6877

О паролях

xxx: Сегодня прикол был

xxx: Один аутсорсер, в приложении для нас встроил тайм-бомбу. Это когда перед запуском программы проверяется текущая дата и если она превышает заложенную - программа перестаёт выполнятся. Он периодически присылал обновления, в которых сдвигал эту дату. К слову, мы с ним расплатились в полном объеме. Программа - макрос на VBA для Excel.

xxx: И сегодня у заказчика время пришло и макрос перестал выполняться

xxx: Я понимаю, если бы мы ему не платили, такое бывает, но тут он неправ

xxx: Дозвониться до него не получилось

xxx: Ну я распаковал xlsx, залез в ресурсы и нашёл там пароль в открытом виде. Открыл с этим паролем макросы и вычистил бомбу из исходника

xxx: Потом думаю - а не попробовать ли мне этот пароль ввести к его почте, с которой он с нами поддерживает связь...и вуаля, пароль подошёл! :-)))

xxx: Вывод - всегда используйте разные пароли! :-)

Дубликаты не найдены

+477

храните пароли в шифрованом виде!

раскрыть ветку 190
+578

у меня 1сники сделали автоматически-генерируемый пароль для бэкапа базы данных. Этот пароль менялся при каждом бэкапе (каждый день- новый) и записывался в ту же базу, которую бэкапил. Т.е чтобы развернуть вчерашний - нужно было зайти в сегодняшнюю базу и взять оттуда пароль.
Ну и естественно, когда база наебнулась, последствия хитрого плана вылезли.

раскрыть ветку 106
+367

Ну это как продавать ножницы в  упаковке, которую можно открыть только ножницами (или ножом).

раскрыть ветку 97
+64
Winrar.exe.rar
раскрыть ветку 2
+21
Они что то слышали про блокчейн и сделали как умели)
+9

Да они долбанные гении!

раскрыть ветку 1
+5

а звали его Альберт Блокчейн ?

0

пароль_от_ахива.rar

+17
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку 3
+10

Хэшировать можно.

раскрыть ветку 1
+1

Легко. Например, blowfish-ем.

https://www.di-mgt.com.au/cryptoBlowfishVer6.html

+68
Не шифрованном. Чтобы хранить в шифрованном, надо еще метод шифрования шифровать, а потом и его, а потом и его, а по...
И в итоге это всё паровозиком можно откопать.

А можно хэшировать пароль. Тогда откопать уже можно будет только хэш, но он ничего не даст (пока у нас нет квантовых пк, нормальные хэши перебрать сложно).
раскрыть ветку 54
+79

И посолить, посолить не забываем! У пользователя может быть простой пароль, вроде qwerty, и тогда хэширование само по себе не поможет: можно иметь заранее вычисленный хэш для таких паролей, например, и сопоставлять с ним. Соль решает проблему.

раскрыть ветку 35
+3

А смысл хранить в секрете алгоритм шифрования если он несимметричен?

раскрыть ветку 5
0
А как же радужные таблицы? От них только соль спасёт.
-1

Это же блокчейн.

ещё комментарии
-2

aes128 невзламываем до сих пор. и ничего мудрить не надо.

раскрыть ветку 7
+12
Иллюстрация к комментарию
+10

хранить пароли в теле того, что может быть просмотрено блокнотом хреновая идея в принципе. Лучше шифровать на месте и отправлять куда-нибудь на сервер для проверки.

раскрыть ветку 6
+32

всмысле, по-мне так пароль лучше всего сохранять в ПАРОЛЬ.txt!

раскрыть ветку 5
+5

если, конечно, они у вас есть

+2
Храните пароли в сберегательной кассе
раскрыть ветку 1
+1

*keepass

+1
Иллюстрация к комментарию
0

keepass

/thread

0

Я нихрена не понял, но звучит очень поучительно и коварно

0
В голове
0
Если, конечно, они у вас есть.
0
Вот вот, я свои сразу звездочками записываю, никто еще не спиздил
раскрыть ветку 1
0

Так вот у кого пароль из символов звёздочки!

0

А лучше не храните вообще

0
Первая заповедь?
0
это как например?
-8

А вы знали, если на пикабу написать цифры с карты, то они автоматом шифруются???

Смотрите :

**** **** **** ****

***

Не верите??? Проверьте

раскрыть ветку 2
-3
@moderator не уверен, что шутка имеет право на жизнь
ещё комментарии
ещё комментарии
+38

Какой способный аутсорсер! Макросы в xlsx файл засунул.

раскрыть ветку 7
+7

Хакер наверное

раскрыть ветку 2
+12
Мы тут недавно с ребятами по Крыму гоняли на мото. Подъехали к Ай-Петри, чтобы на вагончиках прокатиться. Там бабы у палатки стояли болтали. Нас заметили:

- О, смотри, хакеры!

- ага!

Так что я как хакер говорю - у меня не получалось засунуть в xlsx макрос. Значит, он не хакер.

-1
Ты уволен !!!
Иллюстрация к комментарию
+1

в чем соль сарказма? поясните несведущим.

раскрыть ветку 3
+3

excel 2003 и старше сохраняли всё в файл xls - и таблицы, и макросы. А вот начиная с excel 2007 и моложе в файл xlsx можно сохранить всё, кроме макросов. Эксель прямо выдаёт такое сообщение: вы выбрали файл xlsx, а в файле есть созданные вами макросы - они сохранены не будут. Если сохранить надо - выберите xlsm, в него вообще можно всё сохранить.

раскрыть ветку 2
+31

У меня один пароль на почту, и другой практически на все остальное)

раскрыть ветку 21
+20

какой?

раскрыть ветку 14
+72

123123 и 123123а

раскрыть ветку 11
+5

Он же написал "один" и "другой".

Хотя, возможно, второй - "другой практически". Так же надёжней.
0

111111 и 222222

+3

У меня тоже везде один пароль, но почти везде двухэтапная аутентификация либо через смс либо через приложение

раскрыть ветку 4
+6
KeePass с защитой закрытым ключом, а там он сам пароли генерит. Сертификат с ключом на токене + распечатан и спрятан.
Я параноик? Ничуть, я же не проверял исходники кипассаи и плагинов. ;)
раскрыть ветку 3
+44
Моя любимая шутка про вба и прочее.
Сам PHPизд.
Иллюстрация к комментарию
раскрыть ветку 5
+3

ну так стер бы php  из списка  а то аш апидно

раскрыть ветку 4
+10
Да ну брось. PHPизды не 1Сники какие-нибудь, которые шуток не понимают.
раскрыть ветку 2
+1

Пхпшников называют говнокодерами уже больше 10лет, их профпригодность научила смеяться над собой!

+26

Поменяли все таки пароль у почты?

раскрыть ветку 2
+39
Иллюстрация к комментарию
ещё комментарии
+65

Это хитрый байт, что бы развести вас на взлом его почты. Honeypot по нашему.

Дальше вы получаете повестку в суд и заплатите за этот веселый 'прекол' такую сумму, что незадачливый разработчик больше никогда не притронется и пальцем к вба.

раскрыть ветку 68
+32

а где тут взлом? пароль - вот он, в документах. а мы думали что он от почты, мы не шарим в этих ваших технологиях.

а и то что он эту хрень оставил после оплаты, ничего?

раскрыть ветку 34
+42

Ну как бэ незнание чего-то и не шаряние в чём-то не освобождает от ответственности, если при этом нарушается закон

раскрыть ветку 5
+7

Взлом почты - попытка нсд к ней. Он имеет место быть. Но не факт что наши суды почешутся по этому поводу.

+10

'После оплаты' это вы где в посте уведели?


```

http://www.consultant.ru/document/cons_doc_LAW_10699/5c33767...

```

Копирование по факту доказывать не приходится. Всё что нужно - доказать момент взлома. То, что ключи от двери дома были под ковриком, не является оправданием взлома в этот самый дом.

раскрыть ветку 24