Неизвестный опубликовал (http://arstechnica.com/security/2012/06/8-million-leaked-pas.../) на одном из ресурсов (http://insidepro.com) по совместному подбору паролей базу, в которой отражена информация об около 8 млн паролей. В опубликованных данных представлены SHA1-хэши паролей, не содержащие случайный salt, что упрощает словарный перебор.  Примечательно, что подключившиеся к процессу подбора паролей энтузиасты за сутки смогли подобрать к хэшам более половины паролей, а к настоящему времени неподобранными остаётся только около 1% от всех опубликованных хэшей.

Проанализировав представленные сведения, многие пользователи заметили, что в базе содержатся хэши уникальных несловарных паролей, используемых в только в социальной сети LinkedIn. В настоящее время администрация LinkedIn подтвердила (http://blog.linkedin.com/2012/06/06/linkedin-member-password.../) факт того, что некоторые из записей действительно связаны с аккаунтами в LinkedIn, но причина утечки пока не ясна (в LinkedIn около 150 млн зарегистрированных пользователей). Все аккаунты в LinkedIn, для которых были опубликованы данные о паролях, заблокированы, а их владельцам отправлено уведомление со ссылкой для генерации нового пароля. Дополнительно отмечается, что в опубликованной базе также были встречены хэши уникальных паролей от некоторых других популярных сервисов.

URL: http://arstechnica.com/security/2012/06/8-million-leaked-pas.../
Новость: http://www.opennet.me/opennews/art.shtml?num=34033

• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 11:30 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 12:18 , 07-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Тот самый аноним, 12:17 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,paulus, 12:22 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Необъективный_, 13:20 , 07-Июн-12
      • Крупнейшая утечка хэшей паролей, включающая пароли социально...,pavlinux, 15:06 , 07-Июн-12
        • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 19:19 , 07-Июн-12
          • Крупнейшая утечка хэшей паролей, включающая пароли социально...,pavlinux, 03:11 , 08-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,pavlinux, 15:04 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,bratsinot, 16:37 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,inv, 03:05 , 08-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Zenitur, 12:30 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Че, 13:01 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Zenitur, 13:20 , 07-Июн-12
      • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Buy, 17:34 , 07-Июн-12
        • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 18:10 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,meequz, 13:09 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Zenitur, 13:35 , 07-Июн-12
      • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Andrey Mitrofanov, 14:03 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 19:21 , 07-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 13:41 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 19:22 , 07-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Denis, 14:57 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,kazh, 15:07 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Михаил, 16:20 , 07-Июн-12
      • Крупнейшая утечка хэшей паролей, включающая пароли социально...,XoRe, 03:19 , 08-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,mma, 15:15 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 15:25 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 15:26 , 07-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 16:56 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,filosofem, 17:24 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 18:07 , 07-Июн-12
    • Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 18:09 , 07-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 19:23 , 07-Июн-12
• Крупнейшая утечка хэшей паролей, включающая пароли социально...,Аноним, 23:28 , 07-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,pavlinux, 03:14 , 08-Июн-12
  • Крупнейшая утечка хэшей паролей, включающая пароли социально...,XoRe, 03:21 , 08-Июн-12

> не содержащие случайный salt

Сеть профессионалов, да.

А они думали, что никто их не хакнет и ничего не утащит. Корпорасты такие наивные, если забыть о том, насколько им в самом деле чихать на своих пользователей. Хорошо хоть не в plaintext хранили, хотя хорошего мало - 99% паролей все равно подобрали

ну и какова вероятность вскрыть пароли?

Хакер Polimo сообщил, что уже подобрал 236 578 паролей из этой базы и продолжает работу
http://www.xakep.ru/post/58811/default.asp

Вот еще интересная ссылка: http://leakedin.org/
Проверил пару банальных паролей: iamgod, iloveyou, hitech, k.,jdm --- есть в базе.
Печально, что многие человеки не знают основ компьютерной безопасности.
Даже в "сети профессионалов"...

> Вот еще интересная ссылка: http://leakedin.org/
> Проверил пару банальных паролей: iamgod, iloveyou, hitech, k.,jdm --- есть в базе.

Пароля из одного пробела там нету, куль хацкеры, йопт. :D

Ага, ты еще пароль из 8 звездочек воткни :). Вот все обломаются.

> Ага, ты еще пароль из 8 звездочек воткни :). Вот все обломаются.

[ Your password was leaked and cracked. Sorry, friend. ] :)

> ну и какова вероятность вскрыть пароли?

50 на 50 - или вскроют или нет!

100%. Другое дело в том, чтобы перебрать возможные варианты требуется много времени.

Без соли? Считай 99.9% вскроются в ближайшее время.
Подсказка - ознакомиться тут: http://hashcat.net/oclhashcat-plus/

Не знал про этот сайт, спасибо за информацию. А я к BOINC-сети генерации хешей был подключен.

Но у них нет Linux-версии ПО! Почему тогда это на Опеннете?

Boinc-клиент под Linux есть (в убунту в репах лежит).

Я отдаю свои мощности другому проекту BOINC, http://project-rainbowcrack.com/ Их сайт предлагает только закрытые программы для Windows.

> Их сайт предлагает только закрытые программы для Windows

The latest version of RainbowCrack software is 1.5:

rainbowcrack-1.5-linux64.zip

Ubuntu 9.10 64-bit and later
Redhat Enterprise Linux 5.5 64-bit and later
openSUSE 11.3 64-bit and later

И х32 версия есть.

И ты туда же! "Их проект" проект в новости. А не тот, в котором я участвую.

Потому что это ОпенНет, а не ЛОР.

> Потому что это ОпенНет, а не ЛОР.

В какой части проект по ссылке является Опен? Или какой Опен проект пострадал? На ЛОР как раз и нет специализации на открытом ПО.

> В какой части проект по ссылке является Опен?

Они ОТКРЫВАЮТ хешированные пароли, утекшие в СЕТЬ. B)Смекаешь??

> Или какой Опен проект пострадал?

ОпеНЕТ: ни один пароль анонима не утечёт.

> Но у них нет Linux-версии ПО! Почему тогда это на Опеннете?

Слушай, чувак, SHA-1 можно вгрузить в такую штуку как hashkill например. Перцы с пачкой амдшных карт ликуют и с радостным гиканием вскрывают все подряд.

Интересный сервис, зарегистрировался.

P.S. Черные новости тоже реклама.

> Интересный сервис, зарегистрировался.

SHA1 пароля - в студию :)

да, все же в 2х фазной аутентификации как у гугла что-то есть. несколько не удобно, зато более безопасно.

Поэтому интернет банки с однофазной аутентификацией я посылаю лесом.

А такие есть? святсвятсвят.

> А такие есть? святсвятсвят.

Иногда по логину/паролю дают доступ на посмотреть.
А для любого действия (заплатить, перевести, и т.д.) уже нужно вводить одноразовый пароль.

Ну подберут хеш и что дальше, многие просто не заморачиваются с паролями на неважных сервисах.

Это только кулхацкеры тешатся что мы подобрали пароль по хэшу используя готовый софт.

А у многих одинаковые пароли на всех сервисах. Скажем так у МНОГИХ.

95%

Что за соль?

NaCl

https://ru.wikipedia.org/wiki/%D0%A1%D0%...)

Чёрт. Короче, статья "Соль (криптография)".

Профессионалы, вступайте в ряды профессионалов в профессиоальной социальной сети!

http://leakedin.org/ - прикольный, да. С его помощью собирут остатки не поддавшихся хешей - хозяева паролей сами их скажут.

> http://leakedin.org/ - прикольный, да. С его помощью собирут остатки не поддавшихся хешей
> - хозяева паролей сами их скажут.

А логин-то?  

... хотя, по отпечатку браузера можно заловить.

> http://leakedin.org/ - прикольный, да. С его помощью собирут остатки не поддавшихся хешей
> - хозяева паролей сами их скажут.

Слоган для сайта: "Мы сломали ещё не все пароли. Торопитесь проверить свой пароль!"