180

Безопасность локального банка

Всем привет.
Приходится пользоваться картой центр-инвест банка (банк, работающий преимущественно в Ростовской области). Изначально, регистрируясь в онлайн приложении ЦИ, меня заставили придумать 8-значный цифровой пароль для входа в панель управления аккаунтом. Было очень неудобно каждый раз вводить 8 цифр, но что поделаешь...
И вот в чем, собственно, загвоздочка: с месяц - другой тому назад пришло обновление, в котором нужно вводить уже 4х символьный пароль. При этом, первые 4 цифры моего 8-значного пароля подходят!
Это что получается, банк хранит пароли в открытом виде? Я не вижу возможности сравнить контрольную сумму полного пароля, с КС обрезанного пароля на соответствие.
Мб, конечно, я что-то не понимаю в этом мире, но сейчас, как только на мой счет поступают денежные средства, я сразу их обналичиваю.

Дубликаты не найдены

+16

Есть три варианта. В порядке убывания вероятности.


1. Пароль от приложения хранится в базе Банка в открытом виде. Ну тут понятно.  


2. Правильность (уже) ПИН-кода от приложения расситывалась алгоритмом, делящим вводимой значение на две четырёхзначные сущности. Это нормально и безопасно.


3. Перед последним обновлением система аутентификации самостоятельно назначила новый ПИН-код на основании старого. Попахивает забиванием гвоздей банкой Пепси в анальное отверствие кадровички, но в теории такое может быть.

раскрыть ветку 40
+4
4. Пин хранится приложением на телефоне.
+1

На основании какого пароля система назначила новый пин, если они хранились как хеш?

раскрыть ветку 4
+3

На основании того, что это не пароль, а пин, например. В этом случае на сервере хранится не хеш, а алгоритм проверки корректности введёного пина. И тогда нет никаких проблем применять алгоритм только к первой половине нового пина, если предыдущий алгоритм рассчитывал корректность двух половин пина вместо восьмизнака как единого пина.

раскрыть ветку 3
0
Это нормально и безопасно

ну вообще, получив хеш, сбрутить 2 четырехзначные половинки намного проще чем целое.

правда, учитывая что новый пароль четырехсимвольный, разницы особой нет)

раскрыть ветку 2
+1

Верно. Поэтому в мобильном ПО используется пин-код, а не пароль.

раскрыть ветку 1
0

2 пункт -- это НЕ нормально и НЕ безопасно.

Чего бы тогда не рассчитывать алгоритмом, делящим вводимое значение на 8 сущностей по 1 цифре?
раскрыть ветку 30
+4

Это небезопасно только если ты знаешь результат аутентификации каждой из частей по отдельности. А если система на лету считает хэш двух частей, склеивает результаты и проверяет все значение, то в чем тут уязвимость?

раскрыть ветку 10
0

Почитай теорию криптографических алгоритмов. Например, про NTLM и как хешируется пароль от учётной записи на твоём компе.

раскрыть ветку 10
-2

А что не безопасного? Если из пароля делается два хеша, а не один, то очевидной проблемы тут нет. Стойкость системы двух хешей из двух отдельных половинок по сравнению с хэшем из целого пароля надо считать вдумчиво, но на первый взгляд заметного падения стойкости тут не видно.

раскрыть ветку 7
+11

А что такого? Набрали пограмистов по объявлению, вот и результат

раскрыть ветку 2
+12

Вы так говорите "по объявлению", будто приведённый "свой человечек" - величайшая панацея, готовая работать за десятерых и по качеству как сто выпускников кафедры математики. Как тут их называли... Жовлики, довлики и бовлики: https://pikabu.ru/story/realii_gospredpriyatiy_5204147

-2
Ничего нового, всё стабильненько
+3

GlebObodovsky. Пароль в мобильное приложение был всегда 6 символов. На вашей картинке не пароль, а пин код, который могли добавить только Вы сами. Зайдите в настройки приложения после авторизации и снимите галочку - использовать мобильный ПИН. При следующем входе после ввода корректного 6-ти значного пароля Вам предложат использовать touch id (если телефон поддерживает touch id)  либо мобильный ПИН, который вы вводите сами (с подтверждением), при желании можете отказаться и от первого и от второго. Когда Вам несколько месяцев назад было предложено использовать ПИН, Вы ввели свой пароль и теперь используете первые 4-ре цифры своего пароля в качестве ПИНа.

раскрыть ветку 1
+1
Мне не было ничего предложенно. Просто вместо положенного количества символов (видимо все-таки было 6, а не 8), запросило 4. Что не может не настораживать. Но принцип я теперь понял. И в настройки залез, проверил. Извините за переполох. И спасибо за разъяснения.
+4
Сейчас в голове родилось предположение, что они могли изначально заложить подобный функционал. Разделить введенный пароль на два по 4, посчитать КС и сохранить в два поля. А потом отказаться от второго.
раскрыть ветку 11
+13
Попахивает бредом, не так ли?
раскрыть ветку 6
+2
раскрыть ветку 1
+1
Нет, всё верно сказал. Но врядли. Да и смысла хэшировать четырехначные числа с точки зрения безопасности - никакого. Помнится майки так же лажанули в Win XP хэшируя пароли пользователей разделив их пополам.
0

У нас в локальной сети так хранится пароль. Для активации учётки на почтовые ящики двух людей сбрасывают по половине пароля

раскрыть ветку 2
+4

Нахуя так сложно и мудрено, когда его можно хранить в открытом виде?

И да. На безопасность всем похуй

+1

Как вариант, изначально были именно 4 цифры (по аналогии с пин-кодом), потом решили усилить безопасность и что-бы не ломать совместимость добавили еще столько и стали хранить второй хэш. Потом сообразили, что длинные числовые пароли плохо запоминаются и откатили назад, убрав 4 цифры и дополнительный хэш. Это, в частности, объясняет скачок с 8 на 4 (а не 5 или 6 или буквенный пароль).


Это фантазия, естественно. Может и действительно хранят пароль в открытую или шифруют обратимым алгоритмом. К сожалению, второго в финансовых системах тоже навалом. Правда, это очень редко вызывает проблемы на практике, чаще срабатывает человеческий фактор в других местах.

раскрыть ветку 2
0

Есть вариант - всегда хранили хэш только от первых четырех цифр, а остальные введенные просто не учитывали.

раскрыть ветку 1
+1
Комментарий удален. Причина: данный аккаунт был удалён
+1

Тоже являюсь клиентом банка и пользуюсь мобилкой. Речь идет о мобильном коде, который предназначен для упрощенной авторизации, для тех у кого нет touch id, например. Только вот этот код нужно придумать самому, а не не вводить первые четыре символа ПИН-кода. Не надо вводить людей в заблуждение.

Скрины из мобилки:

https://yadi.sk/i/82GGEgG13aXxy6

https://yadi.sk/i/VK6IBuqK3aXxvD

+2
как только на мой счет поступают денежные средства, я сразу их обналичиваю.

Самый лучший вариант. Будучи программистом, знаю как всё это пишется

раскрыть ветку 6
+5

В защите информации первичны все-же организационные мероприятия, а не технические средства. Самое дырявое ПО при должной организации можно эксплуатировать безопасно, а самое прекрасное бесполезно при общем бардаке. И на практике 99% инцидентов в банках происходят из-за человеческого фактора и только 1% по техническим причинам (и то вкупе с человеческим фактором).

раскрыть ветку 4
-1

Угу. Именно организационные.


Например, открыть для себя семейство СТО БР ИББС и начать, блендамед, включать требования по ИБ в ТЗ на создание АБС.

раскрыть ветку 3
0

Вот и крайний нашёлся!

0
Я так и не понял про что пост: если все же про безопасность, то что 8-значный цифровой пароль, что 4-х значный подбираются перебором менее, чем за минуту
0

А в чем проблема? Просто хеш восьмизначного разделили на 2.

раскрыть ветку 2
+1

Смысл хеширования в том, что так сделать нельзя.

раскрыть ветку 1
-2
Иллюстрация к комментарию
-1

Сменить банк?

-1

Я один прочитал название банка как центр-инцест банк?

-2

Если бы мой банк ввёл 4-значные, то я бы сразу закрыл счёт. Кто-то может получить пароль, посмотреть статистику, узнать дату поступления на счёт и увести деньги до того, как владелец снимет.

-3

Пост проплачен конкурентами?


Во-первых, никогда не было 8 символов и нет сейчас 4, всегда было и есть 6 символов для входа в приложение.

Во-вторых, помимо этого приходит смс с кодом, который нужно ввести для входа/или touch id


Вы обналичиваете деньги, который вам платит банк-конкурент за этот лживый пост?

раскрыть ветку 9
+3
Сколько символов для ввода пароля ты видишь?
Иллюстрация к комментарию
раскрыть ветку 8
-1

Судя по виду, его писали студенты. И дизайном тоже.

-1

Я вижу шесть, у меня обновленное приложение, существующее в этой реальности https://yadi.sk/i/jbrVvUAk3aXtWx

А где вы взяли свое изображение?

раскрыть ветку 6
-5

Какой банк?

раскрыть ветку 1
+2
Написано же, "Центр-инвест"
ещё комментарии
Похожие посты
7410

Голландский журналист смог подключиться к совещанию министров обороны Евросоюза

Как он узнал пароль? Журналист Даниэль Верлаан просто подсмотрел его в твиттере министра обороны Нидерландов. А после ворвался в Zoom к военным, немного поговорил с ними и отключился.


Источник: Baza

67

Парольная политика

Небольшая история про то, с чем можно столкнутся при усилении безопасности информационной системы (ИС).


На  работе я  работаю программистом,  работаю над информационной системой, которой пользуется несколько регионов по России.

В Москве год назад наняли безопасника, который начал приводить в порядок ИБ по филиалам и время от времени присылали приказы которые надо исполнять.

И вот пару месяцев назад прислали приказ о политике паролей в ИС, то есть напрямую связана со мной. В ней требовалось:

- Обязательно большие, маленькие символы и цифры.

- Срок действия пароля - 3 месяца.

- Пароль не должен повторятся в течение года.

- Минимальная длина паролей для юзеров - 12 символов, а для админов — 16.

- Время закрытия сессии по неактивности — 15 минут.

- Защита от подбора: При восьми ошибок подряд блокируется аккаунт на 10 минут, потом давая еще 1 попытку.


Большая часть была реализована еще старым древним приказом, где минимальная длина паролей была всего 8 символов. И я начал реализовывать эту новую политику в своей программе. Сроки были небольшие, поскольку был уже конец месяца и надо отчитываться перед Москвой о проделанной работе.

За одним я реализовал хеширование пароля, удаляя хранение пароля в открытом виде (из совместимости с другими системами), сделал единую процедуру авторизации в SQL.

И вот, реализовав все требования, выпустил обновление как для своего региона, так и других.

Всё было рабочее, кроме одного нюанса: в программе не успел сделать сброс счетчика ошибок ввода пароля на пользователя. Его можно было обнулить только в базе.

После обновления, если программа видела простой пароль после авторизации просила его сменить в соответствии с новой парольной политикой.


Наверно после этого обновления все пользователи и администраторы были согласны купить мне билет прямо в Ад и на отдельный котел с усиленным подогревом. Особенно администраторы ведь для них длина пароля от 16 символов. Да и я сам в первое время забывал свой пароль и пару раз менял его, поскольку все мои старые пароли попали в историю как тестовые и повторно использовать их уже нельзя. Кроме того, пароль ведь больше не хранился больше в открытом виде и пользователю нельзя было подсказать какой у него был пароль, если он его никуда не записал, только сброс на новый.


В первый день в большинстве регионов, пользователи, которые обновились не могли обслуживать клиентов, потому что придумывали пароль, а потом не могли зайти, потому что не запомнили его.
Почти целую неделю я был на звонках с админами регионов или звонили пользователи моего региона и им приходилось либо сбрасывать счетчик паролей в базе или менять его на новый.

Пришлось экстренно делать возможность сброса счетчика паролей с правами администратора через программу, а не в базе напрямую.

Сейчас в принципе всё спокойно. Ждем Новый Год, когда пароли юзеров и админов как раз истекут или забудут после праздников и будут вспоминать меня или московского безопасника добрым словом с его требованиями к паролям.

Показать полностью
1523

Как иметь уникальные пароли, но не запоминать и не сохранять

Недавно после очередного взлома знакомой аккунта в соцсети разговорились на тему паролей: кто как хранит и какие вообще пароли использует. Оказалось, что многие имеют пару-тройку кодовых слов (в худшем случае одно), которое используют на всех сайтах. Разумеется, мошенники это знают и, получив каким-то образом ваш пароль от какого-нибудь варезника, где вам потребовалось однажды зарегистрироваться, могут получить доступ к почте и далее по цепочке.

Некоторые позволяют браузеру генерировать и хранить сложный пароль в привязке к аккаунту. Это получше, но есть минусы: во-первых, иногда может потребоваться зайти куда-то не со своего компьютера и чтобы это сделать, придется авторизоваться в браузере. Это неудобно. Во-вторых, пароли, которые хранит браузер, несложно умыкнуть, если получить доступ к компьютеру, в браузере которого вы авторизованы. В-третьих, не всем нравится доверять свои аутентификационные данные разработчику браузера.

Есть вариант использовать специальные программы, которые защищают пароли, но это сложно, долго и, как мне кажется, оправданно в случаях с повышенными требованиями к безопасности.


Как я легко управляю паролями

Когда-то осознав, что иметь один-два пароля для всего - плохая практика, я придумал систему, позволяющую не запоминать, не хранить и при этом иметь уникальные пароли для разных сайтов. Для этого надо лишь однажды сгенерить для себя и запомнить принцип. Я приведу пример создания пароля для pikabu.ru.

a - кол-во символов в доменном имени сайта. У нас это будет 9 (допустим мы решили точку учитывать). Если домен многоуровневый, типа site.pikabu.ru, я отбрасываю поддомен.

b - вторая буква доменного имени. В вашем алгоритме это может быть первая буква. Берем i.

c - какая-то белиберда (возможно как раз ваш "универсальный" пароль, который вы хорошо помните), содержащая заглавную латинскую букву и дефис или знак подчеркивания и состоящая не менее, чем из 8 символов. Эту строку надо будет запомнить. Нужна она для того, чтобы пароль подходил по правилам большинства сайтов по длине и содержанию. Допустим это будет Ko-lokol.

d - любое число. Например, 2 или 10. Возьмем 10.

А теперь просто составляем и a, b, c и d в каком-то порядке кодовое слово. Например, badc: получается пароль i910Ko-lokol.

Следуя такой системе для aliexpress.ru будет пароль l1310Ko-lokol, а для vk.com - k610Ko-lokol.

Разумеется, система у вас должна быть своя, где, например, использовать сумму d и a или расположить их в разном порядке. Если практикуете использование разных логинов на одном сайте, включите последний символ логина в систему, например.

Выглядит на первый взгляд тяжеловато, но на самом деле это просто, быстро запоминается и при этом сильно повышает безопасность в сети.

Возможно кто-то что-то такое уже писал, но я не нашел.

364

ИБ на пальцах. Предсказуемость паролей. Паттерны

Здравствуйте. Этот пост является логическим продолжением вчерашнего, в котором были рассуждения о 5 причинах предсказуемости паролей. Сегодня покажу несколько исследований на эту тему. К каким-то есть ссылки на первоисточник, к каким-то (за давностью лет), увы, нет.


Итак, жизнь, в том числе и корпоративная, заставляет людей использовать паттерны. Как нельзя впихнуть невпихуемое, так и мало кто может помнить в уме множество уникальных криптостойких комбинаций.  Если "политика партии" заставляет вас раз в месяц придумывать новый пароль к учётке, который должен содержать цифры, буквы, завязку, развитие, кульминацию и неожиданный финал... Очень скоро вы на этот цирк с конями забьёте и скатитесь в паттерны. Вариаций таких шаблонов можно придумать множество.


Начнём с банального и очевидного для многих читателей. Но не упомянуть не могу. Пароль не должен содержать кусок логина или повторять его полностью. Если вы родились в 95 году, взяли себе логин megapihor, а в качестве пароля используете megapihor95, остаётся лишь  процитировать кота Матроскина.

Поздравляю тебя, Шарик. Ты - балбес!

Благо, сейчас многие сайты проверяют это ещё на этапе регистрации учётки.


К банальным паттернам можно отнести и красоту. Красивенько часто не безопасненько. А "украшательства" в виде "666", "777" и прочего, растыканные в начале или конце пароля, делают его более предсказуемым. Потому что когда красивенько, тогда у людей появляется тяга таскать красивый пароль от сайта к сайту.


Часто паттерны берут своё начало из "лайфхаков" по созданию и запоминанию паролей.

Типичный лайфхак, которому не надо следовать: придумайте сложную "мастер-комбинацию" (например, 787^%^fndhjbkjvfvkj). Её выучите наизусть. Затем просто добавляйте к ней спереди или сзади название ресурса с большой буквы. Например, Pikabu787^%^fndhjbkjvfvkj. Вуаля! Вы - гений! (нет). Повторю простым и понятным языком: этот лайфхак - говно. Не используйте его. Опасность в том, что предсказать все ваши остальные пароли можно в результате утечки даже одного из них.


Ещё один популярный паттерн - замена букв на похожие спецсимволы. Не где и как попало, а в интуитивно понятных местах. К примеру, «Alex» в «продвинутом» варианте можно записать как «@1e}{» (вспоминается Хоттабыч с сосцами). И пользователю понятно, и спецсимволов выше крыши. Этот трюк давно учитывают и злоумышленники. В частности, в том же JTR (John the Ripper) можно создать соответствующие правила на замены. ! = i, 3 = E и так далее.


Однако гораздо больший интерес представляет исследование «Визуализация шаблонов клавиатурных паролей», проведённое учёными из военно-морской академии США (Dino Schweitzer, Jeff Boleng, Colin Hughes, Louis Murphy). Раньше оно лежало здесь. В нём предсказуемость людей показана с другой стороны.


Идея проста: из-за ужесточения правил для создания паролей, придумывать осмысленные комбинации становится всё сложнее. Поэтому люди нашли выход в виде транспонирования логики на ступень выше (рисовать кракозябры не по запотевшему стеклу, а по клавиатуре). Поясню на примере: пароль 1qaz!QAZ2wsx@WSX на первый взгляд выглядит довольно бессмысленно и криптостойко. Есть оба регистра, цифры и спецсимволы. Но если взглянуть на клавиатуру…

ИБ на пальцах. Предсказуемость паролей. Паттерны Пароль, Графический пароль, Паттерны, Информационная безопасность, Длиннопост

…становится понятно, что это простое движение зигзагом сверху-вниз, причём каждая строчка повторялась дважды – без шифта и с зажатым шифтом.


Проведя исследование, учёные пришли к выводу, что среди на первый взгляд бессмысленных комбинаций можно выделить много неслучайных шаблонов.

ИБ на пальцах. Предсказуемость паролей. Паттерны Пароль, Графический пароль, Паттерны, Информационная безопасность, Длиннопост

А созданный на их основе словарь позволяет обычным перебором подобрать множество комбинаций.


С графическими ключами на телефонах история аналогичная. Там работает смесь из красивенько + рисовать кракозябры. Люди стремятся рисовать красивенькие кракозябры. Доходчиво и с картинками эта тема описана тут. Я же приведу несколько любопытных фрагментов из статьи.


Выпускница Норвежского университета естественных и технических наук Марте Лёге (Marte Løge) провела исследование данной темы, в ходе защиты магистерской диссертации. Выборка у Лёге получилась небольшая – она проанализировала 4 000 Android lock Patterns (ALP).


В целом, основные собранные данные таковы:

- 44% ALP начинаются из верхнего левого узла

- 77% начинаются в одном из четырех углов экрана

- 5 – среднее число задействованных в графическом пароле узлов, то есть взломщику придется перебрать менее 8 000 комбинаций

- Во многих случаях графический пароль состоит за 4 узлов, а это уже менее 1,624 комбинаций

- Чаще всего ALP вводят слева направо и сверху вниз, что тоже значительно облегчает подбор


Помимо прочего, графические ключи оказались подвержены той же «болезни», что и численно-буквенные пароли, в качестве которых пользователи часто используют обычные слова. Более 10% полученных Лёге паролей оказались обычным буквами, которые пользователи чертили на экране. Хуже того, почти всегда выяснялось, что это не просто буква, но первая буква имени самого опрошенного, его супруга(ги), ребенка и так далее.

ИБ на пальцах. Предсказуемость паролей. Паттерны Пароль, Графический пароль, Паттерны, Информационная безопасность, Длиннопост

Женщины почти никогда не выбирают комбинации с пересечениями. Лёге отмечает, что людям, в целом, сложно запомнить паттерны высокой сложности.

ИБ на пальцах. Предсказуемость паролей. Паттерны Пароль, Графический пароль, Паттерны, Информационная безопасность, Длиннопост

Думаете раньше было лучше? Ничего подобного. С пин-кодами и физическими клавиатурами на телефонах была та же история. SMS и T9 (не путать с T1000) делали своё дело. Честно, за давностью лет не помню, откуда выдрал следующую иллюстрацию.

ИБ на пальцах. Предсказуемость паролей. Паттерны Пароль, Графический пароль, Паттерны, Информационная безопасность, Длиннопост

Картинка иллюстрирует популярность четырёхзначных символьных паролей на телефонах. Здесь вы можете наблюдать смесь различных шаблонов: ввод самой простой последовательности (1234), долбёжка по одной-двум клавишам (0000, 1111, 2222, 1212 и т.д.) красивенько, движение вверх или вниз (2580, 0852) рисуем кракозябры, год рождения (1998). Кажется, что только комбинация «5683» не вписывается в этот карнавал предсказуемости. Но это на первый взгляд. Присмотритесь к кнопочным мобильным телефонам, если они есть под рукой. В Т9 (редактор быстрого ввода) этой комбинацией набирается слово «LOVE». Вот и весь секрет.


Итого. Главная просьба к вам - не будьте предсказуемыми. Старайтесь не использовать паттерны в паролях и логинах. И конечно, не забывайте про второй фактор. Пара "логин-пароль" сегодня не обеспечит вашу защищённость. Даже если пароль зубодробительный.

Показать полностью 5
70

ИБ на пальцах. 5 причин предсказуемости ваших паролей

Здравствуйте. TL;DR: Используйте парольные фразы и какой-нибудь второй фактор аутентификации. А для тех, кто не из ЛЛ предлагаю продолжить чтение. В посте расскажу о 5 причинах (нет, меня не кусал Николаев), которые приводят к предсказуемым паролям. Дело не в том, что нельзя придумать хороший пароль. Проблема кроется в людях.


Во-первых, рост количества всевозможных развлекательных сайтов и сервисов привёл к истощению фантазии у обычных людей в плане придумывания уникальных пар «логин-пароль». Да, создание уникальных связок из почты-логина-пароля для каждого отдельно взятого ресурса - это самый надёжный способ. И в идеале все уникальные связки человек должен бы знать наизусть. Но запомнить столько информации мало кто может. Поэтому чаще всего эта связка "почта-логин-пароль" кочует от одного сайта к другому. В лучшем случае используются две-три комбинации. Тем самым, получив доступ к одному из аккаунтов, злоумышленник с лёгкостью скомпрометирует остальные.


Во-вторых, из-за роста количества различных площадок, происходит расслоение аудитории по интересам. Думаю, многие из присутствующих, кто не родился со смартфоном в руках, помнят время, когда одни «принципиальные друзья» использовали только ICQ, других можно было найти только в Skype, а третьих нужно было вылавливать в IRC на канале #Аниме, где они патчили KDE под freebsd2. В итоге человек оказывался перед выбором: либо  регистрировать несколько аккаунтов, либо использовать один аккаунт для авторизации везде.


Это породило третью проблему: связанные профили. Идея, безусловно, здравая. Человек, осилив написать пост (или сфотографировав котика), жаждет поделиться этой информацией с максимальным количеством людей при минимальных усилиях. В идеале, нажав одну кнопку один раз. Однако из-за расслоения аудитории на каждой площадке надо всё постить заново. Непорядок. Это понимали и «сильные мира сего», разрабатывая функционал связывания профилей. Написал что-то в Facebook и тут же twitter автоматически отзеркалил пост и известил всех подписчиков. Красота, да и только. Но именно эта красота снижает защищённость пар «логин-пароль». Ведь многих хватает на то, чтобы придумать уникальный логин, а вот на уникальный пароль способны единицы.


Четвёртая проблема скрылась в детях, а точнее в юном возрасте пользователей. Те же социальные сети неустанно борются за право снижения возрастного порога для получения права пользования ресурсом. К примеру, руководитель Facebook считает разумным возраст 12 лет. Но что в 12 лет ребёнок может знать об информационной безопасности и криптостойких паролях? Другой вопрос, сможет ли он вообще придумать что-либо кроме комбинации «ИмяГодРождения».


Наконец, пятая проблема пришла вместе с доступностью мобильного интернета. Люди начали активно использовать смартфоны и планшеты для доступа к различным ресурсам. Узким местом стали виртуальные клавиатуры, а точнее невозможность видеть одновременно русскую и английскую раскладки. Уверен, вам доводилось пользоваться простым «лайфхаком», повышающим уровень "бредовости" вашего пароля: задать в качестве пароля русское слово или фразу, предварительно изменив раскладку?


Вот только с виртуальными клавиатурами такой фокус не проходит. Вводя подобные комбинации с физической клавиатуры, мы опираемся на моторику и «мышечную память». В случае виртуальных клавиатур приходится полагаться только на глаза. Вы помните наизусть соответствие русских и английских символов? Дополнительными «палками в колёса» выступают буквы «ё, х, ъ, ж, э, б, ю», которым в английской раскладке соответствуют символы «`, [, ], ;, ‘, ,, .». Но в виртуальной версии английской клавиатуры располагаются они совсем не в тех местах, где мы привыкли их наблюдать. Что в итоге? Как правило, снижение сложности пароля и его смена на комбинацию, которую легко запомнить и удобно вводить с английской раскладки. Как следствие - увеличилось число "словарных" английских паролей.


Но даже если вы придумали хороший «годный» пароль, не спешите радоваться. Возможно, вы всё равно действовали по шаблону и вас легко предсказать. Речь идёт про паттерны. Для всех типов паролей они были выявлены. Предсказуемы наиболее вероятные пин-коды, графические ключи и даже парольные фразы. Про паттерны будет следующий пост.


А пока аксиома дня сегодняшнего: в аутентификации 2 даже не очень сильных фактора всегда лучше, чем один даже очень сильный. Это значит, что "словарный" пароль + код по SMS гораздо надёжнее, чем самый ультрапупермегазубодробительный пароль.

Показать полностью
1653

Срочно смени пароль от роутера)

Я не шучу, смени даже если он не стандартный (хотя всё равно может не помочь).

Подключён у меня интернет от ростелекома и решил я просканировать подсеть провайдера. Запустил программу  RouterScan и вбил диапазон 100.64.0.0/10. Диапазон очень немаленький и пришлось подождать. Спустя двое с половиной суток я остановил сканирование на примерно 80%. Результат оказался очень хорошим.

Срочно смени пароль от роутера) Информационная безопасность, Пароль, Роутер, Большие данные

Из этих 29 тысяч нужны только те у которых известен BSSID. Далее с помощью яндекса получаю координаты wifi точек. Осталось меньше 10 тысяч. Делю на 5 файлов по 2000 строк в каждом и отправляю в гугл карты. В итоге получаю вот такую картину

Срочно смени пароль от роутера) Информационная безопасность, Пароль, Роутер, Большие данные

Можно посмотреть подробную информацию по каждой точке доступа

Срочно смени пароль от роутера) Информационная безопасность, Пароль, Роутер, Большие данные

IP адрес, логин/пароль роутера, пароль wifi, координаты.

Вот такая вот ситуация с безопасностью сейчас обстоит.

Кому интересно даю ссылки на карту и таблицу с данными

https://drive.google.com/open?id=1UyeHcQ0KENQ8u1dGqJIvG0FvQi...

https://drive.google.com/file/d/18XYkYqc4cuFXnoAOYrLHJHLs7xA...

Показать полностью 1
914

Пароль администратора домена.

Много лет назад, устроился я на работу эникейщиком на склад, который был неслабым таким транспортным хабом. Машины сновали днем и ночью, что-то привозили, что-то увозили, разгружали, фасовали, клеили бирки и снова грузили в фуры, чистый Вавилон. Выпали мне ночные смены, я и не против был. Ночью работы было значительно меньше, да и серьезные проблемы оставляли обычно до утра, когда приходил наш Великий Руководитель Отдела, мужчина, безусловно, серьезный, но уж как-то излишне повернутый на безопасности. А с другой стороны: это же он мной командует, а не я им, видимо, он знает, что делает.

Неделя или вторая моей работы на складе, ночь, красота. Я что-то лениво перебираю в своем компе, лажу по расшареному на серваке диску с документацией и мануалами, изучаю. Вышел покурить, стою, пускаю  дым, любуюсь звездным небом над головой, прислушиваюсь к нравственному закону, внутри себя. И тут - трели небесные, я аж подпрыгнул от неожиданности. А, так то мобила моя надрывается! Странно, половина третьего ночи, кому чего из-под меня надо, в такое суровое время? Звонит сам Великий Руководитель! С трепетом отвечаю на звонок и благодарно внимаю.

Оказалось, что меня разыскивает старший смены, что-то там у него поломалось. Метким броском отправляю окурок в урну, и степенно отправляюсь решать вопросы. Прихожу и вижу комп; со специальной софтиной, с промышленным сканером, с принтером этикеток и кучей таких приблуд. Они сканируют – оно не сканируется, они печатают – оно не печатается. Ну, нормальная тема, понимаю. Через минуту выясняю неполадку: комп решительно вышел из домена со всеми вытекающими. Не успел оглянуться – снова мобила.

- Ну что? – вопрошал Великий, - нашелся ты?

- Более чем, - отвечаю, - тут комп из домена выпал, щас загоню его обратно и все будет ровно. Пароль от домена у нас какой?

Дело в том, что мне, как эникею, такая информация была решительно ни к чему, по мнению руководства, разумеется. Ну да, до того не пригождалось, спору нет. Но тут то?!

Для непосвященных объясню: админский доменный пароль позволяет получить доступ ко всему, что присутствует в сети предприятия, это я совсем в общих чертах, не цепляйтесь. Тут как в компьютерной игре: получить бессмертие и все оружие, с бесконечным боезапасом. Понятное дело, что кому попало, пароль такой не говорят.

Великий Руководитель понес какую-то дичь. Мол, сбегай в кладовку, там есть запасной, настроенный комп, воткни его заместо первого. На мои предложения не изобретать велосипед, сказал делать как велено. Ну ок, ты – начальник, я - дурак, расклад понятен. Приношу новую железку, втыкаю все чертовы девайсы. Машинка въезжает в домен, как Цезарь в Рим, начинаю смотреть и очень расстраиваюсь. Половины драйверов нет, печать этикеток, которую надо настраивать вручную, естественно не настроена, короче копаться надо долго. Ну, ничего не поделать, начинаю.

Вдруг, заходит старший смены и недовольно протягивает мне телефон. На том конце сонный Руководитель спрашивает о моем прогрессе и призывает поторопиться, ибо пока я там ковыряюсь, работа во всем ангаре стоит. Вежливо объясняю Руководителю, что у машины, принесенной со склада, только одно достоинство – она прыгает в домен, как Ржевский в чужую койку, а все остальное надо настраивать руками, ибо конфига складской машины у нас попросту нет. Говорю так, чтобы слышал меня старший смены, мужик суровый и большой, не хотелось бы, чтобы он обиду на меня лично затаил. Великий начинает предлагать пути решения, причем все, через известное место. Уже не очень вежливо перебиваю его, говорю, мол, раз такая срочность, может таки сказать мне доменный пароль? Тогда вопрос закроется через 2-3 минуты. Начальство мнется и гнется, но пароль не дает. Причем даже на прямые мои вопросы, мол, ты чо, меня не уважаешь, ты мне не доверяешь? – юлит и не дает прямого ответа. И да, пароль от домена тоже не дает.

Ок, - говорю, - буду настраивать. Времени потребуется минимум час, - старший смены закатил глаза, - если какие-то вопросы будут – сразу тебе звоню, я же тут всего 2 недели, многого не знаю.

Руководитель, тяжело вздохнув, согласился, однако настоятельно попросил беспокоить его только в самом крайнем случае. Ага, в крайнем, так и будет, точно.

А тут еще и старший смены стоит над душой, помочь предлагает. Эх, брат, помощь бы мне не помешала бы, но только ты мне помочь ничем не сможешь. Разве что у тебя нет привычки… Минуту! Вспоминаю, что у Великого Руководителя пунктик есть, все фиксировать и записывать. Лезу на тот самый диск с документацией и мануалами, закрытый для всех, кроме админов, нахожу папки с документами, 5 минут поисков и - есть! Вижу файл с названием «Зфыыцщквы» (Passwords на русской раскладке, оцените уровень безопасности, блин!), а там искомое! Ставлю старую, правильно настроенную машину на место, цепляю обратно все девайсы, загоняю в домен и наслаждаюсь хорошей и правильной работой всей техники!

Мораль: на каждую хитрую… Хотя, вы и так сами все поняли, вопщимта…

Показать полностью
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: