешема, который в оригинале формулируется так: «Худшие деньги вытесняют из обращения лучшие», который многократно подтвержден на протяжении всей истории денежного оборота нашей цивилизации, в том числе и для оборота фиатных денег (упрощая и далее «современных»). Фактически речь идет о том, что деньги с меньшей себестоимостью (куда входят затраты на их изготовление, стоимость металла, из которых они изготовлены, если речь идет о монетах из золота

      in Общий

    • Квантовые компьютеры - херня. Почему не нужно их бояться.

      Сделаю такую тему, чтоб потом давать сюда ссылку.     Короткий ликбез про квантовые компьютеры.   Главная проблема — алгоритм там делается не по шагам, а сразу целиком. И если в процессе исполнения что-то глюкнуло, то вернуться на шаг назад и исправить нельзя. Можно только доделать до конца и посмотреть, что получилось. Промежуточных состояний нет. Точнее, они существуют, но их нельзя измерить без разрушения квантовой суперпозиции. То есть на практике сбросить всё в исхо

      in Безопасность

    • Новорек Кек, потанцевать нельзя?

      Решил начать видеоблогинг, вот решил показать как я танцую! Что думаете? Стоит ли продолжать такие движения? @grishot:  

      in Клиника

    • Джеймс Баттерфилл: Вот почему биткоин может упасть до $80 000

      Руководитель исследовательского отдела компании CoinShares заявил, что если избранный президент США Дональд Трамп не выполнит свои обещания перед криптоинвесторами, цена биткоина может рухнуть до $80 000. Джеймс Баттерфилл (James Butterfill) сказал, что в 2025 году курс первой криптовалюты, скорее всего, будет находиться в диапазоне от $80 000 до $150 000:   «Разочарование в отношении предложенных Трампом криптовалютных инициатив и сомнения в их реализации могут спровоцировать сущест

      in Новости криптовалют

×
×
  • Create New...