В BMC (Baseboard Management Сontroller) чипе, используемом в материнских платах Supermicro, выявлена уязвимость, позволяющая злоумышленнику получить доступ к паролям входа в управляющий интерфейс. Проблема вызвана тем, что содержимое файла с паролями выводится среди бинарного блока данных, который можно получить без аутентификации через сетевой порт 49152. Техника эксплуатации очень проста, достаточно подключиться к порту 49152 и выполнить команду «GET /PSBlock». Пароли выдаются в открытом виде, без хэширования.
Рубрика «пароль» - 3
Уязвимость в BMC-контроллере Supermicro позволяет получить доступ к паролям управляющего интерфейса
2014-06-21 в 5:01, admin, рубрики: 49152, BMC, GET /PSBlock, supermicro, доступ, информационная безопасность, пароль, Серверное администрирование, уязвимость, хостингСамые популярные пароли в 2013
2014-03-11 в 23:54, admin, рубрики: password, информационная безопасность, пароль, метки: password, пароль
В 2013 году, компания 'SplashData' объявила свой ежегодный список из 25 самых распространенных паролей, найденных в Интернете, из разнообразных утечек. Так же стоит отметить, свои корректировки внесла утекшая база Adobe. В этом году «password» потерял свои позиции, скатившись до второго места, а первое место, уже второй раз занимает «123456».
Как я уже упомянул, на список оказала большое влияние, утекшая база пользователей Adobe. Мы можем наблюдать такие пароли как 'adobe123' и 'photoshop', что еще раз говорит, не стоит основывать используемый пароль на названии сайта или приложения к которому вы обращаетесь.
Читать полностью »
Код для запуска атомных бомб США: 00000000
2013-12-05 в 11:57, admin, рубрики: атомная бомба, информационная безопасность, пароль, метки: атомная бомба, пароль
Большой спор можно устроить, задав вопрос: «Относится ли прописная истина „Всё гениальное просто“ к информационной безопасности?» Особенно если безопасность, кхм, не столько то и информационная, сколько физическая.
А заставила задуматься об этом новость, что на протяжении 20 лет, код для запуска всех ядерных ракет США семейства «Минитмен» был… Восемь нулей! Да, представляю лица террористов, в лучших традициях кинематографа простреливающих колено президенту и слышащих код «ноль, ноль, ноль, ноль… ввод».
Предупреждение пользователей об истечении пароля и действия учётной записи
2013-12-05 в 9:51, admin, рубрики: powershell, пароль, системное администрирование, учетная запись, метки: пароль, учетная запись Всем привет!
Столкнулись как-то с ситуацией, когда 1 января у многих пользователей истёк срок действия учётной записи и они были заблокированы. Соответственно не смогли работать, шквал телефонных звонков, начиная с утра 1-го числа. Было принято решение заранее предупреждать пользователей об истечении пароля и действия учётной записи по почте. С копией списка предупреждённых пользователей администратору.
Скрипты реализации под катом.
Читать полностью »
Динамический графический пароль
2013-03-20 в 14:08, admin, рубрики: аутентификация, информационная безопасность, пароль, Песочница, метки: аутентификация, информационная безопасность, пароль
Графический пароль
Графический пароль– метод разблокировки мобильных устройств путем выполнения определенных операций над сенсорным экраном, результатом которых является получение доступа к устройству. Речь пойдет именно о таких устройствах, т.к. в обычных персональных компьютерах обычно отсутствуют сенсорные экраны, а для аутентификации в программах чаще используется пара логин — пароль.
Динамический графический пароль
Динамический графический пароль — аутентификация пользователя на устройстве без отображения постоянного пароля, в каком – либо виде, так чтобы, например, посторонний человек не смог понять, что за пароль был введен, даже запомнив все действия которые легальный пользователь выполнил при вводе пароля, и даже запомнив динамический пароль, в данном случае речь пойдет именно о динамическом графическом пароле.
Читать полностью »
Придумываем пароль правильно
2012-09-01 в 8:29, admin, рубрики: информационная безопасность, память, пароль, метки: память, пароль Не так давно, я придумал и использовал три не сложных пароля, мне приходилось вводить их на каждом сайте поочередно, пока один из них не подойдет. Сейчас же, на каждом сайте где я зарегистрирован стоит свой, устойчивый к бруту пароль, для хранения которого я использую только свои память и мозги.
Однажды, я случайно нашел sql injection на одном посещаемом сайте. Для удовлетворения своего интереса я слил все логины, пароли и мэйлы. Как ни странно 80% паролей подходили к прикрученным к аккаунтам email.*
Как известно, память наша не способна запомнить сложные, бессмысленные комбинации, потому что она работает на ассоциациях. Думаю понятно что и пароли должны вызывать ассоциации, или быть логичными. Но дата рождения или свое ФИО не способны играть роль пароля, да и иметь одинаковые пароли на каждом сайте тоже большая ошибка, объяснил я ее выше.
Значит пароль должен быть:
- Сложным, желательно бессмысленным (для остальных людей) набором символов.
- При этом он должен быстро запоминаться.
- Уникальным для каждого сайта.
Двухфакторная аутентификация с сюрпризом
2012-08-23 в 10:06, admin, рубрики: amazon, Amazon Web Services, Yandex, аутентификация, информационная безопасность, пароль, яндекс, метки: amazon, Yandex, аутентификация, парольВ недавнем топике про украденные Яндекс-деньги (Яндекс.Деньги мошенничество), который раз встал вопрос о краже паролей, клавиатурных логгерах, троянах и о том, как можно обезопасить себя от этих неприятностей.
Так как понятно, что даже сложный, но постоянный пароль злоумышленник может увести и тихо воспользоваться в своих интересах, встает вопрос о приобретении чего-то, что похитить или скопировать будет достаточно трудно. Иными словами, встает вопрос о двухфакторной аутентификации, т.е. подтверждении своей подлинности не только некоторым знанием, но и некоторой вещью, связанной с пользователем.
Например, в вышеупомянутой статье в качестве дополнительного фактора упоминались: телефон с уникальным номером, на который приходят SMS, пластиковые карточки с кодами и чип-устройства для генерации одноразовых паролей.
Стоить отметить, что одноразовые пароли при своей простоте оказываются достаточно эффективны и набирают популярность. С этой целью сообществом OATH разработаны стандарты TOTP и HOTP, выпускаются устройства и даже рекламируются на Хабре (Использование USB ключей YubiKey).
Давайте посмотрим, как обстоят дела в облачных сервисах Amazon и попутно будет представлен небольшой сюрприз.
Читать полностью »
Хранение паролей в Ozon.ru
2012-06-26 в 22:24, admin, рубрики: безопасность в сети, информационная безопасность, Озон, пароль, метки: безопасность в сети, Озон, парольНедели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не изпользуется и т.д. Это все мелочи.
Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:
Утекла база LinkedIn хэшей?
2012-06-06 в 13:31, admin, рубрики: linkedin, взлом, информационная безопасность, пароли, пароль, утечка, хэши, метки: linkedin, взлом, пароли, пароль, утечка, хэши Вчера на форуме по подбору хэшей forum.insidepro.com пользователь под ником dwdm попросил помощи в подборе паролей к базе с SHA1 хэшами:
http://forum.insidepro.com/viewtopic.php?p=96122 (На текущий момент ссылка не работает)
Зато работает ссылка с теми самими хэшами. В базе около 6.5 миллионов SHA1 хэшей без соли.
Читать полностью »
Как я перестал хранить FTP-пароли в FAR’e
2012-03-14 в 13:26, admin, рубрики: FAR, FTP, информационная безопасность, пароль, Софт, метки: FAR, FTP, парольОднажды в свободную минутку своего рабочего времени я решил слить конфиги рабочего и домашнего FAR'ов. Открыв в WinMerge оба FarSettings.User.reg, вяло покручивая колёсико мышки, внезапно я зацепился взглядом за знакомые ftp-адреса своих учётных записей на всяких серверах. Увидев их на экране казённого компьютера, я почувствовал себя очень неуютно. И решил Читать полностью »