Рубрика «пароли» - 10

image

Фонд электронных рубежей запустил существенно обновлённую и дополненную версию сайта Surveillance Self-Defense, на котором собраны инструкции и рецепты для обычных пользователей, желающих сделать своё пребывание в интернете безопаснее. На сайте есть как обзорные статьи по криптографии, классификации угроз в интернете, инструментам безопасности, так и пошаговые инструкции по работе с программами шифрования, менеджерами паролей, безопасными мессенджерами, TOR, а так же комплексные сценарии безопасности для разных типов пользователей — журналистов, активистов и просто неравнодушных пользователей, желающих обезопасить себя.
Читать полностью »

PassGenJS. Генерируем пароли в Javascript с указанием надёжности

В одном проекте появилась необходимость генерации надежного пароля на клиенте. Поискал готовое решение, но ничего подходящего не нашел.
Все библиотеки, которые нашлись, не подходили по ряду причин — генерировали пароль просто по желаемой длине, отсутствовала возможность проверки надёжности пароля. Решено было писать свой «велосипед» — как альтернативное решение, да и опыт лишним не будет. В итоге получилась библиотечка PassGenJS.

Что под капотом:

  • Нет зависимостей
  • Генерация пароля по указанным параметрам (число букв, цифр, символов и т.д)
  • Генерация пароля по величине надёжности (1 — слабый, 4 — сверхнадёжный)
  • Генерация пароля по % надёжности (от 0 до 100%)
  • Проверка надежности пароля через вычисление энтропии

Приведу несколько примеров:

Генерируем надёжный пароль:

PassGenJS.getPassword({score: 3});
// Результат - 8!G$}6&={a(_>

Читать полностью »

Здравствуйте! В этой статье я подробно расскажу, как получить доступ к программным и аппаратным продуктам НПФ «Болид», закрытых паролями. Я инженер, а не программист и не электронщик, поэтому примененные здесь программно-аппаратные уловки (не лайф хаки, заметьте!), вероятно, не всем будут по нраву в виду их дилетантского подхода, но меня, как говорится, «жизнь заставила».

По специфике своей работы мне часто приходится сталкиваться с оборудованием НПФ «Болид» (пульты С2000 и С2000М) и ПО (Орион, Орион-ПРО), пароли от которых утеряны или «ушли» вместе с предыдущей обслуживающей организацией. Вскрытие ПО и баз данных через техподдержку «Болида» процесс вполне осуществимый, но долгий, а вот с пультами таких возможностей нет. Все, что предлагает производитель – это вернуть пульт к исходным заводским установкам с потерей существующей конфигурации, а зачастую стоимость работ по созданию новой конфигурации в десятки раз превышает стоимость пульта как такового из-за размеров объекта и/или утерянной проектной документации.

Для вскрытия паролей ПО нам понадобится HEX-вьювер и HEX/DEC калькулятор… Ленивые в конце статьи найдут ссылку на программу для выдачи паролей из баз (VB6, другим языком не владею). Для вскрытия пультов, соответственно, еще один пульт такого же типа (с «М» или без «М»), с заведомо известным паролем для в хода в режим программирования (версия пульта не важна), джампер (штука такая, которой CMOS сбрасывают и Master/Slave у IDE хардов выбирают) и в случае варианта с «М» — паяльник и несколько проводков.

Напоминаю, что несмотря на то, что прямых модификаций в базы данных мы вносить не будет, тем не менее, настоятельно рекомендую сделать архивные копии. Все может быть. Ну и на счет отсутствия моей ответственности за проведенные вами действия, думаю тоже понятно. Все на свой страх и риск.

Итак, приступим…
Читать полностью »

Прочитав новость об утечке базы паролей «Яндекса» и официальное заявление «Яндекса» вместе с комментариями, стало понятно, что ситуация запутанная и некоторые думают, что база утекла из самого «Яндекса».

Увидев недоверие пользователей, я решил сопоставить все факты и логически выявить наиболее вероятный вариант появления базы:

1. Брутфорс;
2. Фишинг;
3. Кросс-чек;
4. Утечка с компьютеров пользователей;
5. Утечка из Яндекса;
6. Утечка из спецслужб;
7. База составлена за долгое время из разных источников;
8. Через мобильных операторов (если привязан телефон).
Читать полностью »

Вчера ночью в нескольких местах, в том числе на Хабре, появилась информация о базе паролей к некоторым аккаунтам на Яндексе. За последние несколько часов мы тщательно её проанализировали и пришли к следующим выводам. Во-первых, речь не идёт о взломе Яндекса — данные стали известны злоумышленникам в результате вирусной активности на заражённых компьютерах некоторых пользователей или фишинга. Это не целенаправленная атака, а результат сбора скомпрометированных аккаунтов в течение длительного периода времени.

О 85% скомпрометированных аккаунтов из этой базы нам уже было известно через анализ их поведения или другими способами. Мы предупреждали их владельцев и отправили их на смену пароля, но они этого не сделали. Это означает, что такие аккаунты, скорее всего, заброшены либо созданы роботами.

Проверить, нет ли вас в списке, очень просто — попытайтесь сейчас зайти в Яндекс.Почту. Всех владельцев оставшихся аккаунтов этой ночью мы отправили на принудительную смену пароля.

Конечно, мы не храним пароли открытым текстом, никогда не передаём их по сети открытым текстом и не открываем их любым третьим лицам. Более того, большинство из этих паролей слишком простые, и сейчас их даже установить не получилось бы. Технические и не очень подробности читайте под катом.
Читать полностью »

Ваш сайт на выделенном сервере? Вы авторизуетесь в ssh по паролю? Вы пользуетесь обычным ftp? А может быть в вашей системе еще и код в БД хранится? Что ж, я расскажу, чем это может быть чревато.

В середине июня текущего года ко мне обратился владелец интернет-магазина часов, который заметил в футере своего сайта «левые ссылки», которых там быть не должно и ранее не наблюдалось.

Сайт крутится на одной коммерческой CMS написанной на php, достаточно популярной, но немного (много?) «кривой». Кривость заключается в смешении логики и представления, хранении части кода в бд и последующем исполнении через eval, использовании plain-sql запросов и прочих радостей, «облегчающих» жизнь программистов. Исходный код CMS способен ввергнуть в трепетный ужас даже искушенного кодера: многокилометровые функции с множеством условий не меньшей длины, глобальные переменные, eval-ы и куча других прелестей поджидают заглянувшего сюда смельчака. Несмотря на ужасную программную архитектуру, админка CMS достаточна продумана — создается впечатление, что ТЗ на систему писал профи, а реализовывал студент. Узнали используемую вами CMS? Сочувствую…
Читать полностью »

Думаю все знают про важность использования сложных, неподбираемых, разных, периодически сменяемых паролей, так же как и про проблемы с их запоминанием. В принципе существует относительно неплохое решение этой проблемы — программы, хранящие базу паролей в зашифрованном виде. Я хочу поделиться альтернативным решением, которое обладает некоторыми преимуществами над такими «запоминалками» паролей, в частности не требует доступа к файлу с шифрованной базой паролей. Основная идея в том, чтобы помнить один очень стойкий мастер-пароль, а пароли для отдельных аккаунтов генерировать из него с помощью криптографических функций. Кому интересны подробности — прошу под кат.
Читать полностью »

Во многих статьях можно заметить упор на то, что биометрическая идентификация — это хорошо всегда, во всех случаях без всякого разбора, а пароли — прошлый век.

Давайте посмотрим, так ли это на самом деле.

Читать полностью »

Известный комикс xkcd подсказывает нам, что пароль, который состоит из 4 часто употребляемых слов — легко запомнить и сложно подобрать.

Генерация xkcd паролей на PHP
Перевод, оригинал

Все текущие реализации этого метода генерации паролей рассчитаны на английские слова, а значит пароли сложнее запомнить русскоязычным. Я вооружился частотным словарем русского языка, и сделал PHP библиотеку, которая поддерживает генерацию паролей из нескольких наборов слов:

  • английские слова (например, «idea critic happy chinese»);
  • русские слова (например, «порошок земля нуль платье»);
  • транслитерированные русские слова (например, «vysota razum bumazhka razmer»).

Код и списки слов на GitHub.

Читать полностью »

Passface и Facelock: лица — это пароли
Авторы технологии Facelock предлагают решение проблемы паролей: «повышение сложности для подбора = сложность для запоминания».

Разработчики FaceLock используют особенности человеческого восприятия: а) способность легко распознавать знакомое лицо даже на нечетком снимке б) разные снимки одного и того же незнакомого лица приписывать разным людям.

Теперь пользователю не надо запоминать ни «password», ни «password1», ни даже «Ё!»№;%:?*()_+". Пользователю всего-навсего достаточно ткнуть в знакомое лицо.

Процесс аутентификации происходит путем правильного выбора единственного знакомого лица среди прочих в наборе, в череде наборов.

Подопытные показывали результат вспоминания «лицевого пароля» даже через год (не пользуясь им в течение этого года).

Оригинальная статья. Содержит данные исследований, в том числе анализ уязвимостей технологии и способа их избежания.

Passface и Facelock: лица — это пароли
а) тривиальный случай b) узнавание незнакомых людей на разных картинках затруднительно c) узнавание знакомых людей на разных картинках легко

Под катом можно попробовать частично «взломать» механизм
Читать полностью »


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js