17:05
7/12/2013
7/12/2013
…okazał się przerażający dla klientów Swedbanku.. Raz, że ataku przeprowadzanego równolegle z 5 sesji Swedbank nie wykrył przez 10 dni (!!!), to dwa — w tym czasie hasło “123456” dało atakującym dostęp do ponad 5 500 kont klientów banku…
Swedbank
W Polsce podobny eksperyment przeprowadzono nie na banku, a na …chomiku. Efekt? 2 miliony kont na sprzedaż – ale pewnie niewielu postrzega Chomika jako coś tak ważnego jak bank ;)
Gdybyście chcieli wiedzieć jak poprawnie ochronić wasz serwis internetowy/webaplikację przed atakami zgadywania haseł, to przygotowaliśmy specjalistyczny artykuł na ten temat.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Czy ludzie są aż tak tępi ? Czy dzieci w przedszkolu zakładają te konta nie potrafiąc wymyślić nic bardziej inteligentnego…
Porówywanie chomika do banku nie jest zbyt dobrym przykładem ;)
Wiele osób zakłada konto na chomiku żeby pobrać jeden plik 50mb i je porzuca zakładając kolejne… sam takich kont założyłem kilkadziesiąt, bo pobierałem trochę małych pliczków. Wszystkie z nich mają te samo hasło – równe proste ;)
” ale takie podejście przynajmniej daje tym bardziej świadomym internautom możliwość rejestracji na unikatowy e-mail ”
swiadomi uzytkownicy nie ustawiaja hasla ktore bedzie w slowniku
świadomi użytkownicy nie używają gmaila :)
To nie koniecznie ten sam rodzaj świadomości ;)
Jakas alternatywa dla gmaila?
Możesz rozwinąć swoją wypowiedź? Do tej pory uważałem, że właśnie to konto spośród darmowych jest o największej funkcjonalności i najmniejszym spamowaniu. Podbijam prośbę miecia – jeśli możesz podaj alternatywne darmowe konto o podobnych lub lepszych właściwościach bez jego wad. Nie sądzę by ktokolwiek w szerokim internecie wspaniałomyślnie podarował ci darmowe konto z równie szybkim dostępem i pojemnością a do tego pełną gwarancją anonimowości, wypaśnym szyfrowaniem treści, połączeń, kontaktów, itp. oraz zapewnieniem, że na prośbę byle urzędasa o dostęp prędzej wysadzi serwer niż udostępni dane. Wyprostuj mnie, jeśli się mylę.
“(…)oraz zapewnieniem, że na prośbę byle urzędasa o
dostęp prędzej wysadzi serwer niż udostępni dane” Buahaha, ten
kawałek posta – w kontekście gmaila (czyli Google) – rozbawił mnie
najbardziej:D Kolega chyba od niedawna czyta Niebezpiecznik, a o
PRISM, Snowdenie i cichym przekazywaniu danych służbom przez duże
firmy (IT) zapewne nie słyszał;)
Rozumiem, że preferujesz własny serwer pocztowy?
Przeniosłem się z Gmaila na o2.pl i jestem raczej zadowolony. Płacę jakieś 1zł/miesiąc za wyłączenie reklam. Czasami przy korzystaniu z IMAP-a przez Thunderbirda muszę restartować klienta poczty, bo nie widzi nowych wiadomości w folderach (używam reguł do automatycznego przenoszenia wiadomości). Nie ma za to dziwnej implementacji tagów jako folderów w IMAP-ie. (aha, i jeszcze klienta webowego mam bez SSL-a, ale i tak z niego nie korzystam).
Skrzynka pocztowa na innych polskich portalach może nie mieć powyższych wad (np. Onet dla płacących szyfruje wszystko). Błąd z IMAP-em może być winą Thunderbirda.
Pojemność skrzynki mam porównywalną (i tak nie zużywam >2GB).
Jest jeszcze MyKolab i podobne serwisy (niestety płatne).
“…możliwość rejestracji na unikatowy e-mail (typu kazio+serwisxxx@gmail.com)”
Próbowałem się w to bawić jakiś czas. Niestety ogromna ilość serwisów, sklepów i stron WWW idiocieje jak widzi tak zapisany adres mailowy. nie przyjmuje go w formularzu albo nie potrafi wysłać maila na taki adres.
Smutne, bo pomysł dobry…
Można obejść kodem kropkowym. Kropkę dopuszczają, a w GMailu kropka jest ignorowana. ka….zio@ == ka.zio@ == kazio…@
Własny serwer i tworzenie osobnych maili / catch-all + filtry spamowe na daną skrzynke (jak trzeba to w np. cpanelu mozna)
Cenna porada, dzieki!
“Ale powiedzmy sobie szczerze: w Polsce korzystanie z TOR-a z reguły wiąże się z nadużyciami, a nie chęcią ominięcia cenzury.”
Pozwolę sobie wyrwać tą wypowiedź z kontekstu – Za nic nie spodziewałem się na tym serwisie tak płytkiego sformułowania w kierunku TOR’a. O ile jest ono trafne i zgadzam się z nim, bo od strony analizy bezpieczeństwa większości typów webaplikacji bo zależy nam na “zweryfikowanych” użytkownikach w serwisie, a TOR nam to uniemożliwia, to pomijasz wg. mnie najistotniejszą cechę, którą daje TOR.
Mówię o możliwości pozostania anonimowym w sieci – nie danie możliwości dużym organizacjom (czy to prywatnym, czy rządowym) zbierania większej ilości informacji o Tobie, niż sam o sobie wiesz.
Na pewno zakładając forum lub serwis a’la wykop, w szczególności taki, gdzie mogą być wygłaszane kontrowersyjne opinie bardzo mocno zastanowiłbym się nad blokowaniem TOR’a (raczej lepsze byłoby zastosowanie wymogu dodatkowego typu zabezpieczeń, np. 2FA, które samo w sobie powinno dostać dodatkowy akapit w tym artykule) bo w ten sposób możemy stracić część wartościowych użytkowników.
[…] logować się na kolejne identyfikatory użytkowników z hasłem 123456. Ponieważ wyniki były przerażające, a dodatkowo często podczas wykonywania testów penetracyjnych widzimy, że mało który serwis […]
Skrzynki na onecie radze omijać szerokim łukiem. Kiedyś miałem tam ważną skrzynkę. Z którą miałem np połączony wordpress. Korzystałem z programu pocztowego, 6 m-cy nie zalogowałem się przez www i skrzynka została bezpowrotnie usunięta. Podobna historia u mojej dziewczyny i znajomych. Fuck Onet.pl