Новый пароль должен отличаться от старого
Если в настройках безопасности в разделе "изменить пароль" в каждом из трех полей ввести одинаковые строки, появится сообщение "Новый пароль должен отличаться от старого" независимо от того, верный ли старый пароль указан. Не то, чтобы баг, но все-таки.
Вопрос сообществу ремонтеров.
У жены болталась старенькая мобила meizu m3 note. На ней был давно расфигачен экран, да и замена уже давно куплена была. Просто болталась в шкафу. И вот решено было его передать теще. Жена где то на митино отремонтировала экран за пару штук , все было норм, но после первого перезагруза там пароль. Попытки разборок мало что дали. Там был другой продавец "я-не-я-кобыла-не-моя". Нет, там готовы были решить проблему, но за дополнительные деньги.
Инструкции в инете мало что дали. Хард-ресет не помог, пароль остался. Перепрошивал на последние пару версии прошивок, на более ранние не решился.
(скептикам, чека нет, дело был давно, если уж особо интересно и проблему реально готовы решить, то могу попробовать поднять документы, покупал через бывшее место работы. Но есть коробка и фотки жены с ЭТИМ телефоном.)
Недоумение
Когда сам не хозяин своей странице
Запрос на восстановление пароля
Здравствуйте. Мой аккаунт заблокирован из-за скомпрометированного пароля. Как получить письмо с инструкциями и восстановить аккаунт?
Во Флориде год не проверяли покупателей оружия по базе ФБР потому что забыли пароль
На протяжении более года штат Флорида не проводил национальные проверки на десятки тысяч заявлений на разрешение на скрытое оружие, что потенциально позволяло наркоманам или людям с психическими заболеваниями носить огнестрельное оружие публично.
Отдел инспекции Генерального инспектора обнаружил, что в феврале 2016 года Департамент сельского хозяйства и бытового обслуживания Флориды прекратил использование базы данных о преступлениях ФБР под названием «Национальная система мгновенного уголовного контроля», которая гарантирует, что заявители, которые хотят носить оружие, не имеют дисквалифицирующей истории в других государствах.
Тревогу забили, когда обнаружили, что с февраля 2016 г. по март 2017 г. никто не входил в базу правонарушений, чтобы проверить потенциального покупателя. При этом лицензии в штате выдавались исправно — порядка 270 тысяч. Надо заметить, что за этот год во Флориде случилось два массовых расстрела: в школе и в ночном клубе, что спровоцировало рост оружейных покупок.
Согласно расследованию, только два сотрудника департамента регулярно работали с базой данных ФБР.
Наша героиня — Лиза Вайлд (Lisa Wilde) и руководитель почтовой службы, который вообще не имел обучения (читай, сертификации) по работе с этой базой.
Лиза прекратила использовать базу данных в 2016 году. Сорок дней она думала, после чего сообщила, что — Хьюстон, у нас проблемы — в департамент правопорядка Флориды.
Ну как сообщила, она не стала искать конкретного человека, а просто отправила письмо на общий ящик программы покупки огнестрельного оружия департамента. Ее письмо какое-то время поплутало и таки попало к человеку, который мог решить ее проблему. В итоге, в ответе на ей сообщили, что Лиза использует неправильный логин.
На письмо Лиза уже не ответила.
Собственно, как утверждает сотрудник, которому попал запрос, он пытался до нее дозвониться, но Лиза трубку не брала.
Так прошел год. Каких-то новых попыток решить проблему от Лизы тоже не зафиксировано.
Ну и самое интересное: когда у Лизы спросили — а какого, собственно черта? — она ответила, что когда ей давали доступ к базе, она работала в почтовом отделении Министерства сельского хозяйства (собственно это тот самый департамент, который дает разрешение) и до сих пор не понимает, почему она вдруг стала ответственна за это?
Что же в итоге. Несмотря на довольно большой объем заявок, как пишет взволнованная администрация, после тщательного расследования всех заявлений за “тихий год” настоящий проверки по базе потребовало только 365 штук. Однако волнения были не напрасны — почти все их них (291 штук) пришлось отменить.
Угнали аккаунт ВК/ОК/и т.д. кто виноват?
Тема уже далеко не новая - сидит человек никого не трогает и оказывается, что его аккаунт украли и [много нехорошего].
Итак, оставив моральную сторону (не забывая, что взлом - уголовное преступление) обратимся к технической стороне. Получение пароля к сайту в основном происходит (доли могут сказать только люди которые этим занимаются). Итак сперва капля теории:
Ресурс запрашивает у пользователя логин и пароль. Если авторизация прошла успешно - выдаётся некоторый ключ (токен). Звиздёж про особо хитрые сессии (особенно от свидетелей PHP, Java, .NET) не катит - данные бинарные и без потерь копируются. Итак:
- Через админов и CMS. Чтобы нагнуть ресурс достаточно ломануть админскую учётку или CMS, база всех пользователей сливается за секунды в автоматическом режиме. Далее два пути - строчка отправляющая учётные данные на сервер взломщика или зная правила формирования хеша - радужные таблицы. Все простые пароли ломаются моментально, особенно если для расчёта хешей использовать ресурсы ботнетов или... фермы для майнинга. Это значит, что пары логин/пароль которые использовались на данном сайте будут автоматом использованы везде где только можно в т.ч. и в соцсетях.
- поддельные сайты. Дизайн абсолютно любого сайта копируется за минуту специальным софтом. Далее десятками способов пользователь перенаправляется на фейковый сайт и отдаёт учётные данные взломщикам. Контролировать адресную строку никто не заморачивается, а правильное перенаправление идеально маскирует поддельную страницу.
- браузеры и "левый" софт - от пиратских винды и офиса до карточной игрушки. Многие пользователи "экономят" и качают софт откуда попало. Добавить пару сотен байт и чутка поправить исходник - и данные с компа потекут куда им укажут.
- расширения для браузера. Почти все расширения имеют возможность читать страницы. Логины и пароли в том числе, особенно популярны дополнения "режущие" рекламу.
- игры в соцсетях. Игры и приложения социальных сетей можно использовать для доступа к перепискам без знания логина и пароля.
- не официальные мессенджеры соцсетей. Аналогично играм - при их использовании передаются логины и пароли.
- левые библиотеки на сайтах. В наш век лени веб-программисты любят фигачить тонны библиотек в свои прожекты. Затащить в зависимость троян - получаем контроль над ресурсом. Минимальный троян для веба - десяток символов, которые легко спрятать в сотнях страниц кода.
- сторонний код. От прошлого отличается тем, что вместо включения кода оставляется ссылка на сторонний ресурс (например, CDN) и если ресурс взламывают...
- подмена DNS. Трафик сайта идёт на другой сервер и с небольшой магией...
- прослушка трафика. При неправильной настройке систем безопасности можно получить доступ к незашифрованному трафику. Логины, пароли и токены просто копируются. Причём уязвимым может быть любое устройство между пользователем и сервером.
- использование чужого устройства. Всегда есть риск, что рабочий комп или комп друга уже заражены...
- вирусы. Тут всё понятно думаю.
Если тема интересна - на выходных опишу защиту.
Для идентификации пользователей предложили использовать «мозговые пароли»
Американские исследователи предложили использовать для идентификации пользователей «мозговые пароли» — волны, которые испускаются разными областями мозга в ответ на картинки-стимулы. Эти биометрические данные уникальны для каждого человека, как отпечатки пальцев, но в отличие от отпечатков, их невозможно подделать и легко заменить.