Автоматически генерируемые пароли в ISP Lite небезопасны
ISP Lite имеет проблему (баг) в настройках автоматической генерации паролей. Так, если стоит настройка уровня пароля Сложный, выставленная пользователем, то автоматическая генерация паролей пользователей и root паролей выдает пароль ниже сложного (отсутствуют специальные символы, например, #, @, ! и т.д.), а также по умолчанию стоят некоторые ограничения (в пароле не могут присутствовать 3 цифры подряд и т.п.). Данные ограничения значительно снижают количество паролей, которые нужно перебрать при взломе, и делают возможность взлома брут-форсом (простым перебором) более перспективной. Вполне вероятно, что данный баг сохраняется намеренно, чтобы сделать взлом системы, например спецслужбами, более перспективным. Компания Ispsystem (производитель панели) в лице техподдержки предлагает пользователю самому поднастроить уровень сложности пароля в конфигурационном файле, но мало кто над этим задумывается и будет делать, а также мало кто имет квалификацию это делать. Ниже привожу переписку с саппортом, который проигнорировал данный баг. Будьте осторожны, устанавливая пароль.
Переписка с саппортом:
Информационная безопасность IT
1.5K постов25.6K подписчик
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.