Правда о смене паролей

Как все уже знают, сегодня на Пикабу появилось сообщение с просьбой сменить пароль. Вначале я не придал этому значения, и попросту игнорировал баннер. Почитал посты про возможный слив базы данных, посмеялся. Но уже ужиная дома, пришла СМС:

Правда о смене паролей Пароль, Взлом, Пикабу, Безопасность, Длиннопост

Я сел за компьютер, открыл браузер, по-умолчанию открылся Пикабу и я увидел - мой аккаунт не был залогинен. Тут у меня в голове сложился пазл! Я быстро начал вводить свои данные авторизации - фух, зашёл. Значит пароль не изменён. Ок, поменяю на всякий случай пароль. О, вот и почта в профиле, в которую пытались зайти. Данные с гугл кабинета:

Правда о смене паролей Пароль, Взлом, Пикабу, Безопасность, Длиннопост

Нет, я не с Вьетнама.

Я так понимаю, что базу паролей всё-таки угнали и пытались зайти на почту, используя пароль с Пикабу. Но у меня то пароли разные.

Правда о смене паролей Пароль, Взлом, Пикабу, Безопасность, Длиннопост
А у вас?
Вы смотрите срез комментариев. Показать все
7
Автор поста оценил этот комментарий

Где вы эту почту держитн, что там столько спама? У меня ящик на Гуглмейле с тех пор еще, как гуглмейл по инвайтам раздавали, засвечен везде, где можно. При этом спама нет от слова совсем. Вернее есть, но его гугл заботливо в папочку Спам складывает и я его не вижу. На ящике майкрософта тоже очень старом тоже ничего. На Яндексе, через который я по служебным делам общаюсь и адрес кому попало даю - тоже чисто все.

А такой треш видел только давным-давно на самопальных почтовиках, где со спамом админ блеклистами "боролся"

раскрыть ветку (2)
4
Автор поста оценил этот комментарий
Ну сам спам-то при этом есть. Я на мейл почте тоже не вижу спама, но он есть
1
DELETED
Автор поста оценил этот комментарий
Поддерживаю. На мэйлру, из всех перечисленных почтовых сервисов, больше всего спама сыплется. Причем, в основном, какие-то то новостные подписки на сайты, на которых я никогда не был, видимо сам мэйлру подписывает.
5
Автор поста оценил этот комментарий
2 почты)) насмешил
2
Автор поста оценил этот комментарий
Такой номер прикольно виртуальный иметь.
Типа nextplus. У меня теперь телега к почте вообще привязана, а номера нет
раскрыть ветку (3)
1
Автор поста оценил этот комментарий

Долго не будете заходить в nextplus номер сменят, останетесь без аккаунта

раскрыть ветку (2)
2
Автор поста оценил этот комментарий
Я на почту Telegram привязал сразу, номер сменился, телега нет. Чтобы в нее зайти нужно с почты подтвердить. То есть тот кто получил мой номер, телегу на него не возьмет уже...
раскрыть ветку (1)
Автор поста оценил этот комментарий

Ясно, СПС буду знать.

Автор поста оценил этот комментарий
В мэйл почте теперь можно создать почтовый адрес для всякого мусора и он будет встроен в ваш основной почтовый адрес.
раскрыть ветку (2)
14
Автор поста оценил этот комментарий

Только вот Мейл почта и есть мусор:)

раскрыть ветку (1)
2
Автор поста оценил этот комментарий
чушь. выглядит она удобнее того же гугла. спама как такого нет. двухэтапная аутентификация так же есть. пользуюсь уже 12 лет.
Автор поста оценил этот комментарий

Ба, а есть люди, которые все регают на свой настоящий телефон, а не на серую симку, купленную у хачей? Особенно авито и прочую хрень, которые давно стали справочной для мошенников

9
Автор поста оценил этот комментарий

Это многое объясняет.

Видимо пикабу как и вацап, теперь часть того, кто (или что) за нами следит :)

раскрыть ветку (4)
2
Автор поста оценил этот комментарий

Вот мне еще и ща вами следить? Не буду! Мне сверхурочные не платят!

раскрыть ветку (3)
3
Автор поста оценил этот комментарий

Какие сверхурочные? Больше 24 часов в сутки не оплачивается :)

раскрыть ветку (1)
Автор поста оценил этот комментарий
Выходные и праздники - двойной тариф
2
Автор поста оценил этот комментарий

Товарищ лейтенант, за одноклассниками захотели следить ?

5
Автор поста оценил этот комментарий

Бгг. Защите через номер телефона я доверяю ещё меньше.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Ну это чтобы кому надо могли дубликат симки получить, ну а дальше знаете
2
Автор поста оценил этот комментарий
Иллюстрация к комментарию
ещё комментарии
8
Автор поста оценил этот комментарий

Когда я захожу на какой-нибудь сайт где нужна регистрация, у меня даже иногда подходит asd@asd.asd  и пароль asdasdasd

Вот прям не вру :)

раскрыть ветку (10)
10
Автор поста оценил этот комментарий

Попробуйте еще пару логин: Login, пароль: Password, регулярно подходит.

раскрыть ветку (6)
7
Автор поста оценил этот комментарий

qwerty/qwerty тоже работает иногда

раскрыть ветку (3)
3
Автор поста оценил этот комментарий
Я бы подсказал вам плагины со стоковыми парами лог/пасс... но очень лень... сделайте людям выше добро плиз?!
раскрыть ветку (2)
2
Автор поста оценил этот комментарий

сервис BugMeNot и его российские аналоги вам в помощь.

раскрыть ветку (1)
Автор поста оценил этот комментарий

http://bugmenot.com/view/pikabu.ru

5
Автор поста оценил этот комментарий

Записал 8)

а то забуду...

Автор поста оценил этот комментарий

У меня пара Login/Login... Чесно говорю, на роутере )))

4
Автор поста оценил этот комментарий

Я, видимо, излишне продвинутый. Я noreply@example.com использую.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Да, я видимо тормаз 8)))

2
Автор поста оценил этот комментарий
А раньше пользователи баша пользовались универсальным BashOrgRu@mail.ru пароль Bash1234
11
Автор поста оценил этот комментарий

я ваще с аккаунта google+, ни пароля ни почты кроме его же у меня нет, пусть хуй мой угонят, все равно им не пользуюсь

9
Автор поста оценил этот комментарий
Угнали не пароли, а хеш пароля. Заебутся подбирать пароль - это раз, на кой черт тратить электроэнергию на это - это два
раскрыть ветку (10)
73
Автор поста оценил этот комментарий
Взломают и давай плюсы всем ставить
раскрыть ветку (1)
39
Автор поста оценил этот комментарий
Вот ублюдки, ничего святого
6
Автор поста оценил этот комментарий

Если хэш не солей - ломануть его, в большинстве случаев, не сложно - это три.

раскрыть ветку (7)
63
Автор поста оценил этот комментарий

https://pikabu.ru/go/phpmyadmin

та нее, тут вот база вся. пароли с солью все. норм.

раскрыть ветку (2)
7
Автор поста оценил этот комментарий
Блин, круто, забытые ощущения
21
Автор поста оценил этот комментарий

а вот на такой подъёб я ещё не попадал, не грех и плюс поставить - красиво сделал!

Автор поста оценил этот комментарий

где ты щас видел шифрование ниже BLOWFISH ?

md5 типа думаешь на пикабу? может ещё base64 и хватит )

раскрыть ветку (3)
Автор поста оценил этот комментарий

Только base64 это не шифрование.

/отгоняет мух от котлет/

раскрыть ветку (2)
Автор поста оценил этот комментарий

кто-то вообще не понимает в сарказм. табличку видимо надо

раскрыть ветку (1)
Автор поста оценил этот комментарий

Кто-то понимает. Но ставить в один ряд тх все равно некорректно. Сарказм не отменяет этого ;)

6
DELETED
Автор поста оценил этот комментарий
Судя по количеству ботов, давно продались.
1
Автор поста оценил этот комментарий

Только надо вот к этим миллионам хэшей сначала подобрать соответствующие пароли, потратив, скажем, на подбор каждого 128 лет компьютерного времени и обломаться, потому что хэш соленый. А потом узнать, что Гугл при смене локации даже при вводе верного пароля предлагает отправить подтверждение на телефон и почту, прежде чем даст зайти. Автора могли тупо прослушать в общественной точке доступа лет 5 назад, он мог поставить себе варезный софт с файлопомойки и лишиться пароля, мог воспользоваться впном типа бесплатным, чтобы зайти на запрещённый в россии сайт, да сотни способов угона пароля есть. Почему он решил, что его пароль хранился на Пикабу в открытом виде и его угнали? Почему вы сказали такую дичь, как 'угон почт, не говоря уже про пароли'? Вы точно знаете, что тут пароли в открытом виде лежат (лежали)?

ещё комментарий
131
Автор поста оценил этот комментарий

Они ответили:

"Паниковать не стоит. Мы обнаружили небольшую возможную уязвимость из-за которой некоторые данные могли быть украдены. Проблема не носит глобальный характер и уже закрыта, но мы беспокоимся за наших пользователей и стараемся обезопасить даже от минимальных рисков, поэтому просим поменять пароль. Кстати, пароли мы храним в зашифрованном виде, за это не переживайте."

раскрыть ветку (149)
15
Автор поста оценил этот комментарий

С уважением, текущий админ Пикабу

Bich Xuan

раскрыть ветку (1)
2
Автор поста оценил этот комментарий

Из Вьетнама

128
Автор поста оценил этот комментарий
Кстати, пароли мы храним в зашифрованном виде, за это не переживайте."

какое-то гонево.


у меня так зашли на 1 древнючий акк на другом сайте, которым я не пользовался овердохрена лет, там пароль совпадал с пикабу (порой на всяких говносайтах развлекательных не запариваюсь)

раскрыть ветку (122)
65
Автор поста оценил этот комментарий

Нет, ну по хорошему, никакой писака сайта, если что на месте его мозга реальное дерьмо не будет хранить пароль прямым текстом. Ваш пароль хэшируется, то есть пропускается через алгоритм который превращает бароль в беспорядочный и длинный набор символов. Причем алогритм такой, что один и тот же вход даст один и тот же вход и в то же время любое изменение входа меняет весь выход. И в базе данных хранятся именно выходы, а когда вы вводите пароль то сайт пропускает то, что вы ввели через алгоритм и сравнивает выход с базой, если совпадает то пароль верный, а если нет то нет. И при утечке злоумышленники тоже получают эти хэши из которых пароль ой как не легко вывести.

раскрыть ветку (106)
42
Автор поста оценил этот комментарий
Есть таблицы хешей, и если юзер использовал пароль, хеш которого известен, его крякнуть труда нет
раскрыть ветку (70)
28
DELETED
Автор поста оценил этот комментарий

Соль и дополнительные методы модификации делают невозможными любые попытки расшифровки

раскрыть ветку (65)
11
Автор поста оценил этот комментарий
Конкретный пароль всё равно можно брутить. Все сразу оптом не сбрутишь, да, но по одному  - можно
раскрыть ветку (64)
49
DELETED
Автор поста оценил этот комментарий

Не зная алгоритма шифрования - нет, только перебором тыкаться в авторизацию.

Имеем пароль: Привет123

Меняем знаки местам рПвите213

Отражаем 312етивПр

Добавляем соль 3а1б2вегтдиевжПзр!

Делаем base64, который скажем шифруем самым простым ключем.

А потом загоняем в md5.

Получаем хеш, который не поддается брутфорсу. Можно упростить до соли и ключа. 

раскрыть ветку (56)
78
Автор поста оценил этот комментарий
Я ни хрена в этом не понимаю, но выглядит довольно круто.
раскрыть ветку (1)
4
Автор поста оценил этот комментарий

там написана устаревшая хрень, ничего крутого и безопасного там нет )

50
Автор поста оценил этот комментарий

Это называется безопасность через неясность, за такое ИБшники ссут на лицо.

раскрыть ветку (33)
19
Автор поста оценил этот комментарий

Они то, конечно, может и ссут, но я бы с удовольствием послушал нормальный вариант, от которого мне бы не пришлось отмываться

раскрыть ветку (25)
13
Автор поста оценил этот комментарий

Я перечитал всю ветку и не понял нормальный вариант чего ты ищешь, сорри) Перезадай вопрос и мб отвечу, насколько позволит квалификация

раскрыть ветку (22)
Автор поста оценил этот комментарий
раскрыть ветку (1)
2
Автор поста оценил этот комментарий
Хэш с солью реально помогает, особенно если соль индивидуальна. Но есть смысл и в том, чтобы иметь дополнительную статичную соль (или иной метод переёбывания паролей), зашитую в исходниках.


Зачем? Да для того, чтобы хакеры, которые у тебя спиздили базу, но не спиздили сорцы, пошли сосать хуи. Это не спасёт от всех атак, но от всех атак тебя ничего не спасёт, а риск того, что утечка базы выйдет тебе боком, это ощутимо уменьшает.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Всё верно. Только конкретно в исходниках тоже лучше не хранить. В современных решениях используют для этого .env файлы.

3
DELETED
Автор поста оценил этот комментарий

Я не силен в ИБ. Я вижу некоторые явные проблемы в безопасности в описанном алгоритме, но позвольте узнать - какой надежный метод защиты вы видете? Не основанный на каком-либо приватном ключе и/или шифре?

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Надежный метод защиты - это тот, который придумали не вы

Автор поста оценил этот комментарий

Презерватив при входе

1
DELETED
Автор поста оценил этот комментарий

KirAmp не совсем понял зачем все эти действия делаются, это защита от радужных таблиц (предрасчитанных хешей), иногда просто соли может быть недостаточно, делают модификации самого пароля по разным алгоритмам, которые выбираются по соли или даже по соли+паролю. Для такого радужные таблицы вообще нереально подготовить.

1
Автор поста оценил этот комментарий
Ну, я думаю, о том, что БД данных юзверей всяко должны быть ещё защищены просто умолчали.
7
Автор поста оценил этот комментарий

Шел 2018 год, люди по прежнему используют md5, facepalm :)

раскрыть ветку (1)
Автор поста оценил этот комментарий

угу, лохи, можно-же base64 юзать!

11
Автор поста оценил этот комментарий
А потом загоняем в md5.

md5, ага. Не используй md5 для паролей, вообще забудь, что он существует, когда безопасностью занимаешься.

раскрыть ветку (5)
1
Автор поста оценил этот комментарий

md5 вообще ни для чего не подходит, у него коллизии слишком вероятны

Автор поста оценил этот комментарий

Я уже старпер и подотстал, но что вы предлагаете взамен?

раскрыть ветку (3)
1
Автор поста оценил этот комментарий

BLOWFISH, SHA


если для примера PHP, то юзать это:

http://php.net/crypt

+ генерить соль нужного тебе вида (длина кеша разная будет)

раскрыть ветку (2)
5
Автор поста оценил этот комментарий

Для хэширования паролей используйте bcrypt, scrypt или argon2d, и не придумывайте своих "алгоритмов" – это не работает от слова "никак".

раскрыть ветку (3)
Автор поста оценил этот комментарий

bcrypt это типа blow, а scrypt - sha ?

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Нет, это совершенно отдельные криптографические функции, называемые "функциями формирования ключа" (KDF – key derivation function). В bcrypt частично используются элементы blowfish, но blowfish – это симметричное шифрование, так что у него совсем другое назначение. В scrypt используется HMAC-SHA256, но только в качестве одного из внутренних элементов.
Ещё раз, ни sha (любой длины), ни md5, ни любая другая хэш-функция не могут быть использованы для хэширования паролей – для этого есть специальные KDF функции.
Причём из-за закона Мура для новых пользователей нужно всё время повышать сложность их вычисления (благо эти функции позволяют задать некоторые параметры, связанные с ней).
DELETED
Автор поста оценил этот комментарий

Я на пальцах расказал, что хеш так просто не подобрать. Я не отбитый, чтобы считать себя умнее безопасников и математиков

5
Автор поста оценил этот комментарий
>Не зная алгоритма шифрования

Считается, что если увели базу, то алгоритм шифрования тоже скомпрометирован. Так-то да, можно хеши в базу, алгоритм в код, а соль в файл вообще куда-нибудь, но это головняк жуткий. Все современные фреймворки вообще хеш генерят вида "алгоритм:соль:хеш"

Автор поста оценил этот комментарий

какое гониво, а использовать BLOWFISH уже западло? про всякие там SHA256/512 не говорю уже... 2018 год, а он всё-ещё про md5 говорит.

* твой md5 дайт какой-то хеш, который вполне может совпасть с обычным паролем 123456 и пофигу что бы там накрутил со своим паролем - тебя пустят на 123456 ))

раскрыть ветку (2)
2
DELETED
Автор поста оценил этот комментарий

В первый раз я ответил на все эти вопросы, но сейчас уже начало напрягать. Я прекрасно знаю все проблемы md5, моего "подхода", но его все еще используют и достаточно активно. Я не давал инструкцию к действию, типа мануала по ИБ, а всего лишь привел пример, что по исключительно хешу от пароля, при условии предварительной обработки, нельзя сказать вообще ничего.


Типа спасибо, что поправляете, коллеги, а не просто шлете нахер, но все-таки читайте, что я пишу :-)

раскрыть ветку (1)
Автор поста оценил этот комментарий

ну суть комментариев - высказывать своё мнение... ты высказал, я высказал. всё норм.

Автор поста оценил этот комментарий

Ээм. Нахуя эта свистопляска? Эти переставлялки нихуя не усложняют взлом. (Матчасть в помощь)


Динамическая соль и bcrypt и не ебите мозги

3
DELETED
Автор поста оценил этот комментарий
раскрыть ветку (2)
4
DELETED
Автор поста оценил этот комментарий

Ну мы рассматриваем реальный мир, где md5 используется как панацея, и я на 100% уверен, что пикабу его и использовал. Что с солью на 90%.

раскрыть ветку (1)
Автор поста оценил этот комментарий

В реальном мире md5 не используется как панацея давно. Все современные криптографические api и тулкиты давно поменяли его на более стойкие хэши. md5 остался у тех, кто либо работает на софте 15-летней давности, либо у умельцев, которые сами его в свои программы захардкодили.

Автор поста оценил этот комментарий

Сколько времени потребуется на подбор 8значного пароля, если после каждой пятой попытки ограничивать доступ к аккаунту на 15 минут?

раскрыть ветку (4)
2
Автор поста оценил этот комментарий

1) Ты путаешь брутфорс на сайте с брутфорсом украденной базы

2) Блок никто не делает по очень простой причине - легальный юзер сам зайти никуда не сможет, если его брутят

раскрыть ветку (3)
Автор поста оценил этот комментарий

1. Я подразумевал вариант с базой, в которой лежат соленые пароли (прошу прощения, что забыл это отметить) и брут идет через авторизацию. Бессмысленно брутить базу, особенно если для каждого пользователя в ней своя соль.

2. Почему? Вот у меня кука авторизации в браузере стоит, злоумышленник брутит мой пароль с другого компа и получает отказ, при этом он не может залогиниться 15 минут, я же используя свою куку авторизации захожу нормально. Если это не какой-нибудь банковский аккаунт или админка какого-нибудь важного сайта, а развлекательный ресурс, цели заблокировать доступ к нему путем отказа в авторизации у злоумышленника нет. И да, судя по этому посту https://pikabu.ru/story/pochemu_myi_prosim_smenit_parol_5807... пикабу использует блокировку, так что про "никто не делает" вы погорячились.

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

>Бессмысленно брутить базу, особенно если для каждого пользователя в ней своя соль.


Почему? Поставил задачу, комп брутит. Внимания не привлекает. Взять top1000 словарных паролей, проверить всех юзеров. 0.1% вскроется - это уже ололо какой профит.


2) можно поставить скрипт, который будет пытаться логинится жертвой. У неё рано или поздно сдохнет кука, или понадобится зайти с другого устройства - и она не сможет этого сделать. Это плохо.

раскрыть ветку (1)
Автор поста оценил этот комментарий
И это конечно будут делать ради местного дяди Васи из второго подъезда
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Угнанные аккаунты продают пачками.

Накануне политических событий это хорошо заметно :)

1
Автор поста оценил этот комментарий

хрен чего ты крякнешь по таблице с соль + sha256, используемые последние лет 10. Не говоря про более надежный blowfish, используемый последние годы или более новый argon2.


md5 и sha1 с солью или без только совсем говнокодерами еще используются.

Автор поста оценил этот комментарий

современный пароли можно только брутить - их нельзя подобрать таблицей (как это было с md5) или расшифровать в оригинал

Автор поста оценил этот комментарий
Плюс сам хеш ещё шифруют обычно.
раскрыть ветку (1)
Автор поста оценил этот комментарий

кто его шифрует? нахрена?

слово "обычно" явно лишнее

4
Автор поста оценил этот комментарий

как вы долго расписывали шифрование)
Если пароль хранится просто в md5, то самые легкие, например 123456, qwerty и тд тп можно расшифровать на специальных ресурсах)
Нужно добавлять "соль" еще, например пару цифр, символов

раскрыть ветку (22)
8
Автор поста оценил этот комментарий

Он расписал хеширование. Оно != шифрование.

3
Автор поста оценил этот комментарий

Моей компетенции не хватает на лаконичное описание. Но вообще конечно, утечка даже хэшей облегчает работу злоумышленникам. Просто не делает ее за них.

Автор поста оценил этот комментарий
Да вряд ли в md5, скорее sha.
1
Автор поста оценил этот комментарий

и, насколько я помню, соль так же должна быть рандомной, иначе смысла в ней особо не будет. Если так, то не зря на пары ходил:D

ну а по теме, не думаю, что разработчики пикабу такие дауничи не смогли в шифрование)

раскрыть ветку (9)
1
Автор поста оценил этот комментарий

Наверное псевдорандомной, потому что как ты будешь потом генерировать хэш от введенного пользователем пароля не зная соли :D

1
Автор поста оценил этот комментарий

Рандомная соль это конечно хорошо, но ее тоже нужно где-то хранить, чтобы потом сравнивать хэши)) чаще всего соль хранится вместе с хэшем в одной таблице

раскрыть ветку (7)
1
Автор поста оценил этот комментарий
Смысл разной соли для каждого хеша в том, чтобы нельзя было брутфорсить за один проход сразу всю базу, зная алгоритм хеша и приклеивания соли. С рандомной солью придётся перебор для каждого пароля делать. Даже если соль в той же таблице хранить.
раскрыть ветку (2)
1
Автор поста оценил этот комментарий
но тем менее радужные таблицы пересчитать под конкретную соль не такая уж и непосильная задача) да, если соль каждый раз разная, то тогда эту операцию возможно придется проделывать много раз) но чаще всего злоумышленнику достаточно пароля админа, соответственно нужно провести эту операцию один раз))
раскрыть ветку (1)
Автор поста оценил этот комментарий

Пароль админа может быть нужен, если цель атаки сам сайт. Как мне кажется,

чаще пытаются собрать пары email - пароль, чтобы попробовать ломануть почту или продать доступы для создания армии ботов. Тут как раз профит для взломщика напрямую зависит от количества раскрытых паролей.

Автор поста оценил этот комментарий

Смысл соли не в защите от брутфорса, а в невозможности использовать предварительно посчитанные таблицы соответствий паролей и хэшей. Сам по себе брутфорс при наличии хэшей возможен всегда, только он очень малоэффективен.

Автор поста оценил этот комментарий

Либо соль генерируется на основе хэшируемой строки, что в принципе тоже будет хэш-функцией, как и любые другие модификации строки на ее же основе)

раскрыть ветку (2)
Автор поста оценил этот комментарий
для соли всякие URANDOM-ы есть
раскрыть ветку (1)
Автор поста оценил этот комментарий

При сливе все это раскручивается до основания и узнаются алгоритмы шифрования. Далее только брут настроить как надо и вперед.

DELETED
Автор поста оценил этот комментарий
Солёные тоже без особого труда расшифровываются.
раскрыть ветку (3)
1
Автор поста оценил этот комментарий

Только без соли хватило бы одной радужной таблицы, а с солью нужна радужная таблица для каждого юзера.

раскрыть ветку (2)
6
Автор поста оценил этот комментарий

наркоманы какие-то, обколюца своими солями и радужные таблицы смотрят

DELETED
Автор поста оценил этот комментарий
Для начала нужно выяснить какая соль используется :

неизменная или случайная. Неизменную вообще без проблем вычислить.

Случайная же  хранится вместе с хэшами, то-есть спиздят всё все равно.

А минусаторы могут и дальше верить в стойкость солёных хэшей, они стойки до поры, до времени.

DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
раскрыть ветку (4)
1
Автор поста оценил этот комментарий
Bf?
раскрыть ветку (3)
DELETED
Автор поста оценил этот комментарий
Комментарий удален. Причина: данный аккаунт был удалён
Автор поста оценил этот комментарий
Брут форс по видимому
Автор поста оценил этот комментарий

Blowfish

1
Автор поста оценил этот комментарий
Нет, ну по хорошему, никакой писака сайта, если что на месте его мозга реальное дерьмо не будет хранить пароль прямым текстом

VK, Mail.ru, Rambler, Sony, Yahoo, Forbes, Taobao, Brazzers, Comcast, Bell(дважды!) LinkedIn(хэш, но без соли, соцсеть профессионалов блин), Adobe(зашифрованы, но криво,подсказки в открытом тексте), Badoo(в md5, то есть, считай в открытом), LastFM(md5), Stratfor(md5), и т.д. google://PwnedWebsites

Автор поста оценил этот комментарий

Ну по-хорошему на один и тот же пароль, выход каждый раз разный будет, потому что генерится случайная соль. Такая возможность даже в PHP нативная

Автор поста оценил этот комментарий

Есть сайты, где при восстановлении пароля присылают одноразовую ссылку на пароль... Интересно там есть хоть какая нибудь защита паролей. Тот же юкоз как пример.

Автор поста оценил этот комментарий

Вроде как подобрать строку с таким же хешем проблем быть не должно. Другое дело, что эти хеши бесполезны, если ты хочешь попробовать открыть акк на другом сайте.

Автор поста оценил этот комментарий

У меня пароль - это фамилия в base64 + небольшая соль))

раскрыть ветку (3)
Автор поста оценил этот комментарий

Однократная «соль» — не гарантия от взлома. Лично я в алгоритмах использую как минимум трёхкратное шифрование с двойным, а то и тройным «солением».

раскрыть ветку (2)
7
Автор поста оценил этот комментарий

А потом оп, и на выходе коллизия с паролем «123456» =)

Так что нужно ещё выход прогонять через таблицы и повторно хэшировать при совпадении.

И все равно тупой юзер будет использовать дату своего рождения как пароль)

Автор поста оценил этот комментарий

По идее - это лишняя работа. В любом случае, если взлом производится брутфорсом - то есть такое условие, при котором данные на входе будут равны твоему трехкратному хэшу на выходе. Т.е., по сути, однократного шифрования достаточно. Если ты меня не понял - у меня пароль сам из себя представляет уже некий "хэш". Так как сайт-декодер всегда под рукой - я быстро хоть со смартфона (про комп уже молчу) могу сгенерить нужный мне пароль, при том что ключ очень прост.

2
Автор поста оценил этот комментарий

bcrypt вообще на одну и ту же строку входную каждый раз будет выдавать разный выходной результат

раскрыть ветку (3)
1
Автор поста оценил этот комментарий

Каким образом?

раскрыть ветку (2)
Автор поста оценил этот комментарий
Имеется ввиду реализация, которая автоматом генерит хэш, соль, добавляет несколько битов с настройками вроде количества проходов и вываливает результирующую строку.
Достаточно писать результат генерации в строку таблицы или документа и скармливать её и входящий пароль этой же реализации для проверки.
Автор поста оценил этот комментарий

это называется соль.

5
Автор поста оценил этот комментарий

1. Rainbow tables, cuda, вот это все говно

2. Вариант для мамкиных хакеров как я - забиваешь хеш в гугл просто :)

раскрыть ветку (1)
3
Автор поста оценил этот комментарий
Ни один вариант не прокатит, если использовать bcrypt, scrypt или argon2 в референсных реализациях или libsodium.
Безопасность – это такая штука, где выдумывая велосипед, пилишь сук на котором сидишь.
1
Автор поста оценил этот комментарий

Может, у тебя простой пароль? Пароли хранятся в хэшированном виде, а не в явном, но есть базы данных кэшей для простых паролей.

Автор поста оценил этот комментарий
А если мой акк на пикабу не привязан ни к чему ( гугл аккаунту или вк), то они все равно могут как-то использовать мой спизженный пароль или нет?
раскрыть ветку (4)
1
Автор поста оценил этот комментарий

Могут вместо тебя посты писать и плюсы получать

раскрыть ветку (2)
Автор поста оценил этот комментарий
по-вьетнамски?))))
раскрыть ветку (1)
Автор поста оценил этот комментарий
мне почему то кажется что это просто прокси. я  вот на д анный момент сижу на пикабу через францию германию и нидерланды. а на самом деле рязань
1
DELETED
Автор поста оценил этот комментарий

могут, если найдут именно пароль, а не коллизии при использовании хеш-функций.

еще им придется найти Ваши аккаунты.

и необходимо, чтобы пароли на сайтах были идентичны.

задача, довольно непростая, и если Вы не являетесь возможной целью атаки хакеров, Вам ни чего не угрожает.

в безопасности есть отличное правило суть которого можно вольно выразить как: сломать можно все, не становитесь целью, и будете в безопасности.

Автор поста оценил этот комментарий

шифровать можно по разному можно хешем sha 256 не солёным накрыть который по радужной таблице наебнут а можно скриптхешем который на цп пару секунд 1 попытка считается

Автор поста оценил этот комментарий

Есть хороший способ - взять основу пароля, которую знаешь наизусть, и прписывать к ней несколько букв по названию сайта

(например nagibator2009pikabu и nagibator2009vk и nagibaror2009mail)

Главное не делать как я - только одну букву брать (я когда решил это способ юзать ещё не проудмал всё хорошо), а то рано или поздно пойдут совпадения. Ещё из минусов - смена адреса сайта, но такое редко случается, так что можно и потерпеть.


Ну и маст хев - бумажка с паролями в сейфе.

раскрыть ветку (5)
1
Автор поста оценил этот комментарий

KeePass на удаленном сервере

Автор поста оценил этот комментарий

Никаких бумажек, только запоминать

раскрыть ветку (3)
1
Автор поста оценил этот комментарий

Тогда вы либо создаёте пароли низкой надёжности, либо сидите на малом кол-ве сайтов.
Даже если взять 50 сайтов, то при 16-символьном пароле получается что нам надо 800 рандомных символов запомнить.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Надеюсь ты в курсе, что рандомные пароли взламываются ничуть не хуже, чем осмысленные, но такой же длины. А разные "спецсимволы" нахуй не упёрлись, если ломать будут брутфорсом (а по другому и не реально). Так что если твой пароль не qwerty123 и подобные, а что-то придуманное самостоятельно, то можешь спать вполне спокойно.

И да, обычно на важные сайты ставятся нормальные уникальные пароли, а на разный шлак один и тот же, никак не связанный с остальными.

Так что не знаю кем нужно быть, чтоб ставить 16 рандомных символов и считать, что это надёжнее нескольких обычных слов такой длины.

Автор поста оценил этот комментарий

татуировка паролей внутри черепной коробки!

8
Автор поста оценил этот комментарий

Лол, такое ощущение,  что кто-то где-то кроме откровенных школьных поделок на коленке хранит пароли без хэширования.

раскрыть ветку (18)
9
Автор поста оценил этот комментарий

вы не поверите)
Приходилось поддерживать проекты, где пароли текстом в базе хранились. И таких было много.

раскрыть ветку (3)
5
Автор поста оценил этот комментарий

Пфффф

Иллюстрация к комментарию
Автор поста оценил этот комментарий
С одной стороны - понимаю необходимость комплексного подхода, с другой - если доступ к БД только с loopback, то при надежном хранении данных для доступа и правильной настройке этого доступа в систему можно попытаться обойтись. Если исключить XSS, конечно.
1
Автор поста оценил этот комментарий

Верю. Но это не про пикабу всё же ..

14
Автор поста оценил этот комментарий

В гос структурах такое достаточно часто, кстати. В нефтянке я как то вообще столкнулся с тем, что каждый клиент работает с базой напрямую, имея полный доступ к ней (тупо все под одним логином в бд работают, а авторизация типа только на клиенте)

1
Автор поста оценил этот комментарий
Например, магазин ozon.ru больше года не хотел менять систему хранения паролей уже после того как отовсюду полезли нехэшированные данные пользователей при ошибках в интерфейсе. Сейчас не знаю как там дела, но это был какой-то дичайший позор.
раскрыть ветку (3)
2
Автор поста оценил этот комментарий
Я помню как у меня пригорело, когда они мне мой пароль прислали в открытом виде при попытке восстановить.
Автор поста оценил этот комментарий

Ну а нах менять?
Это ж проблема пользователей, что их данные угнали, а не магазина.

раскрыть ветку (1)
Автор поста оценил этот комментарий
Ха. Ну они так и рассуждают.
Представьте ситуацию, что то же самое происходит с вашими банковскими данными: "Это не проблема банка, что ваши паспортные данные, номера карт и деньги ушли к мошенникам. Сорян, ребята, вы сами виноваты, что нам доверились."
Автор поста оценил этот комментарий

VK, Mail.ru, Rambler, Sony, Yahoo, Forbes, Taobao, Brazzers, Comcast, Bell(дважды!) LinkedIn(хэш, но без соли, соцсеть профессионалов блин), Adobe(зашифрованы, но криво,подсказки в открытом тексте), Badoo(в md5, то есть, считай в открытом), LastFM(md5), Stratfor(md5), и т.д. google://PwnedWebsites

Автор поста оценил этот комментарий

То, что в базе пароли хранятся в виде хешей не отменяет возможность этот самый пароль угнать. Например, ещё на пути к базе можно перехватить.

Автор поста оценил этот комментарий

А толку в хэшировании, если оно без соли?

раскрыть ветку (1)
Автор поста оценил этот комментарий

Соль сама собой подразумевается :)

Автор поста оценил этот комментарий

Да нет, школьник скорее возьмет готовый код, где дефолтная фича пхп будет, password_hash. (а пхп он будет использовать потому что проще всего и готового тоже дохера)

раскрыть ветку (3)
Автор поста оценил этот комментарий

Что плохого в пасвордхэш?

раскрыть ветку (1)
Автор поста оценил этот комментарий

А где там написано что это плохо?

Автор поста оценил этот комментарий

Сам по себе password_hash не несет ничего плохого. По сути это просто хеширование с парой встроенных фич. Но поскольку это "прсто хеширование" - оно не избавляет от всех остальных забот.

Автор поста оценил этот комментарий

Например, админ пикабу, постой-ка...

ПыСы: мне мобебаторы сказали что школьник не оскорбление так что...

1
Автор поста оценил этот комментарий
*теперь храним в зашифрованном виде
раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Да у вас и ник зашифрован.

2
Автор поста оценил этот комментарий

Меня тоже выкинуло сегодня из аккаунта Пикабу. Чую не в зашифрованном виде

раскрыть ветку (1)
Автор поста оценил этот комментарий
Я позавчера с мобильного тоже из ака вылетел
Автор поста оценил этот комментарий
Какой нафиг зашифрованный вид? Должна хранится хеш-сумма пароля и все
17
Автор поста оценил этот комментарий

Молодой человек, мы просто не можем войти в Ваш аккаунт на google.com, пожалуйста, смените свой пароль на pikabu.ru и мы ещё раз попробуем!

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

За молодого человека спасибо, конечно )))

62
Автор поста оценил этот комментарий

Не просто как дети, а ещё и крайне неуважительно к своим же пользователям относятся. Вместо того, чтобы рассказать, что именно произошло и чему может грозить, просто дают настоятельную рекомендацию сменить пароль.


Я тоже сегодня на телефоне обнаружил, что не залогинен, мне это показалось странным - никогда такого не было, но не насторожило.

Благо почта привязана такая, какую не жалко.


Кто авторизовался через сторонние сервисы и соцсети - за свои пароли на них не волнуйтесь - протокол авторизации OAuth для того и придуман, чтобы не передавать паролей от вашего вконтактика на пикабу ни в каком виде, даже зашифрованном.


Также нужно понимать, что если попытка взлома почты, описанная в посте, связана с угоном данных с Пикабу - пароли в базе сайта может и захэшированные, но вполне могут быть без "соли". А зашифрованный без соли хэш пароля во многих случаях находится по радужным таблицам, коих достаточно в сети.

раскрыть ветку (14)
72
DELETED
Автор поста оценил этот комментарий

Фразы, за которые двадцать лет назад вы бы угодили в психушку:

зашифрованный без соли хэш пароля во многих случаях находится по радужным таблицам, коих достаточно в сети.

Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
Иллюстрация к комментарию
раскрыть ветку (6)
9
Автор поста оценил этот комментарий

20 лет назад можно было угодить в психушку только за идею сделать фотографию телефоном

раскрыть ветку (1)
2
DELETED
Автор поста оценил этот комментарий

и отправить на другой конец света через сеть

14
Автор поста оценил этот комментарий

А я бы и сейчас в психушку отправил потому, что человек "зашифрованный" и "захэшированный" путает.

раскрыть ветку (3)
Автор поста оценил этот комментарий
Я вот тоже подумал, если зашифрованный, значит он всё-таки хранится на сайте
раскрыть ветку (2)
2
DELETED
Автор поста оценил этот комментарий

А теперь давайте то же самое с картинками!

Автор поста оценил этот комментарий

Такое тоже бывает.

13
Автор поста оценил этот комментарий
Был простой пароль.

@

Сменил на еще более простой.

@

Безопасность аккаунта - превыше всего!
11
Автор поста оценил этот комментарий

> Я тоже сегодня на телефоне обнаружил, что не залогинен, мне это показалось странным - > никогда такого не было, но не насторожило.


Аналогично, на телефоне разлогинило, сразу подумалось - во умные админы, вычислили мой ПК и разлогинили все кроме ПК. Значит использование угнанных аккаунтов все-таки имело место быть.

Ну после того как выявилась утечка паролей открытым текстом, все стало понятно - дырища в безопасности.

1
Автор поста оценил этот комментарий

нихеране понял, лет пять назад забыл пароль кяндекс ящику, который еще в 2010 завел. ответ на контрольныйвопрос помню но он сука неподходит... восстановить никак

раскрыть ветку (1)
3
Автор поста оценил этот комментарий
Такая история с аккаунтом battle net была недавно, забыл пароль, а ответ на контрольный вопрос не подходит, хотя точно его знаю, благо тех поддержка решила этот вопрос.
Автор поста оценил этот комментарий
Кто авторизовался через сторонние сервисы и соцсети - за свои пароли на них не волнуйтесь - протокол авторизации OAuth для того и придуман, чтобы не передавать паролей от вашего вконтактика на пикабу ни в каком виде, даже зашифрованном.

При этом у нас так же предупреждение о необходимости смены пароля, которое невозможно убрать... Ну, кроме адблока. :)

Автор поста оценил этот комментарий
Как же не волноваться, они же могли получить мой одноразовый токен через гейт!
Автор поста оценил этот комментарий

базу акков просрали как минимум месяц назад. В тот момент пошел массовый наплыв вбросовых постов с так называемых "консерв"

15
Автор поста оценил этот комментарий

Смахивает на то, что базу тупо продали. В рунете база мыл активных пользователей стоит не мало. На пикабу их миллионы, следовательно и сумма не малая. А чтобы не было вопросов, можно сделать интригу, типо взломали и украли. Чтобы потом не было вопросов, откуда моя почта у рассылки от ООО "Рога и копыта".

раскрыть ветку (11)
Автор поста оценил этот комментарий

Ну, пока на просторах что инета, что Даркнета базы нет.

раскрыть ветку (9)
1
Автор поста оценил этот комментарий

Уже хочешь купить акк L4revera?

раскрыть ветку (8)
4
Автор поста оценил этот комментарий

Не, зачем? Я б лучше аккаунт AliisaSelezneva взял))

раскрыть ветку (7)
2
Автор поста оценил этот комментарий

Члены на Пикабу нам не нужны

Автор поста оценил этот комментарий

А смысл? Она и так всё выкладывает на всеобщее обозрение. Лучше спереть логины и пароли @TeVa, и поискать личные архивы)

раскрыть ветку (5)
1
Автор поста оценил этот комментарий

все личные архивы у меня на внешнем жестком диске, ни как не подключенном к сети

раскрыть ветку (2)
Автор поста оценил этот комментарий

Ишь, предусмотрительная... >_>

раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Нас так в школе учили.


Да и пароли у меня на все разные. Пароль от пикабу не подойдет для вк, например.

Автор поста оценил этот комментарий

лол, это же вроде мужик)

раскрыть ветку (1)
Автор поста оценил этот комментарий

окстись

Автор поста оценил этот комментарий

О!

7
Автор поста оценил этот комментарий

Отлично, у меня ещё на паре сайтов попросили сменить пароль ВНЕЗАПНО на следующий день после пикабу. Совпадение-совпадение, скажет наш дорогой админ, пароли зашифрованы. И ведь ничего, сука, не предъявишь, если сами не сознаются. Бесит.

раскрыть ветку (2)
2
Автор поста оценил этот комментарий

У меня в VK вошли, одинаковые с Пикабу были. Я в итоге 2-х факторную аудентификацию сделал.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Значит и соль поперли и саму базу

43
Автор поста оценил этот комментарий

А не в этом дело. Они так с твинками борятся :) выявляют по паролю мультиакки, психологи, блин :)


А если серьезно, то они движок сменили и там шаблоны вылазят. Инфа стопроцентов.

раскрыть ветку (13)
21
Автор поста оценил этот комментарий
Не вылазят, а вылезают. Инфа 100%!
раскрыть ветку (1)
12
DELETED
Автор поста оценил этот комментарий

Вылазиют!

6
Автор поста оценил этот комментарий

какие шаблоны?

1
Автор поста оценил этот комментарий
А если серьезно, то они движок сменили и там шаблоны вылазят.

Звучит адекватнее всего, но чем грозит сохранение того же пароля?

7
Автор поста оценил этот комментарий
Дурачок, 100500 мультиаков им наоборот выгодны.
раскрыть ветку (7)
8
DELETED
Автор поста оценил этот комментарий
Тут думаю намек на успели был.
8
Автор поста оценил этот комментарий

100500 мультиаков не дает 100500 просмотров.

а хранить все эти данные надо где-то. невыгодно

раскрыть ветку (5)
2
Автор поста оценил этот комментарий

Их можно продать.

раскрыть ветку (4)
3
Автор поста оценил этот комментарий

Кому, админу?

раскрыть ветку (3)
19
Автор поста оценил этот комментарий
Скупка мультиакков, цветных металлов 8 800 555 35 35
раскрыть ветку (1)
6
Автор поста оценил этот комментарий

Продам гараж

4
Автор поста оценил этот комментарий

Людям, которым нужны аккаунты для политической активности.

Автор поста оценил этот комментарий

О кстати да. Я об этом не подумал.

6
Автор поста оценил этот комментарий

Могли быть не только хеши (есть куча ебанавтов которая таки хранит пароли плеинтекстом), и возможно многие сейчас офигивают от того, что хакают их почту, а с ней и что-то где есть деньги.

раскрыть ветку (3)
DELETED
Автор поста оценил этот комментарий

что такое плеинтекст?

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

plain text = просто текст

Автор поста оценил этот комментарий

plain text - открытым текстом

24
Автор поста оценил этот комментарий
Использование разных паролей на разных сайтах и двухфакторная аутентификация понизит уровень опасности. А так, с тобой согласен.
раскрыть ветку (19)
18
Автор поста оценил этот комментарий

Удобно сделать ключевую часть пароля и добавлять к ней 3-4 буквы названия сайта\сервиса.

раскрыть ветку (14)
31
DELETED
Автор поста оценил этот комментарий

Во-во, так рекомендовали делать. Как хацкер найдётся менее ленивый, угодит один пароль, догадается ,что в пароле passpik есть пароль и название сервиса, и понесётся душа в рай: passgoog, passmail, passpornhub, passkremlin, ой, кажется этот пароль не надо было угонять, куда вы меня ведёте!

раскрыть ветку (11)
1
Автор поста оценил этот комментарий
ну, на важных сайтах я еще заменяю часть названия сервиса цифрами) ну типа t = 7, a = 4
я надеюсь, так лучше))
раскрыть ветку (6)
16
Автор поста оценил этот комментарий
Давай уж сразу всю свою базу паролей: утро среды, а он тут ребусы загадывает. :)
раскрыть ветку (4)
4
Автор поста оценил этот комментарий

думаешь я помню свои пароли? трижды хаха х)

каждый раз лотерея

только от баттл.нет хорошо помню, очень уж часто инет вылетал :D

раскрыть ветку (3)
4
Автор поста оценил этот комментарий

Хммм, трижды хаха, это получается 6ха. У тебя а=4, значит получается 6х4...Кажется, я очень близок к разгадке

раскрыть ветку (2)
7
Автор поста оценил этот комментарий

6х4=24. Готово.

раскрыть ветку (1)
Автор поста оценил этот комментарий

Спасибро!

Автор поста оценил этот комментарий

Я на всех сайтах, кроме всяких форумах, на которых я ради одно-трёх постов захожу, генерирую случайный пароль от 16 символов и выше, если позволяет сервис ^_^

1
Автор поста оценил этот комментарий

У меня когда-то были пароли вида P@r0LotPik@buu4673, где 4673 - пин-код от старой кредитки. Но все равно запараноилась - принцип-то один и тот же для всех сайтов, поэтому теперь использую совершенно рандомные наборы символов, которые на всякий случай записаны на бумажке и лежат очень далеко. Можно сделать проще и, возможно, безопаснее, но почему-то не хочется.

Ну и двухфакторная аутентификация везде, где можно.

раскрыть ветку (1)
Автор поста оценил этот комментарий
А где бумажка лежит?
Автор поста оценил этот комментарий

можно md5 юзать
например:
1) newmitek - пароль
2) название сервиса pikabu
3) md5(newmitekpikabu) - юзать как пароль
MD5 считать в уме онлайн генераторов много

раскрыть ветку (1)
DELETED
Автор поста оценил этот комментарий

Главное, что никто не догадается, особенно теперь.

2
Автор поста оценил этот комментарий

Я именно и делаю, только боюсь, что по названиям сайта легко можно будет узнать концовку пароля, правда у меня и название не целиком, так что хацкеру ещё чутка придется подумать. =)

1
Автор поста оценил этот комментарий

Один пароль и домен в качестве соли тогда уж.

3
Автор поста оценил этот комментарий
О, кстати да.

Зашел на почту, по которой регил на Пикабу - "пошевелил там палочкой", а то как-бы за неиспользование почтовый акк не заблокировали))

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Я вообще с 10минутной почты зареган

раскрыть ветку (1)
Автор поста оценил этот комментарий
Не, у меня на той почте еще что-то висит, не очень важное...)
1
Автор поста оценил этот комментарий

Разные почты для не важных сайтов со спамом, акка стима и телефонов - это проще. Не нужно все яйца в одну корзину класть

19
Автор поста оценил этот комментарий

Гугел на двухфакторной, сбер тоже, всякие андроид пэй тем более, плюс отпечаток пальца, пароль от пикабу не помню, вхожу через гугел.


Рабочее всё через впн и с другого компа, плюс пароли все разные. Честно говоря, пусть ломают аккаунт, у меня его каждую пятницу ломают и говноедов всяких клеймят, мне потом стыдно даже...

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Во-во. Пусть ломают, админам пикабу какая печаль?

Автор поста оценил этот комментарий

Ага, а пароль от личного кабинета моб.номера?

4
Автор поста оценил этот комментарий

так админы бы хоть предупредили, чтобы мы сменили пароли заодно и на почте... отношение как к стаду.

3
Автор поста оценил этот комментарий
Кипеш в том, что у некоторых людей(таких как я) 2-3 пароля на все(есть уникумы которые вообще 1 пароль ставят на все что можно). Благо сейчас 21век(правильно?) на дворе и практически везде несколько этапная аутентификация. Аля подтверждение действия через девайс, СМС с кодом и т.д.
Но у кого все стандартно (логин/пароль) может вызвать много неудобств. Ясно к чему кипеш?
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку