Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен
AlexanderS: Новости через год: «Опубликована база с 500 млн уникальных паролей»
Шутки шутками, а что если действительно проверять пароль не передавая его? Можно провести двоичный поиск средствами JS с запросами к серверу основанными на номере записи.
Читать полностью »
На фото: Лорри Фейт Кранор, профессор Университета Карнеги — Меллон, в платье с 500 самыми популярными паролями в интернете, на саммите по кибербезопасности в Стэнфордском университете. Она надеется, что изучение платья поможет окружающим людям осознать необходимость поменять свой слабый пароль.
В 2003 году Билл Бёрр (Bill Burr) работал менеджером среднего звена в Национальном институте стандартов и технологий. Ему с коллегами поручили написать скучную инструкцию — документ с инструкциями по выбору и управлению паролей, который должен был стать рекомендацией для государственных организаций США. Сотрудники выполнили задание — и этот документ стал известен как NIST Special Publication 800-63B. Лично Бёрр написал приложение А к этому стандарту (Appendix A) — восьмистраничный пример, который даёт практические советы по выбору и управлению паролями. Билл Бёрр рекомендовал чередовать цифры, специальные символы, строчные и прописные буквы, а также периодически менять пароли.
Рекомендация NIST с годами превратилась в стандарт, который стал обязателен для исполнения во многих государственных учреждениях, а сам сейчас автор в полной мере осознал масштаб своих ошибок и теперь очень сожалеет о содеянном, пишет The Wall Street Journal.
Читать полностью »
Проверка аккаунтов на живучесть
Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).
Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Читать полностью »
Начиналось все просто: у вас есть два набора символов (имя пользователя и пароль) и тот, кто знает оба, может войти в систему. Ничего сложного.
Однако и экосистемы, в которых они функционировали, тоже были простыми — скажем, система с разделением времени от МТИ, которая считается первой компьютерной системой, где применялись пароли.
Но такое положение дел сложилось в шестидесятые годы прошлого века, и с тех пор много воды утекло. Вплоть до последней пары десятилетий у нас было очень небольшое количество учетных записей с ограниченным числом связей, что делало спектр угроз достаточно узким. Навредить вам могли только те, кто находился в непосредственной близости — то есть люди, которые имели возможность напрямую, физически получить доступ в систему. Со временем к ним присоединились и удаленные пользователи, которые могли подключиться через телефон, и спектр угроз расширился. Что произошло после этого, вы и сами знаете: больше взаимосвязей, больше аккаунтов, больше злоумышленников и больше утечек данных, особенно в последние годы. Изначальная схема с простой сверкой символов уже не кажется такой уж блестящей идеей.
Читать полностью »
В развитии чужого проекта keymemo.com, пост Онлайн менеджер паролей от 2010 года.
Далее попробую обосновать столь громкий заголовок.
Читать полностью »
Docs.com с новым логотипом Doxs.com. Предложение ребрендинга от Кевина Бьюмона. Иллюстрация: Кевин Бьюмон
Docs.com — публичный хостинг документов для пользователей Office365. Не все пользователи Microsoft являются грамотными специалистами. Некоторые вообще не понимают, что делают. По неизвестной причине люди публикуют на публичном хостинге Docs.com свои конфиденциальные документы, в том числе списки паролей, номера социального страхования, детали SWIFT-кодов, банковские счета, инвестиционные портфели, бракоразводные соглашения, приглашения на работу и многое другое.
По едкому замечанию одного из специалистов, после такой истории с массовым «самодоксингом» уместно переименовать Docs.com в Doxs.com. Он даже нарисовал новый логотип (см. выше).
Читать полностью »
Компания Apple стала жертвой вымогателей. Это очень странная история, которая началась как фарс, но сейчас всё выглядит не так однозначно. Группа хакеров, называющая себя Turkish Crime Family, первоначально заявила о краже 559 млн учётных записей iCloud и Apple ID — и потребовала от компании Apple заплатить $75 000 в Bitcoin или Ethereum, либо $100 000 гифт-картами iTunes. Крайний срок — 7 апреля. После этого хакеры якобы начнут «убивать заложников», то есть сбрасывать аккаунты к заводским настройкам.
Поначалу это выглядело довольно забавно. Кажется, это первый случай вымогательства у компьютерной компании, когда злоумышленники расценивают базу с паролями пользователей в качестве своеобразных «заложников». Они даже опубликовали видеоролик с угрозами на YouTube, где заходят в аккаунт iCloud какой-то старушки.
Читать полностью »
Знаете, что самое худшее в паролях (а там есть из чего выбирать)? Требования к их сложности.
«Если мы не решим проблему с паролями при моей жизни, я восстану из могилы призраком и буду вас всех преследовать».
Пусть эта клятва будет записана на скрижалях Интернета. Я не в курсе, есть ли жизнь после смерти, но рано или поздно выясню, и тогда уж держитесь — у меня грандиозные планы.
Мир буквально погряз в ужасных правилах создания паролей:
→ Тупые требования
→ Примеры плохой политики
→ Доска позора
Но вам все это и объяснять не нужно. Те, кто пользуется рандомными генераторами паролей, как и положено нам, гикам в последней стадии, на своей шкуре испытывают невыносимые страдания под гнетом этого режима изо дня в день.
Читать полностью »
Сегодня ночью мне пришло письмо на резервную почту о том, что кто-то использовал мой пароль для доступа к почте GMail, и что Google отважно заблокировал негодяев. Ну и мне, конечно, необходимо срочно принять меры. Я немного удивился, что почта, которая заведена специально для PayPal оказалась кем-то взломана. Учитывая, что она почти нигде не засвечена и имеет сгенерированный высокоэнтропийный пароль, это казалось невозможным. Однако, я сменил пароль, внутренне уже приготовившись к СМС с информацией о снятии денег с карты. А после смены пароля я начал разбираться в произошедшем и вот что выяснилось…
Читать полностью »
Прекратил работу популярный сайт LeakedSource, который позволял осуществлять поиск личной информации в парольных базах «Вконтакте», Mail.ru, Rambler, Last.fm, Linkedin, Dropbox, Myspace и многих других сайтов. Один из осведомлённых хакеров под ником LTD первым сообщил на форуме OGF, что сайт LeakedSource больше не будет работать никогда. Он попросил извинения у всех членов сообщества, у которых нет своих локальных копий баз данных с паролями пользователей.
Читать полностью »
