Правда о смене паролей⁠⁠

Молодой человек, мы просто не можем войти в Ваш аккаунт на google.com, пожалуйста, смените свой пароль на pikabu.ru и мы ещё раз попробуем!

Не просто как дети, а ещё и крайне неуважительно к своим же пользователям относятся. Вместо того, чтобы рассказать, что именно произошло и чему может грозить, просто дают настоятельную рекомендацию сменить пароль.

Я тоже сегодня на телефоне обнаружил, что не залогинен, мне это показалось странным - никогда такого не было, но не насторожило.

Благо почта привязана такая, какую не жалко.

Кто авторизовался через сторонние сервисы и соцсети - за свои пароли на них не волнуйтесь - протокол авторизации OAuth для того и придуман, чтобы не передавать паролей от вашего вконтактика на пикабу ни в каком виде, даже зашифрованном.

Также нужно понимать, что если попытка взлома почты, описанная в посте, связана с угоном данных с Пикабу - пароли в базе сайта может и захэшированные, но вполне могут быть без "соли". А зашифрованный без соли хэш пароля во многих случаях находится по радужным таблицам, коих достаточно в сети.

Смахивает на то, что базу тупо продали. В рунете база мыл активных пользователей стоит не мало. На пикабу их миллионы, следовательно и сумма не малая. А чтобы не было вопросов, можно сделать интригу, типо взломали и украли. Чтобы потом не было вопросов, откуда моя почта у рассылки от ООО "Рога и копыта".

Отлично, у меня ещё на паре сайтов попросили сменить пароль ВНЕЗАПНО на следующий день после пикабу. Совпадение-совпадение, скажет наш дорогой админ, пароли зашифрованы. И ведь ничего, сука, не предъявишь, если сами не сознаются. Бесит.

А не в этом дело. Они так с твинками борятся :) выявляют по паролю мультиакки, психологи, блин :)

А если серьезно, то они движок сменили и там шаблоны вылазят. Инфа стопроцентов.

Могли быть не только хеши (есть куча ебанавтов которая таки хранит пароли плеинтекстом), и возможно многие сейчас офигивают от того, что хакают их почту, а с ней и что-то где есть деньги.

Использование разных паролей на разных сайтах и двухфакторная аутентификация понизит уровень опасности. А так, с тобой согласен.

Гугел на двухфакторной, сбер тоже, всякие андроид пэй тем более, плюс отпечаток пальца, пароль от пикабу не помню, вхожу через гугел.

Рабочее всё через впн и с другого компа, плюс пароли все разные. Честно говоря, пусть ломают аккаунт, у меня его каждую пятницу ломают и говноедов всяких клеймят, мне потом стыдно даже...

так админы бы хоть предупредили, чтобы мы сменили пароли заодно и на почте... отношение как к стаду.

Кипеш в том, что у некоторых людей(таких как я) 2-3 пароля на все(есть уникумы которые вообще 1 пароль ставят на все что можно). Благо сейчас 21век(правильно?) на дворе и практически везде несколько этапная аутентификация. Аля подтверждение действия через девайс, СМС с кодом и т.д.
Но у кого все стандартно (логин/пароль) может вызвать много неудобств. Ясно к чему кипеш?

У меня в этот же день угнали акк Аэрофлота, хз кому он может быть нужен. Так что слив был инфа 100. Ну или невероятное совпадение.

https://pikabu.ru/story/pochemu_myi_prosim_smenit_parol_5807...

Сори что под топом. Но, вчера не только Пикабушечка предложила сменить пароль. Пришло 2-3 письма с разных ресурсов. Например Комус даже не предложил сменить пароль, а просто сбросил его сам. Возможно это заговор, но это не точно.

Простите, а что они должны сказать?

Ну угнали базу с мэйлами, и что? Пусть даже с хэшами паролей угнали.

Если хеши не солили, то теперь они знают пароли. И, судя по всему, их не солили.

Как смена пароля понизит уровень опасности взлома?

Ломать будут используя старый пароль из украденной базы. Поменяешь пароль - вектор атаки потерян.

Смущает меня в твоем комменте только слово хэш, к автору поста в почту ломились, а это значит, что пробовали нехешированный пароль от пикабу к почте применить, как я понял :/ а у многих они совпадают.

Долой Путина

Лан, я действительно не понимаю. А нахрена вообще указывать почту при реге или в настройках? Я лично для авторизации использую логин(ник) и простейший пароль, в самом аккаунте при этом нет ничего, кроме кучи сохраненных постов с рецептами, которыми я никогда не воспользуюсь. Кто в здравом уме будет указывать реальные данные на развлекательном ресурсе с сомнительной безопасностью?

И правда. @admin, почему не было поста о этом?

А кто тебе сказал что пароли вообще хранились в зашифрованном виде?