Comments on: Wyciekło 6000 haseł polskich graczy!

By: v

Wed, 01 Dec 2010 21:22:55 +0000

ale co da znajomość soli? NIC – soł zapobiega skorzystaniu z rainbow tables, a więc o ile hash hasła jacek74 w tablech zapewne istnieje, to blablajacek74bleble raczej na pewno nie

By: » Filmweb.pl hacked! Wciekło 700 tys. haseł użytkowników. -- Niebezpiecznik.pl --

Mon, 23 Aug 2010 11:36:04 +0000

[...] Więcej porad, dotyczących tego jak uchronić się przed efektami wycieków bazy znajdziecie w poście dot. wycieku haseł polskich graczy. [...]

By: » Rozwiąż zagadkę amerykańskich cyberżołnierzy, złam tajny kod -- Niebezpiecznik.pl --

Sat, 10 Jul 2010 12:33:40 +0000

[...] to, że te 32 znaki, to nie zaszyfrowana wiadomość, a skrót MD5. Rozpoczęto więc jego “odwracanie“, ale na tamtą chwilę, wszystkie crackery (np. md5decrypter.com) po wpisaniu doń tego [...]

By: jurant ze spychowa

jurant ze spychowa — Wed, 26 May 2010 09:36:35 +0000

Piotrze, sugerujesz żeby zwalić winę za słabo zabezpieczone hasła na administratorów? Przecież to programista pisał i to on powinien się wstydzić

By: pambuk

pambuk — Mon, 24 May 2010 21:14:36 +0000

@apatia: Fakt, że moja sugestia była tylko na poszerzenie perspektywy w zakresie weryfikacji tożsamości użytkownika. Tak, żeby ktoś zobaczył, co się dzieje w środku
MD5. No chyba, że po studiach wszyscy wiedzą. Ani sam nie używałem tego w praktyce, ani nie brałem pod uwagę zagrożeń ze strony jakże licznych, doświadczonych polskich kryptoanalityków i inżynierów wstecznych. ;)

By: Olo

Olo — Mon, 24 May 2010 21:00:09 +0000

@seth – czy mógłbyś podać namiar na ten artykuł? Myślę, że mógłby się mocno przydać ;)

By: mzl

mzl — Mon, 24 May 2010 20:37:25 +0000

A ja polecam SuperGenPass, szczególnie w wersji z saltem: http://supergenpass.com/customize/?advanced
Generuje mocne hasło, różne dla każdej domeny, a jednocześnie wystarczy zapamiętać tylko jedno hasło użytkownika. Plusem jest dostępność na wszystkie przeglądarki + wersje mobilne.

By: bezmyslnik

bezmyslnik — Mon, 24 May 2010 19:43:36 +0000

co trzymania niezakodowanych hasel i odsylania ich uzytkownikom to ze swojej strony zadenuncjuje serwis sprzedazy bletow online PKP intercity….

By: apatia

apatia — Mon, 24 May 2010 18:38:35 +0000

@pambuk: odnośnie algorytmów hashujących domowej roboty polecam:
http://threats.pl/bezpieczenstwo-aplikacji-internetowych/home-brewed-crypto
Nie czytałem hmm… “innej opinni” na ten temat, ale przedstawiona w tym artykule wydaje się całkiem sensowna.

By: BTM

BTM — Mon, 24 May 2010 17:34:16 +0000

Raczej nie wydaje mi się, że jedynym problemem tutaj jest wyciek haseł. Większość z nich to paręnaście znaków. Niech mi ktoś powie ile czasu potrzeba by bruteforce złamać 8000 haseł o 8+ znakach?

Zakładam, że na serwerze było dodatkowo coś namieszane z CHMOD dzięki czemu przy użyciu shella w PHP ktoś dopisał do skryptu logowania przechwytywanie haseł prosto z formularza.

By: Radom

Radom — Mon, 24 May 2010 16:11:56 +0000

Ja tam używam 4-5 haseł o różnej sile. Do mniej znaczących serwisów hasło typu wiewiorka1 dla bardziej znaczących mam hasła 3K^sDa1-d. Ostatniego typu mam 3 hasła i potrafię każde zapamiętać. Popieram politykę wymiany haseł raz do roku.
Swoją droga bardzo łatwo znaleźć w google aktualne bazy haseł/loginów. Sam znalazłem bazę około 3ook haseł. (Nawet tutaj wysyłałem informację o tym i miała się pojawić.)

Pozdrawiam

By: djstrong

djstrong — Mon, 24 May 2010 14:56:19 +0000

@dzek Zazwyczaj, jeśli masz dostęp do bazy to i do wszystkiego innego. Wbrew pozorom sól (zmienna) pomaga w takim przypadku, gdyż uniemożliwia użycie tęczowych tablic oraz wydłuża znacznie czas szukania kolizji.

By: X4lldux

X4lldux — Mon, 24 May 2010 14:55:15 +0000

Po analizie tych haseł, jakoś mi się miło na sercu zrobiło, gdy się okazało, że 5 co do popularności hasło to “polska” :)

By: seth

seth — Mon, 24 May 2010 14:24:53 +0000

Zgadzam się z tym, że obecnie mocne hasła 8-16 znakowe, zmieniane w firmach co miesiąc, się nie sprawdzają. Albo są zapisane na kartkach przy komputerze (szczytem bezpieczeństwa jest 1, górna, szuflada biurka, oczywiście niezamknięta) albo są w formacie 1qaz@WSX 2wsx#EDC (a wygląda na zaawansowane hasło ;)). Rozsądniejsza jest polityka doradzania jak stworzyć dobre hasło, niż wymuszanie jego stałej zmiany, nad czym nie ma się kontroli. Kiedyś na jakimś dużym portalu informacyjnym czytałem artykuł, jak utworzyć dobre hasło unikając jego zapisania na kartce. Było to tak fajnie napisane, że przekazałem to wielu osobom. Da się, tylko trzeba trochę nad tym przysiąść.

By: Blacklisted

Blacklisted — Mon, 24 May 2010 13:58:23 +0000

@ Tomekt

Podeślij nam link proszę na admin [at ] blacklisted.pl . Jest to niestety stara baza kont, której nie powinno w ogóle być wtedy na serwerze.

Do nowej wersji serwisu (nowy silnik, baza opierająca się na IPB 3x) nie eksportowaliśmy bazy ze względu na to, że wcześniej praktycznie nie było kontroli nad tym kto się rejestrował. Był to projekt czysto podwórkowy, wykonany dla typowych zapaleńców, nikt z nas nie myślał wtedy, że zarejestruje się 10.000 kont.