Принудительная смена паролей на скомпрометированных аккаунтах
Exsand: 26 May, 2015 - 13:23 (изменено Exsand: 2 February, 2016 - 13:14)
На сайте был обнаружен подбор паролей злоумышленниками к 70ти пользовательским аккаунтам. Проверка хэшей паролей скомпрометированных аккаунтов показала, что в большинстве случаев в качестве пароля использовался ник пользователя, в остальных случаях пароли вида "123", "1234" и т.д. На всех 70 обнаруженных аккаунтах пароль был принудительно сброшен на случайный и их владельцы смогут зайти на сайт через процедуру смены пароля.
В связи с этим инцидентом напоминаю всем о том, что ваш пароль к сайту должен быть достаточно сложным, чтобы его нельзя было подобрать с помощью перебора простых вариантов.
»
- Дневник Exsand
- Зарегистрируйтесь, чтобы увидеть фото и видео
Комментарии
Кстати - мы заметили лично на своем опыте, когда забыли пароль и нажав кнопку "забыли пароль" пройдя всю процедуру, попали на сайт и должны придумать новый пароль. Новый пароль придумали а вот зайти с новым паролем не получается, пишет что не правильный пароль, ошибиться не могли, так как делали всю эту процедуру не один раз, вот такие дела, что посоветуете нам?
mudozvon, milf driller, о чем вы говорите? при чем тут солить хеш? речь идео о бруте на страницу авторизации, а не базы email : hash.
да и при пароле 123, qwerty и так далее, по большому счету salt не поможет. Да и я Вам более скажу, даже при самописном алгоритме шифрования и при доступе к базе, можно зарегистрироваться 5-10 раз, ввести Свои пароли, потом посмотреть получившиеся хеши в базе и вполне себе так реально узнать даже самописный алгоритм и произвести брут пароля.
Не вводите в блуд людей, говоря о том, что на сайте что-то не сделано для безопасности, Только Хорошие пароли, Только хардкор - маленькие буквы, большие буквы, цифры, спецсимвол от 8 символов, желательно в комбинированном виде, формата - wWwM7sW1nf#.
Для полного счастья нам не хватает третьего, четвертого, пятого, ...
Для начала брут надо пофэйлить (допустим 3 попытки и капча) - это кстати еще один feature request.
Согласен, при пароле "123" ниче не поможет, поэтому читай выше feature request.
На сайте реально не сделано то, что написано выше для безопасности,
Это не совсем так. На сайте блокируется на время возможность отправки формы логина после десяти ошибочных попыток входа. Но сделать капчу после трех ошибочных попыток входа тоже не проблема - добавлено.
Попытки проникновения в аккаунт происходят периодически. Полные дебилы свои действия "отсвечивают" нажимая кнопку "восстановить пароль". Видимо люди "не догоняют", что будет после того, как они нажали эту кнопку Внизу скрин с ящика. Количество попыток говорит само за себя. Причем это не все письма.
Как говорится - делайте выводы. Нормальный пароль сохранит вам нервы.
Зачем они всё это делают? Какая цель?
Зачем часами брутить, подбирать пароли?
На сайте нет никакой полезной для хакеров информации (в отличие от зарубежных "платников") - ни номеров кредитных карт, ни телефонов и т.п.
Есть е-mail адреса - их можно использовать для составления БД адресов для СПАМа.
Есть фото голых задниц - их можно использовать для аццкого шантажа за баксы
Ну для школоты это, конечно круто
Но зачем такие сложности, если можно просто зарегистрировать на сайте 2-3 десятка аккаунтов и творить тут что хочу - качать фото, разводить на бабки, рассылать СПАМ и т.д.
Мне писали всякую ересь в личку... Что сообщат на работу ...
Наивные - я работаю у жены, а она SW Пусть сообщают.... и пришлют ей её же фото
В общем, я посылал их на...р.
Сложные пароли, это, конечно, правильно.
Но сайт, в общем-то, не об этом.
И раз мы уже тут, то надо быть готовыми к всякого рода провокациям.
Каникулы "по-взрослому"!
Зачем они всё это делают? Какая цель?
Зачем часами брутить, подбирать пароли?
На сайте нет никакой полезной для хакеров информации (в отличие от зарубежных "платников") - ни номеров кредитных карт, ни телефонов и т.п.
Есть е-mail адреса - их можно использовать для составления БД адресов для СПАМа.
Есть фото голых задниц - их можно использовать для аццкого шантажа за баксы
Ну для школоты это, конечно круто
Но зачем такие сложности, если можно просто зарегистрировать на сайте 2-3 десятка аккаунтов и творить тут что хочу - качать фото, разводить на бабки, рассылать СПАМ и т.д.
Мне писали всякую ересь в личку... Что сообщат на работу ...
Наивные - я работаю у жены, а она SW Пусть сообщают.... и пришлют ей её же фото
В общем, я посылал их на...р.
Сложные пароли, это, конечно, правильно.
Но сайт, в общем-то, не об этом.
И раз мы уже тут, то надо быть готовыми к всякого рода провокациям.
Какие требования были, то? Так, чисто поржать
Я на себя работаю. Значит фото мне пришлют?
Какие требования были, то? Так, чисто поржать
Я на себя работаю. Значит фото мне пришлют? :lol:
Та... по мелочи - хотели 500 долларов на их кредитку.
Ну я, конечно, очень испугался
И отписал, что если они пришлют мне 700 долларов, то я им ещё 4 гига фото посылочкой вышлю
Каникулы "по-взрослому"!
Зачем они всё это делают? Какая цель?
Зачем часами брутить, подбирать пароли?
На сайте нет никакой полезной для хакеров информации (в отличие от зарубежных "платников") - ни номеров кредитных карт, ни телефонов и т.п.
Есть е-mail адреса - их можно использовать для составления БД адресов для СПАМа.
Есть фото голых задниц - их можно использовать для аццкого шантажа за баксы
Ну для школоты это, конечно круто
Но зачем такие сложности, если можно просто зарегистрировать на сайте 2-3 десятка аккаунтов и творить тут что хочу - качать фото, разводить на бабки, рассылать СПАМ и т.д.
Мне писали всякую ересь в личку... Что сообщат на работу ...
Наивные - я работаю у жены, а она SW Пусть сообщают.... и пришлют ей её же фото
В общем, я посылал их на...р.
Сложные пароли, это, конечно, правильно.
Но сайт, в общем-то, не об этом.
И раз мы уже тут, то надо быть готовыми к всякого рода провокациям.
Для школоты- возможно ))) но тут было лично у меня посерьезней, шантаж со стороны одной из любовниц моего любовника, что бы отстала Взламывала страницу здесь, в соц. сетях и почту.
И изменения паролей мною для нее не составляла труда, хоть сложный, хоть нет. Вот и пришлось заблокировать здесь страницу чтобы ей не повадно было. теперь любуется моим видео и фото в одиночку )) и отгоняет других любовниц от
Ваш комментарий позабавил
Я ХОРОШАЯ Девочка, делаю то же, что и Плохие, Только ХОРОШО!
Мой пароль прост до безобразия - латиница, заглавные буквы, строчные буквы, допустимые символы !@#$%^&*()_+~, и цифры, одновременно пароль прост до безобразия, но к нику не имеет никакого отношения
Соли-не соли (хотя солить конечно надо и динамически) - брутят-то, насколько я понимаю, без доступа к базе, чисто по http "прокатит-не прокатит". Простые антибрутовые хрени, типа 2-секундного слипа, капчи после N-неудачных попыток и временной блокировки после X-неудачных попыток - это все сильно осложняет кулхацкерам жизнь.
Нормальная безопасность - это всегда комплекс мер. Тут главное не перепараноить и не навредить юзабельности.
Например, автоматический логаут через полчаса бездействия, принудительная смена пароля через месяц и запрет использовать 10 ранее юзавшихся паролей в данном случае явно излишни