Метка «пароль»

Спорить не буду, заголовок провокационный. Но и продолжение не лучше…

Доброе утро! Я законченный параноик. Поэтому я люблю сложные пароли. Но хранить их в голове очень хлопотно… Вы же еще помните, что я параноик? И поэтому не пользуюсь менеджерами паролей, кроме тех, что могу поставить на свои сервера и могу контролировать трафик. Но я все-равно физически не смогу проверить на закладки. Не хватит ни времени, ни опыта. Поэтому я боюсь пользоваться чужими менеджерами паролей.

Давайте представим, что один безопасный пароль на все ресурсы возможен. Традиционно, всех кто заинтересовался темой прошу под кат.
Читать полностью »

И снова курьезы. Как известно, в Бразилии сейчас идет чемпионат мира по футболу. За его безопасность отвечают различные службы, в частности центр мониторинга, занимающийся отслеживанием и обработкой данных с камер наблюдения (к слову, стоивший много миллионов и проектируемый иностранным подрядчиком).

Все бы замечательно, если бы только глава этого центра Луис Краво Дореа, позируя перед местными журналистами, случайно не засветил бы пароль от своей Wi-Fi сети.

Пароль от Wifi сети центра обеспечения безопасности ЧМ 2014 транслировался на экран и попал на фото местной газетыЧитать полностью »

Самые популярные пароли в 2013

В 2013 году, компания 'SplashData' объявила свой ежегодный список из 25 самых распространенных паролей, найденных в Интернете, из разнообразных утечек. Так же стоит отметить, свои корректировки внесла утекшая база Adobe. В этом году «password» потерял свои позиции, скатившись до второго места, а первое место, уже второй раз занимает «123456».

Как я уже упомянул, на список оказала большое влияние, утекшая база пользователей Adobe. Мы можем наблюдать такие пароли как 'adobe123' и 'photoshop', что еще раз говорит, не стоит основывать используемый пароль на названии сайта или приложения к которому вы обращаетесь.
Читать полностью »

image

Большой спор можно устроить, задав вопрос: «Относится ли прописная истина „Всё гениальное просто“ к информационной безопасности?» Особенно если безопасность, кхм, не столько то и информационная, сколько физическая.

А заставила задуматься об этом новость, что на протяжении 20 лет, код для запуска всех ядерных ракет США семейства «Минитмен» был… Восемь нулей! Да, представляю лица террористов, в лучших традициях кинематографа простреливающих колено президенту и слышащих код «ноль, ноль, ноль, ноль… ввод».

Читать полностью »

Всем привет!
Столкнулись как-то с ситуацией, когда 1 января у многих пользователей истёк срок действия учётной записи и они были заблокированы. Соответственно не смогли работать, шквал телефонных звонков, начиная с утра 1-го числа. Было принято решение заранее предупреждать пользователей об истечении пароля и действия учётной записи по почте. С копией списка предупреждённых пользователей администратору.
Скрипты реализации под катом.
Читать полностью »

Динамический графический пароль

Графический пароль

Графический пароль– метод разблокировки мобильных устройств путем выполнения определенных операций над сенсорным экраном, результатом которых является получение доступа к устройству. Речь пойдет именно о таких устройствах, т.к. в обычных персональных компьютерах обычно отсутствуют сенсорные экраны, а для аутентификации в программах чаще используется пара логин — пароль.

Динамический графический пароль

Динамический графический пароль — аутентификация пользователя на устройстве без отображения постоянного пароля, в каком – либо виде, так чтобы, например, посторонний человек не смог понять, что за пароль был введен, даже запомнив все действия которые легальный пользователь выполнил при вводе пароля, и даже запомнив динамический пароль, в данном случае речь пойдет именно о динамическом графическом пароле.
Читать полностью »

Не так давно, я придумал и использовал три не сложных пароля, мне приходилось вводить их на каждом сайте поочередно, пока один из них не подойдет. Сейчас же, на каждом сайте где я зарегистрирован стоит свой, устойчивый к бруту пароль, для хранения которого я использую только свои память и мозги.
Однажды, я случайно нашел sql injection на одном посещаемом сайте. Для удовлетворения своего интереса я слил все логины, пароли и мэйлы. Как ни странно 80% паролей подходили к прикрученным к аккаунтам email.*

Как известно, память наша не способна запомнить сложные, бессмысленные комбинации, потому что она работает на ассоциациях. Думаю понятно что и пароли должны вызывать ассоциации, или быть логичными. Но дата рождения или свое ФИО не способны играть роль пароля, да и иметь одинаковые пароли на каждом сайте тоже большая ошибка, объяснил я ее выше.

Значит пароль должен быть:

  • Сложным, желательно бессмысленным (для остальных людей) набором символов.
  • При этом он должен быстро запоминаться.
  • Уникальным для каждого сайта.

Читать полностью »

В недавнем топике про украденные Яндекс-деньги (Яндекс.Деньги мошенничество), который раз встал вопрос о краже паролей, клавиатурных логгерах, троянах и о том, как можно обезопасить себя от этих неприятностей.

Так как понятно, что даже сложный, но постоянный пароль злоумышленник может увести и тихо воспользоваться в своих интересах, встает вопрос о приобретении чего-то, что похитить или скопировать будет достаточно трудно. Иными словами, встает вопрос о двухфакторной аутентификации, т.е. подтверждении своей подлинности не только некоторым знанием, но и некоторой вещью, связанной с пользователем.

Например, в вышеупомянутой статье в качестве дополнительного фактора упоминались: телефон с уникальным номером, на который приходят SMS, пластиковые карточки с кодами и чип-устройства для генерации одноразовых паролей.

Стоить отметить, что одноразовые пароли при своей простоте оказываются достаточно эффективны и набирают популярность. С этой целью сообществом OATH разработаны стандарты TOTP и HOTP, выпускаются устройства и даже рекламируются на Хабре (Использование USB ключей YubiKey).

Давайте посмотрим, как обстоят дела в облачных сервисах Amazon и попутно будет представлен небольшой сюрприз.
Читать полностью »

Недели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не изпользуется и т.д. Это все мелочи.

Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:

Читать полностью »

Вчера на форуме по подбору хэшей forum.insidepro.com пользователь под ником dwdm попросил помощи в подборе паролей к базе с SHA1 хэшами:
http://forum.insidepro.com/viewtopic.php?p=96122 (На текущий момент ссылка не работает)

Зато работает ссылка с теми самими хэшами. В базе около 6.5 миллионов SHA1 хэшей без соли.
Читать полностью »