Видеоадаптеры AMD можно применять не только по прямому назначению (игры и работа с графикой). Всем известно про возможности OpenCL по ускорению общих вычислений с применением GPU, а сегодня поговорим о вопросах безопасности, связанных с впечатляющей вычислительной мощностью.
Читать полностью »
Рубрика «пароли» - 7
Грубая сила против паролей
2016-06-09 в 15:21, admin, рубрики: amd, gpgpu, opencl, безопасность, Блог компании AMD, Видеокарты, Железо, информационная безопасность, пароли, фермыХакер продает базу данных с 32 миллионами учетных записей Twitter
2016-06-09 в 13:06, admin, рубрики: twitter, Блог компании Positive Technologies, взлом, информационная безопасность, пароли, утечка
По сообщению издания The Hacker News, неизвестный хакер продает учетные записи более чем 32 миллионов пользователей Twitter — цена архива составляет 10 биткоинов (больше $5800 по текущему курсу).Читать полностью »
«Вконтакте»: взлома ресурса не было, в сети продается старая база
2016-06-06 в 7:47, admin, рубрики: Вконтакте, информационная безопасность, пароли, Социальные сети и сообщества, утечки, явкиПо словам представителей социальной сети, в дарк-вебе продается база пользователей 2011-2012 года
Несколько часов назад ресурс LeakedSource, занимающийся мониторингом и анализом утечек, сообщил о том, что в сети продается база пользователей «Вконтакте» с числом учетных записей, превышающих 100 млн. Данные не выложены в свободный доступ, а продаются за 1 биткоин (почти $600 по текущему курсу). После анализа базы оказалось, что в ней содержится ровно 100 544 934 записи. База включает e-mail, имя пользователя, пароль и телефон (при наличии такового).
После того, как информация о случившемся была опубликована на Geektimes, многие читатели обнаружили свои данные в утекшей базе. При этом пароли ряда пользователей были сложными, отнюдь не словарными. Тем не менее, это не помешало хакерам добыть информацию и о таких аккаунтах. Сейчас социальная сеть «Вконтакте» прокомментировала случившееся.
Читать полностью »
Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon
2016-06-03 в 13:17, admin, рубрики: amazon, klsw, locky, microsoft, Tor, антивирусная защита, Блог компании «Лаборатория Касперского», информационная безопасность, пароли, ФБР
Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я рассказал про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka я помню все твои трещинки). Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила (новость), скажем так, с позиций традиционализма и ортодоксальности. Конкретно, пост в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.
Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно (мимо дрожащих истерзанных рук; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с абакусом или без него, с паролями мы будем иметь дело еще долго. Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене — не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10-15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.
Как многолетний офисный труженик Ворда, не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов, и решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!). В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, эта фича не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно успешно) взломать такой же (или похожий) пароль где-то еще.
Читать полностью »
Мудрость лет: старше пользователь — сложнее пароли
2016-05-26 в 19:57, admin, рубрики: безопасность, информационная безопасность, мудрость, паролиОпрос 4000 человек в США и Великобритании показал, что пользователи в возрасте от 18 до 34 лет часто используют простые пароли, и у 35% респондентов из этой группы «угоняли» аккаунты хотя бы один раз. С другой стороны, участники опроса в возрасте от 51 до 69 лет не используют «password», «1234» или дни рождения, в два раза чаще настраивают двухфакторную аутентификацию и реже подвергаются взломам.
Хакер выставил на продажу 167 миллионов учётных записей сети LinkedIn
2016-05-18 в 19:42, admin, рубрики: linkedid, sha1, информационная безопасность, пароли, Соль, утечка данных, метки: linkedid 
На одной из популярных торговых площадок «теневого интернета» The Real Deal появилось предложение о продаже 167 миллионов пользовательских аккаунтов социальной сети LinkedIn. Из них 117 миллионов имеют хэшированные пароли, которые, тем не менее, не слишком сложно взломать. В последний раз, когда LinkedIn обнародовала информацию о своей работе, она сообщала, что всего в базе зарегистрировано 433 миллиона пользователей.
База содержит идентификатор пользователя, email и хэш пароля. Хакер просит за эту базу всего 5 BTC (порядка $2270) и обещает подтвердить подлинность, поискав по запросу в базе нужный e-mail.
Специалисты по безопасности, изучающие базу, подтверждают её подлинность, и указывают, что эта информация утекла с сайта LinkedIn в 2012 году. Тогдашняя громадная утечка привела к появлению в общем доступе 6,5 миллионов учётных записей. Однако тогда не подтвердила утечку, не сообщила, сколько пользователей она затронула, упорно хранила молчание, в связи с чем эту историю успешно забыли.
Читать полностью »
Facebook заплатил $15000 за находку уязвимости, позволявшей менять пароль любого пользователя
2016-03-09 в 9:48, admin, рубрики: Facebook, информационная безопасность, пароли, подбор паролей, уязвимостьНезависимый индийский специалист по безопасности Ананд Пракаш [Anand Prakash] обнаружил в социальной сети Facebook неприятную уязвимость, позволявшую простым перебором подобрать пароль пользователя, и получить полный доступ в его аккаунт. В связи с серьёзностью уязвимости компания Facebook выплатила специалисту за ценную информацию $15000 по программе вознаграждения.
Ананд ради интереса исследовал форму восстановления пароля, во время использования которой на телефон или емейл, указанный пользователем, отправляется 6-значный код подтверждения. В обычном случае миллион комбинаций 6-значного кода перебрать не получится, поскольку страница блокирует попытки ввести неправильный код более 10 раз.
Однако, проверив форму восстановления пароля на сайтах beta.facebook.com и mbasic.beta.facebook.com, Ананд убедился, что на них программисты забыли выставить ограничения на ввод паролей. Эти сайты используются для бета-тестирования новых функциональностей, которые затем появляются на основном сайте.
Читать полностью »
50 оттенков паранойи или как хранить пароли не сохраняя
2016-02-21 в 0:48, admin, рубрики: javascript, безопасность, генерация паролей, информационная безопасность, паролиПривет, %username%
Одиночество и паранойя могут быть прекрасным творческим материалом.
Энн Ламотт
Каждый из нас проходит несколько стадий паранойи хранения паролей. На первой стадии идет процесс придумывания не простого, но запоминающегося пароля. На второй, появляется второй пароль и один становится личным (какие-либо приватные почтовые ящики), а второй публичным (форумы, соцсети и т.д.). С двумя паролями появляются и дополнительные почтовые ящики — личные и публичные. На третьей — приходит мысль, что стоит создать для каждого ресурса свой пароль, но в виду того, что человеческая память ограничена в запоминании, в арсенале появляются программы для хранения паролей и для них придумываются мастер-пароли, кто-то пользуется файловыми ключами, которые тоже запаролены и среди всего этого начинаешь понимать, что так можно закопаться в паролях и в паролях от паролей бесконечно глубоко. Если интересно как я решил эту проблему, добро пожаловать под кат.
Читать полностью »
Скан мозга однажды может заменить пароли
2016-02-07 в 7:21, admin, рубрики: защита, информационная безопасность, мозг, пароли, энцефалограмма, ээгТекстовые пароли сложно запомнить и легко сломать, поэтому многие производители работают с биометрией — датчиками отпечатков пальцев на ноутбуках ThinkPad и телефонах Apple, идентификацией по глазам в смартфонах ZTE. Отпечаток пальца не нужно помнить, и подделать его сложнее — хотя, конечно, не невозможно.
Учёные предложили новый способ: энцефалограмму.
Новая атака на HTTPS позволяет получать информацию о переданных паролях
2016-01-07 в 20:29, admin, рубрики: HTTPS, SSL, TLS, информационная безопасность, пароли 
Исследователь в области компьютерной безопасности из Нидерландов, Гвидо Вранкен [Guido Vranken] обнаружил новый метод атаки на зашифрованный по TLS/SSL трафик. В теории он позволяет извлекать определённую информацию о передаваемых по протоколу HTTPS данных. Эту информацию затем можно использовать для повышения эффективности взлома.
Атака, названная исследователем "HTTPS Bicycle Attack" (велосипедная атака) позволяет определить длину некоторых данных, передаваемых в зашифрованном виде: длина заголовка куков, длина паролей, передаваемых методом POST, GPS-координаты, адресов IPv4 и т.п. При этом анализу поддаётся даже трафик, оставшийся в логах.
Правда, чтобы извлечь информацию о длине полей, необходимо заранее знать длину некоторых из передаваемых данных. Кроме того, атака работает только при использовании потокового шифра.
Вычтя из длины заголовка аутентификации длину логина, URL-адреса, где авторизуется клиент, и другую вспомогательную информацию, атакующий может получить длину пароля, после чего атака методом подбора станет немного более эффективной.
Читать полностью »