Рубрика «пароли» - 14

в 18:54, , рубрики: информационная безопасность, криптография, пароли, переводы, хэширование паролей

Как все мы знаем, пароли следует всегда хэшировать с помощью медленного алгоритма с использованием соли. Чаще всего применяют scrypt, bcrypt или PBKDF2, но этот пост не о том, какой алгоритм использовать. Вместо этого мы поговорим о том, что делать с хэшами дальше.

20- (или 32-) байтовые соль и хэш должны храниться в энергонезависимом, зарезервированном, надёжном хранилище, то есть обычно в реляционной базе данных. Но в каких именно таблицах их хранить? Чаще всего используется таблица со столбцами (user_id, salt, hash) или столбцы salt и hash могут быть в общей таблице Users. В обоих случаях хэш и соль находятся в отношении один-к-одному с пользователями.

Беда в том, что даже с подсоленными хэшами, хакерам слишком легко использовать словарные атаки, если они получат доступ к соли и хэшу конкретного пользователя. Допустим, что, благодаря медленному хэшированию, они могут проверить всего тысячу паролей в минуту. Вас может неприятно удивить то, какими слабыми паролями часто пользуются люди, и какой их процент можно взломать даже в этом случае.
Читать полностью »

в 16:08, , рубрики: генератор паролей, информационная безопасность, криптография, менеджер паролей, пароли, Программирование, хэш-функция, метки: , , ,

Здравствуйте. Примерно два года назад на Хабрахабре я из некого комментария познакомился с интересным способом хранения паролей без их сохранения. Фраза выглядит странно, но более точно описать род этой программы мне не получилось. Способ заключается в том, что для получения пароля к конкретной учетной записи на конкретном сайте необходимо загнать в хэш-функцию строку, «склеенную» из мастер-пароля, адреса сайта, и логина на сайте.
keyword+sitename+login
В данной строке keyword – это мастер-пароль, используемый для «хранения» паролей ко всем сайтам. Далее идет адрес сайта, затем логин. Загнав в хэш-функцию данную строку, мы получим на выходе строку символов, которую полностью или частично можно использовать в качестве пароля к данной учетной записи на данном сайте. Ключевое слово в начале строки обеспечивает невозможность узнать пароль, если известны адрес сайта и логин. Длина результата хэш-функции более чем предостаточна для пароля. Но надежность пароля все равно оставляет желать лучшего. Каждый символ такого пароля может принимать только одно 16-ти значений, так как результатом хэш-функции является строка чисел в шестнадцатеричном представлении.
Я попытался исправить этот недостаток. Далее расскажу как.
Читать полностью »

в 21:58, , рубрики: безопасность, информационная безопасность, пароли, метки: ,

Раз и навсегда решить проблему паролей меня побудила история со взломанным LinkedIn — очень неприятно было увидеть свой пароль в списке самых часто встречающихся. Паролей нынче нужно помнить все больше, требования к ним становятся все жёстче, а на OpenId что-то мало кто переходит.

Поиск решения начнем с анализа угроз паролям, и возможных методов противодействия.

Угроза №1 это сами сайты, на которые надо при регистрации отправить пароль. Администраторы и техподдержка этих сайтов будут иметь возможность увидеть ваш незашифрованный пароль, а значит смогут и попробовать использовать его на других сайтах, где вы, возможно, имеете аккаунты.
Читать полностью »

в 2:33, , рубрики: linkedin, безопасность, Инфографика, информационная безопасность, пароли, хеширование, метки: , , ,

30 наиболее популярных паролей, украденных с LinkedIn
Компания Rapid7 провела анализ 165.000 украденных с LinkedIn паролей и составила инфографику самых употребляемых.

Вполне ожидаемо на первом месте оказлся пароль «link» — 941 раз.

Количество цифровых паролей обратно пропорционально их сложности:
«1234» — 435 паролей
«12345» — 179 паролей
«123456» — 76 паролей
«1234567» — 28 паролей
Читать полностью »

в 15:19, , рубрики: информационная безопасность, пароли, метки: ,

Новоиспеченный игровой гигант Riot Games подвергся хакерской атаке. По словам одного из представителей, Tryndamere, их компания, воспользовавшись помощью независимых экспертов по информационной безопасности, смогла оценить нанесенный ущерб. Хакеры получили доступ к личной информации пользователей, хранящейся на европейских базах данных. К числу важнейшей утекшей информации стоит отнести почты пользователей, их зашифрованные пароли, логины, даты рождения и для небольшого количества пользователей — имена, фамилии и зашифрованые секретные вопросы с ответами. Данные по платежам и биллингу не пострадали.Читать полностью »

в 13:31, , рубрики: linkedin, взлом, информационная безопасность, пароли, пароль, утечка, хэши, метки: , , , , ,

Вчера на форуме по подбору хэшей forum.insidepro.com пользователь под ником dwdm попросил помощи в подборе паролей к базе с SHA1 хэшами:
http://forum.insidepro.com/viewtopic.php?p=96122 (На текущий момент ссылка не работает)

Зато работает ссылка с теми самими хэшами. В базе около 6.5 миллионов SHA1 хэшей без соли.
Читать полностью »

в 11:39, , рубрики: web, безопасность, информационная безопасность, пароли, метки: , ,

Простой метод хранения паролей в голове

Я регистрируюсь в среднем, на одном сайте в неделю и мне, как и остальным, необходимо постоянно придумывать и главное помнить свои пароли. Сначала я придумал сложный пароль и забивал его на всех доменах где регистрировался, но потом понял, что это не далеко не безопасный подход, так как при взломе одного аккаунта, ты рискуешь потерять все остальные. Поэтому было принято решение хранить разные пароли для разных доменов.
Читать полностью »

в 4:58, , рубрики: alfabank, iOS, информационная безопасность, пароли, разработка под iOS, яндекс.деньги, метки: , , , ,

Пару дней назад я задал вопрос про очистку поля ввода пароля в iOS. Получив утвердительный ответ, решил написать более подробно.

image

В прошлый четверг у Альфа-банка проходили некие технические работы, во время которых часть сервисов была недоступна. В том числе Альфа-Мобайл — сервис интернет-банка для мобильных устройств (в моём случае — iOS). Я о технических работах не знал и попытался залогиниться в Альфа-Мобайл. Приложение выдало сообщение об ошибке подключения к серверу. Ок, лезу в интернеты, нахожу твиттер Альфы и вижу там сообщение о проведении технических работ. При этом приложение Альфа-Мобайл я естественно не закрываю, а просто сворачиваю, как это обычно и происходит с большинством приложений под iOS.Читать полностью »

в 14:00, , рубрики: Безопастность, защита сайта, информационная безопасность, пароли, метки: , ,
Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катомЧитать полностью »

в 9:17, , рубрики: авторизация, Алгоритмы, безопасность, Веб-разработка, криптография, пароли, хеширование, метки: , , ,

Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.

Общие рассуждения

Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:

  • передачу пароля можно перехватить (троян, обезьяна в середине)
  • базу с паролями могут украсть, и расшифровать

Читать полностью »

1...10...131415
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js