Рубрика «пароль»

Авторы этого материала приводят аргументы против стандартных механизмов шифрования ключа в OpenSSH.

Шифрование ключа по умолчанию в OpenSSH хуже его отсутствия - 1

Недавно злоумышленники использовали npm-пакет eslint-scope для кражи npm-токенов из домашних каталогов пользователей. В свете этого события мы занялись проверкой других подобных уязвимостей и задумались над тем, как снизить риски и последствия таких инцидентов.

У большинства из нас под рукой есть RSA SSH-ключ. Такой ключ наделяет владельца самыми разными привилегиями: как правило, он используется для доступа к production среде или в GitHub. В отличие от nmp-токенов SSH-ключи зашифрованы, и поэтому принято считать, что ничего страшного не произойдет, даже если они попадут не в те руки. Но так ли это на самом деле? Давайте узнаем.Читать полностью »

macOS High Sierra показывает пароль к зашифрованному тому вместо подсказки - 1

Чуть больше недели назад Apple выпустила обновление macOS High Sierra с новой файловой системой APFS. Прошло всего пару дней — и в системе обнаружили неприятный баг, который можно назвать потенциальной уязвимостью.

Дело в том, что при создании в дисковой утилите (Disk Utility) зашифрованного контейнера APFS с указанием пароля и парольной подсказки, если отмонитровать этот контейнер, а затем примонтировать снова — то macOS High Sierra вместо парольной подсказки показывает пароль!
Читать полностью »

На данный момент хэш можно вскрыть пятью способами: грубый перебор (брутфорс), подбор по словарю, по словарю с правилами (гибридная атака), rainbow таблицы (радужные таблицы) и криптоатака. Сами хэши можно разделить на обычные хэши, и хэши с солью (salt, «затравка»). Эта статья посвящена программам john и mdcrack. Они реализуют все упомянутые способы взлома, кроме радужных таблиц и криптоатаки. Так же в статье не затрагивается вопрос многопоточности или возможности программ использовать все ресурсы многопроцессорной системы.
Читать полностью »

На Хабре и Гиктаймсе уже было много написано слов про пароли. В интернете можно встретить много программ и плагинов/аддонов для паролей. Браузеры умеют сохранять пароли. Казалось бы всё уже есть. Но нет, мне не хватало своего велосипеда, потому что все старые велосипеды имеют свои недостатки. Главный недостаток всех программ — это их база данных, которая может легко убиться. И я через это прошел. Самая известная программа KeePass (точнее её форк KeePassX) у меня дважды убивала сама свой файл. Не знаю как сейчас, но два года назад она не умела делать резервную копию базы и если место заканчивалось или падала, или ещё что — файл базы легко становился размером в 0 байт. Единственная программа, которая мне нравилась — это Password Commander, она сама делала резервную копию, но, к сожалению, проект умер и был он только под Масдай.

Люди делятся на тех, кто не делает бэкапы и тех кто уже делает.

2-3 года назад у меня родилась и развилась идея своего велосипеда — генератора паролей. Разумеется идея не новая и её вариации имелись у многих и много раз обсуждались. На Хабре, в статье "Генерация xkcd паролей на PHP" я высказал свою идею ещё в 2014 году и после этого, не спеша начал её реализовать и обкатывать. И вот в середине 2015 у меня появился плагин для браузеров ¡No PASSarán, о котором я и хотел бы рассказать в этом материале.

image

Читать полностью »

Ваш пароль от яндекса достаточно ценная информация, особенно если вы используете яндекс.деньги. И сегодня я наблюдал довольно хитрый и замороченный метод, как у меня пытались этот пароль увести. Решил показать этот метод тут, чтобы никто из наших не попался или хотя бы кто-то кто случайно это прочитает — не повёлся.

image
Читать полностью »

image
Система наблюдения LH110 Lorex 8 channel Eco Series

Специалисты по безопасности из компании Risk Based Security (RBS) обнаружили уязвимость в камерах видеонаблюдения, которые китайский производитель Zhuhai RaySharp Technology делает для различных продавцов недорогой электроники.

Прошивка изделий, производимых в RaySharp, представляет собою Linux-систему с CGI-скриптами, формирующими веб-интерфейс. Через интерфейс, при наличии реквизитов для доступа, можно добраться до просмотра изображений, настроить параметры записи и системные установки, повертеть камерой – в общем, получить полный контроль над системой видеонаблюдения.
Читать полностью »

Исследовательская компания Pew Research опубликовала своё исследование, посвящённое тому, как родители американских подростков контролируют их поведение в интернете. Суть вопросов сводилась к тому каким именно способом родители проверяют, что их чадо делает в интернете и к чему это приводит в реальной жизни — следует ли за проступками наказание и ограничение доступа в интернет? В исследовании принимали участие родители подростков, чей возраст колеблется от 13 до 17 лет.
Читать полностью »

Любознательный пользователь Артём Дашинский (Artiom Dashisnky) задался вопросом: а можно ли использовать эмодзи в пароле для OS X Yosemie?

Оказалось — можно.

После этого у Артёма возникла другая проблема. Выяснилось, что на экране авторизации присутствуют только нативные клавиатуры — и никаких эмодзи. Как же ввести свой пароль? С таким вопросом пользователь обратился к программистской аудитории StackExchange.
Читать полностью »

Количество интернет-пользователей в России стремительно растет: осенью 2014 года месячная аудитория рунета достигла 72,3 млн пользователей, что составляет 62% населения РФ. Увеличивается и объем пользовательских данных в сети, ведь сегодня онлайн можно сделать практически все: от оплаты коммунальных услуг до покупки авиабилетов. Одновременно с этим растет и количество киберугроз. В прошлом году на весь мир прогремели Heartbleed, Shellshock, слив фото обнаженных знаменитостей из iCloud и многие другие события в сфере IT. При этом россияне находятся в большей опасности, чем зарубежные пользователи: по данным Лаборатории Касперского, во втором квартале 2014 года Россия заняла первое место среди стран, в которых пользователи подвергались наибольшему риску заражения через интернет.

Но растет ли уровень знаний о том, как противостоять киберугрозам? Особенно учитывая, что сегодня в результате взлома аккаунта можно потерять гораздо больше, чем на заре рунета? Многие эксперты считают, что огромное количество пользователей до сих пор пренебрегают элементарными правилами, фактически сводя на нет своей беспечностью все усилия, прилагаемые онлайн-сервисами для повышения безопасности.

Мы проанализировали то, как российские пользователи обеспечивают свою безопасность в интернете, а также выяснили, насколько часто они сталкиваются с мошенничеством. В онлайн-опросе, проведенном с привлечением исследовательской компании Nielsen, приняли участие 1783 человека в возрасте от 15 до 64 лет, которые проживают в городах с населением свыше 100 тысяч человек и заходят в интернет хотя бы один раз в неделю.
Читать полностью »