19:52
11/11/2011

…to nie jest jedno z nich:

Hasło Allegro Fail

Hasło do Allegro

via d4rky

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

12 komentarzy

Dodaj komentarz
  1. Jestem tego samego zdania, co d4rky

  2. ebuyer.co.uk jeden z największych i *najlepszych* sklepów internetowych w UK i ich polityka haseł: “You MUST use between 6-12 characters, containing at least one letter, at least one number and NO punctuation, symbols or spaces”. Pisałem do nich w tej sprawie, o ich słabych hasłach – olali mnie cienkim sikiem.

    • Jeśli nie solą, to w razie wycieku mamy już gotową regułkę do brute-forcera.

    • Oczywiscie ze nie sola , ba , nawet trzymaja w plaintext. Niebezpiecznik juz przeciez o tym pisal tu : https://niebezpiecznik.pl/post/powazny-blad-w-allegro-umozliwial-poznanie-hasel-uzytkownikow/

    • Na students.autodesk.com jest od 8 do 12 znaków, przynajmniej 1 litera i przynajmniej jedna cyfra.
      Przełknąłem to za pomocą hasła typu: C0-<XL;q5[iT, które grzecznie przyjął, ale zalogować to już nie był łaskaw.

  3. Dowód na to, że allegro trzyma hasła w tekście jawnym.

    • nie. to jest pytanie o nowe hasło, a nie formularz logowania. najprawdopodobniej jest if (strlen($_POST[‘nowehaslo’]) > 6) { wywal_blad(‘za dlugie’) }

      disclaimer: nie pamietam i nie znosze php

  4. kiedys sie spotkałem z takim podejściem, ze hasła (lub bóg wie co, nie pamiętam) były trzymane w postaci hashu, który był robiony przy użyciu crc32, wobec czego dalsze znaki nic nie zmieniały. do vncserver na linuxie też domyślnie nie da sie zastosować hasła dłuższego niż 14 znaków, tzn da się ale dalsze znaki są ignorowane.

    • …a gawkermedia miał DES.

  5. Jak swojego czasu zmieniałem hasła na wszystkich serwisach internetowych, to wiele z nich nie pozwalało na zapisanie odpowiednio długiego, wygenerowanego hasła. ;) Zdarzył się nawet jeden przypadek naprawdę dużego serwisu, który przyjął hasło przy edycji, ale przy próbie zalogowania informował, że jest ono za długie. :)

  6. Mwah, to na jednej stronie się spotkałam z hasłami 6-12. Zwróciłam uwagę adminowi, tak samo jak na brak potwierdzenia hasła/maila przy rejestracji (wpisuje się je tylko jeden raz), a potem link aktywacyjny w dane logowania w plainie leciały na maila.
    Jedna pomyłka i już ktoś może dostać czyjeś piękne hasło na swojego maila~.

    A hasło na dziennik elektroniczny pamiętam jak ustawiałam… Ambitnie chcieli przynajmniej jedną wielką, jedną małą literę, jedną cyfrę i jeden znak specjalny. Chcąc wymyślić ambitne hasło, którego nie zapomnę walnęłam jakieś rąbnięte zdanie typu “Chciałam napisać tu coś po japońsku, ale nie…” itd. + jakaś cyfra. Razem wyszło koło 80 znaków. XD Przyjęło~.
    Tylko nie chciało mnie zalogować.
    Ale jakie to szczęście, że za każdym wejściem na stronę dziennika możesz zresetować hasło – podajesz tylko adres maila, dostajesz na niego link, dzięki któremu ustawiasz nowe hasło. Nic więcej nie trzeba. Tak teoretycznie nie trzeba pamiętać haseł – wystarczy za każdym razem pięknie zresetować. Jak ja ‘uwielbiam’ rozwiązania niektórych firm…

  7. Niestety, fail pełną gębą. Szkoda, bo przecież można użyć crypta ze wsteczną kompatybilnością z polem określającym algorytm hashowania.

Odpowiadasz na komentarz Borys

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: