Рубрика «пароли» - 14

в 21:58, , рубрики: безопасность, информационная безопасность, пароли, метки: ,

Раз и навсегда решить проблему паролей меня побудила история со взломанным LinkedIn — очень неприятно было увидеть свой пароль в списке самых часто встречающихся. Паролей нынче нужно помнить все больше, требования к ним становятся все жёстче, а на OpenId что-то мало кто переходит.

Поиск решения начнем с анализа угроз паролям, и возможных методов противодействия.

Угроза №1 это сами сайты, на которые надо при регистрации отправить пароль. Администраторы и техподдержка этих сайтов будут иметь возможность увидеть ваш незашифрованный пароль, а значит смогут и попробовать использовать его на других сайтах, где вы, возможно, имеете аккаунты.
Читать полностью »

в 2:33, , рубрики: linkedin, безопасность, Инфографика, информационная безопасность, пароли, хеширование, метки: , , ,

30 наиболее популярных паролей, украденных с LinkedIn
Компания Rapid7 провела анализ 165.000 украденных с LinkedIn паролей и составила инфографику самых употребляемых.

Вполне ожидаемо на первом месте оказлся пароль «link» — 941 раз.

Количество цифровых паролей обратно пропорционально их сложности:
«1234» — 435 паролей
«12345» — 179 паролей
«123456» — 76 паролей
«1234567» — 28 паролей
Читать полностью »

в 15:19, , рубрики: информационная безопасность, пароли, метки: ,

Новоиспеченный игровой гигант Riot Games подвергся хакерской атаке. По словам одного из представителей, Tryndamere, их компания, воспользовавшись помощью независимых экспертов по информационной безопасности, смогла оценить нанесенный ущерб. Хакеры получили доступ к личной информации пользователей, хранящейся на европейских базах данных. К числу важнейшей утекшей информации стоит отнести почты пользователей, их зашифрованные пароли, логины, даты рождения и для небольшого количества пользователей — имена, фамилии и зашифрованые секретные вопросы с ответами. Данные по платежам и биллингу не пострадали.Читать полностью »

в 13:31, , рубрики: linkedin, взлом, информационная безопасность, пароли, пароль, утечка, хэши, метки: , , , , ,

Вчера на форуме по подбору хэшей forum.insidepro.com пользователь под ником dwdm попросил помощи в подборе паролей к базе с SHA1 хэшами:
http://forum.insidepro.com/viewtopic.php?p=96122 (На текущий момент ссылка не работает)

Зато работает ссылка с теми самими хэшами. В базе около 6.5 миллионов SHA1 хэшей без соли.
Читать полностью »

в 11:39, , рубрики: web, безопасность, информационная безопасность, пароли, метки: , ,

Простой метод хранения паролей в голове

Я регистрируюсь в среднем, на одном сайте в неделю и мне, как и остальным, необходимо постоянно придумывать и главное помнить свои пароли. Сначала я придумал сложный пароль и забивал его на всех доменах где регистрировался, но потом понял, что это не далеко не безопасный подход, так как при взломе одного аккаунта, ты рискуешь потерять все остальные. Поэтому было принято решение хранить разные пароли для разных доменов.
Читать полностью »

в 4:58, , рубрики: alfabank, iOS, информационная безопасность, пароли, разработка под iOS, яндекс.деньги, метки: , , , ,

Пару дней назад я задал вопрос про очистку поля ввода пароля в iOS. Получив утвердительный ответ, решил написать более подробно.

image

В прошлый четверг у Альфа-банка проходили некие технические работы, во время которых часть сервисов была недоступна. В том числе Альфа-Мобайл — сервис интернет-банка для мобильных устройств (в моём случае — iOS). Я о технических работах не знал и попытался залогиниться в Альфа-Мобайл. Приложение выдало сообщение об ошибке подключения к серверу. Ок, лезу в интернеты, нахожу твиттер Альфы и вижу там сообщение о проведении технических работ. При этом приложение Альфа-Мобайл я естественно не закрываю, а просто сворачиваю, как это обычно и происходит с большинством приложений под iOS.Читать полностью »

в 14:00, , рубрики: Безопастность, защита сайта, информационная безопасность, пароли, метки: , ,
Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катомЧитать полностью »

в 9:17, , рубрики: авторизация, Алгоритмы, безопасность, Веб-разработка, криптография, пароли, хеширование, метки: , , ,

Переодически встречаю статьи про способы хранения паролей, например сегодня. И хочу предложить свой способ.
В статье используется MD5, можно взять любое другое хеширование.

Общие рассуждения

Когда передо мной встала задача авторизации пользователей, я пришел к выводу что хранение паролей, в любом виде, недопустимо. Ни в открытом виде, ни в виде хеша, кроме того недопустима передача пароля в открытом или хешированном виде по сети, при авторизации пользователя на сайте. Причины просты:

  • передачу пароля можно перехватить (троян, обезьяна в середине)
  • базу с паролями могут украсть, и расшифровать

Читать полностью »

в 15:06, , рубрики: cryptography, php, безопасность, пароли, Программирование, хэш-функция, хэши, хэширование, метки: , , , , , , ,

Привет! Сегодня процессе разработки системы авторизации для своего проекта передо мной встал выбор — в каком виде хранить пароли пользователей в базе данных? В голову приходит множество вариантов. Самые очевидные:

  • Хранить пароли в БД в открытом виде.
  • Использовать обычные хэши crc32, md5, sha1
  • Использовать функцию crypt()
  • Использовать статическую «соль», конструкции вида md5(md5($pass))
  • Использовать уникальную «соль» для каждого пользователя.

Читать полностью »

1...10...121314
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js