Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Два часа на взлом пароля

Прочитали: 6639 Комментариев: 67 Рейтинг: 74

13 марта 2019

Вновь коснемся темы утечек – вечной и очень болезненной.

Киберпреступник под псевдонимом Gnosticplayers выставил на продажу в даркнете очередной, уже третий за последнее время, массив похищенных данных. На этот раз он предлагает данные пользователей GfyCat, Legendas.tv, Jobandtalent, Onebip, StoryBird, StreetEasy, ClassPass и Pizap. Примечательно, что ни одна из вышеупомянутых платформ об утечке данных не сообщала.

Источник

Можете ли вы с уверенностью утверждать, что ваши данные не утекли в Сеть? «Ни одна из вышеупомянутых платформ об утечке данных не сообщала». Но сейчас разговор не об этом.

Мы постоянно рекомендуем менять пароли, но отлично понимаем, что делать это всем откровенно лень (комментарии к одной из наших недавних новостей иллюстрируют это очень наглядно — нарочно не придумать!). Один из «запасных» вариантов – в случае появления информации об утечках узнавать, не присутствуют ли в утекшей базе ваши данные. Но это не всякому пользователю под силу: утечки идут постоянно, и все время отслеживать их, скачивать базы с подозрительных адресов и разбираться с различными форматами хранения данных – занятие непростое…

Но есть еще один вариант. Имеются ресурсы, позволяющие проверить, не находится ли ваш адрес в утекших базах.

Внимание! Мы уже писали, что поиск по подобным ресурсам подобен игре в русскую рулетку: вводя данные, вы не можете проверить, не мошенникам ли вы их отдаете.

Мошенники создали клон сервиса Have I been pwned и брали биткоины за скомпрометированные пароли.

Как и в оригинальном Have I Been Pwned, пользователям предлагается ввести адрес электронной почты, которую он желает проверить на предмет утечек. Проблема в том, что после этого сервис выдает пароли от скомпрометированных аккаунтов в незашифрованном виде и требует от пользователя $10 в криптовалюте, чтобы их скрыть.

Источник

Один из самых известных сервисов проверки утекших паролей – haveibeenpwned.com. Кстати: «По словам автора разработки он не перестаёт удивляться людям, которые начинают проверять свои рабочие пароли в стороннем сервисе, несмотря на предупреждение не делать этого».

Проверить данные можно вручную, введя их в окошко запроса или через API.

Через API доступен более изощрённый метод проверки, в котором в качестве ключа используется префикс от хэша пароля, в ответ на который сервер выдаёт реальные хэши паролей из базы, а клиент на своей стороне может их сверить со своим полным хэшем. Например, проверим пароль "test" (API выдаёт только хвост хэша SHA-1, без запрошенного префикса).

Источник

Это позволяет администраторам проверять адреса в автоматическом режиме. API использует, например, компания Mozilla, которая запустила сервис monitor.firefox.com. Те, кто слабо владеет английским, могут воспользоваться именно им.

#drweb

Этот сервис удобен тем, что сразу показывает сайты, на которых произошли утечки пар емейл-пароль и даты, когда это произошло. По моему основному адресу показывается пять утечек 2011-2013 годов.

#drweb

Источник

Это интересно. Наш тест показал, что monitor.firefox.com и haveibeenpwned.com дают разные ответы при вводе одного и того же почтового адреса. Загадка, однако!

Сервис позволяет проверять и пароли. Но стоит ли это делать?

#drweb

Известный анекдот:

– Учитель, я подобрал хороший пароль, которого не может быть в словарях.

Инь Фу Во кивнул.

– Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.

– Теперь есть.

Поэтому, если возникло желание проверить пароли на утечку, через haveibeenpwned.com можно скачать базу хешей паролей, создать хеш своего пароля и провести проверку.

Еще одна важная деталь: получив ответ, что ваши данные не числятся в утекших, вы не должны расслабляться.

#drweb

На сайте собраны не все известные случаи взломов, а только самые громкие и с открыто доступными базами.

Источник

#пароль #безопасность

Антивирусная правДА! рекомендует

Вы не можете знать наверняка, что ваши данные еще не утекли. Сами компании, собравшие ваши данные, могут не знать об утечке. Повторим: «Ни одна из вышеупомянутых платформ об утечке данных не сообщала».

Нельзя пользоваться короткими и простыми паролями:

Инструмент с открытым исходным кодом для восстановления паролей HashCat теперь может взломать хеш восьмизначного пароля NTLM менее чем за два с половиной часа, независимо от сложности.

Источник

Через два с половиной часа после взлома вашего компьютера злоумышленник будет знать ваш пароль длиной менее 9 символов!

И мы крайне не рекомендуем передавать по сети свои логины и пароли в открытом виде.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: