Разработчики хостинга открытого кода GitHub сообщили (https://github.com/blog/1698-weak-passwords-brute-forced) о выявлении массовой атаки по подбору паролей пользователей сервиса. Для обхода действующих ограничений по интенсивности попыток аутентификации в атаку было вовлечено более 40 тысяч уникальных IP-адресов. В результате атаки были определены параметры входа для некоторых аккаунтов, использующих типовые пароли или пароли, используемые на других сайтах.
Администраторы сервиса оперативно проанализировали вредоносную активность и заблокировали аккаунты, которые были явно скомпрометированы, использовали слабые пароли или для которых зафиксирована подозрительная активность (например, если вход был осуществлён с IP, для которого зафиксированы множественные неудачные попытки входа в другие аккаунты). Всем пользователям рекомендуется проанализировать последние подключения к GitHub на данной странице (https://github.com/settings/security) и усилить защиту через включение в настройках аккаунта двухфакторной аутентификации (http://www.opennet.me/opennews/art.shtml?num=37815) с использованием SMS.
Не исключается, что успешность атаки объясняется использованием для подбора паролей информация о сходных аккаунтах, полученной в результате недавних атак на Adobe (http://www.opennet.me/opennews/art.shtml?num=38077), MacRumors и vBulletin (http://www.opennet.me/opennews/art.shtml?num=38463).URL: http://arstechnica.com/security/2013/11/github-resets-user-p.../
Новость: http://www.opennet.me/opennews/art.shtml?num=38480
зачем?
и вправду у меня 4 неудавшихся подключений с левых айпи два-три дня назад
фиг вам
контра не пройдет
У меня такое же
Аж целых 6 раз ломились)
Ко мне 29 раз влезть пытались =)
Мне больше интересно откуда GitHub знает что такие же пароли как у них используются и на других сайтах>> были определены параметры входа для некоторых аккаунтов, использующих типовые пароли или пароли, используемые на других сайтах
если к аккаунту после нескольких попыток подбирается несловарный пароль, это значит что либо клиент пьян, либо пробуются его пароли на других ресурсах.
Зачем?
Чтобы все предоставили свои телефоны.
>усилить защиту через включение в настройках аккаунта двухфакторной аутентификации с использованием SMS..
А зачем предоставлять телефон для RFC6238?
Тут людям главное повозмущаться, наличие варианта с RFC6238 они стараются не замечать :-)
a day ago user.failed_login: Originated from 111.221.1.110
2 days ago user.failed_login: Originated from 180.180.121.101
2 days ago user.failed_login: Originated from 115.124.78.82
3 days ago user.failed_login: Originated from 186.91.110.236
3 days ago user.failed_login: Originated from 188.2.183.104
Такие дела.
user.login: Originated from 95.220.23.220
2 days ago user.failed_login: Originated from 190.203.209.98
2 days ago user.failed_login: Originated from 81.25.172.105
3 days ago user.failed_login: Originated from 201.209.185.94
3 days ago user.failed_login: Originated from 186.91.233.140
2 days ago user.failed_login: Originated from 61.164.101.16
2 days ago user.failed_login: Originated from 190.36.170.11
2 days ago user.failed_login: Originated from 180.166.69.1
3 days ago user.failed_login: Originated from 190.39.84.229
3 days ago user.failed_login: Originated from 186.90.220.141
3 days ago user.failed_login: Originated from 190.78.185.134
user.failed_login: Originated from 190.37.233.250
user.failed_login: Originated from 190.78.158.174
user.failed_login: Originated from 190.73.174.116
user.failed_login: Originated from 41.46.201.119
user.failed_login: Originated from 201.242.150.143
>с использованием SMS.Чего только не придумают лишь бы номер телефона узнать...
предложите дугой эффективный способ аутентификации?
Ключ, не?
Дороговато
Что дороговато? Сгенерировать RSA-/ECDSA-ключ?
> Что дороговато? Сгенерировать RSA-/ECDSA-ключ?ну может ему дорогова-то. может он по объявлению специалиста приглашает для этого, откуда мы знаем.
Они также умеют TOTP. Абсолютно стандартный, поддерживаемый кучей железок и приложений на все мыслимые смартфоны и операционки. Так что никаких проблем не давать номер телефона.
Заведи вторую симку... и вторую мобилу.. и купи их в другом городе на липовый паспорт
И помни - никаких билетов, никакого автостопа - ножками по лесу.
Не светись перед камерами и спутниками (действуй только во время дождя ибо зонт слабое место спутников).
Ещё лучше если всё это сделает за тебя неизвествестный чел. Вы не должны видеть друг друга.
Плати биткоинами.
Удачи!
> и купи их в другом городеА смысл? Сеть все-равно знает где ваш мобильный ошейник находится. Уж с точностью пятака в 500 метров вокруг соты - по любому. Так что, топай, бычок, и звени своим колокольцем. Чтоб пастухи были в курсе где ты.
> на липовый паспорт
> ваш мобильный ошейникчей "ваш"?
>> на липовый паспорт
>> ваш мобильный ошейник
> чей "ваш"?Твой. Так понятней?
сопоставление одновременного пребывания 2-х телефонов в одинаковых местах в даст возможность опознать реального владельца.
Омерике два небоскреба сожгла для поставить крест на частной жизни и развязать войну, а ты такие советы делаеш
дал им свой телефон, sms они не смогли отправить телефон конечно в формате +7... видать что то с их шлюзом нетого...
Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные для автоматизированного подбора, а самим владельцам запоминать их трудно.
Владельцам запоминать их необязательно. Для этого существуют менеджеры паролей.
Здравствуй хабрачеловек!
> Владельцам запоминать их необязательно. Для этого существуют менеджеры паролей.Ага, пускай АНБ запоминает.
В конце концов, за что "мы" "им" деньги платим!?
Последние лет тридцать широко известны методики придумывания мнемонических паролей, которые трудно подобрать и легко запомнить.
Давно пора не лениться придумать себе хоть один нормальный пароль, а не писать "SAMSUNG" по надписи на мониторе.
> методики придумывания мнемонических паролейapg?
> Последние лет тридцать широко известны методики придумывания мнемонических паролей, которые
> трудно подобрать и легко запомнить.
> Давно пора не лениться придумать себе хоть один нормальный пароль, а не
> писать "SAMSUNG" по надписи на мониторе.Легко сказать и сделать это, когда число запоминаемых паролей не превышает десяти. А если каждый второй сайт требует авторизации, чтобы была возможность пользоваться его услугами и не быть пассивным зрителем? Придумать хороший и устойчивый к взлому пароль, запомнить его — не велика задача. Проблема держать в голове несколько десятков, а то и сотен таких паролей. И дело тут не в лени, а в элементарной неспособности человека к запоминанию ничего незначащего "мусора", с которым работа алгоритмов подбора существенно затруднена.
В свое время не особо напрягаясь за пару недель натренировал себя на длительное(месяцы и годы) запоминание произвольной парольной комбинации из 10 символов с одного прочтения или диктовки. Так что не надо про неспособность человека к таким вещам. Другое дело, что большинству, включая и меня сейчас, лень таким заниматься.
К поступлению в шпионсую школу готовился?
Для такого надо значительно изнасиловать свои мозги, в частности вызывать стресс при запоминании. Да и все равно не верю, что даже через месяц ты их вспомнишь если заучил несколько и не повторял.
Абсолютно верно, даже странно, что кто-то еще реально этим интересуется. Не обязательно стресс, можно просто нечто очень необычное ассоциировать.
> Легко сказать и сделать это, когда число запоминаемых паролей не превышает десяти.пишешь в английской раскладке что-то вроде о1п2е3н4н5е6т7о8ч9к0и_"твоя парольная фраза для неважных сайтов из многознаков со спецсимволами" но так как набирать это влом, менеджеры паролей рулят (под мастер паролем естественно).
Если вам действительно требуется сотня РАЗНЫХ паролей - прибегайте к помощи компьютера.
Мне, например, хватает трех: пароль для сайтов, которые я админю, пароль для сайтов, взлом которых будет для меня неприятным и пароль для всех остальных сайтов.
> Мне, например, хватает трех: пароль для сайтов, которые я админю, пароль для
> сайтов, взлом которых будет для меня неприятным и пароль для всех
> остальных сайтов.http://www.opennet.me/openforum/vsluhforumID3/92754.html#62
(2-й коммент)
На практике это угрожает только третьему паролю.
Потому что сайты, на которых хранится действительно ценная информация, крайне редко позволяют засветить нетривиальный пароль даже при сливе базы.
В той атаке, о которой говорит эта новость, например, никто из пользователей с нетривиальным и не засвеченным ранее паролем не пострадал.
> Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные
> для автоматизированного подбора, а самим владельцам запоминать их трудно.Зачем их запоминать?
http://lastpass.com
Если не доверяете облакам, программа keepass.
И можно генерировать пароли из 16/24/32 символа, содержащие A-Za-z0-9 + всякие $%^&.
Автоматизированный подбор по словарю и брутфорсом отметаются сразу.
Остаются всякие коллизии и радужные таблицы, которые по сложности выбиваются из общего ряда.
>> Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные
>> для автоматизированного подбора, а самим владельцам запоминать их трудно.
> Зачем их запоминать?
> http://lastpass.com
> Если не доверяете облакам, программа keepass.У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?Молчел-к слыхал о резервном копировании информации?
Да, работает система "Omnia mea mecum porto".
Это зависит о того, хотите ли вы всегда иметь возможность восстановить все "прям щас", или готовы потерпеть часок.
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?а git это такая модная фишка, которой павлин троллит bsd. у меня вот профиль в git, ы?
>> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
> а git это такая модная фишка, которой павлин троллит bsd. у меня
> вот профиль в git, ы?Пяздить не мешки ворочать! Хотя,... онанизм вроде ещё не запрещали.
И чё, git push канешна по ключу, все это дело привязано к fanotify,
и при работе создаётся адский оверхед, ... Надеюсь репа на другом компе,
с тремя уровнями бэкапа?! И Мan-in-the-middle не пролезет! А ключи раз
в 180 дней пересоздаешь? А на сервер ключей экспортируешь? А отзываешь просроченные?
А сколиоз не мучает, а девок голых ваще видел, а то с таким конфигом кушать наверно некогда
:-P
Ну если самому себе мороку хочется - то можно и так, конечно. А если нужен результат - то раз в сутки по крону сваял и готово. результат (можно дополнительно зашифрованный, но зачем?) в гуглодрайв и дропбокс закинул (с открытым доступом для всех, понятно) - и готово. Скрипт пишется минут за 15 и работает потом абсолютно молча.У меня, правда, немного по-другому - без гита, grive + encfs + таки inotifywait, а в dropbox и еще в пару мест уже принудительно бекапится по крону. Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.
> Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.для паролей отдельная репа. внёс пароль - коммит на сервак. с описаловом. на серваке и репа и копия. руками описалово. некоторые записи - пояснения к ним только в описалове, или вообще понятны только мне, да. на случай попадания списка в чужие лапы: от чего что понятно будет в 10..30% случаев. ну и некоторое из того, что будет понятно - _нужно_, чтобы было понятно ;)
>> Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.
> для паролей отдельная репа. внёс пароль - коммит на сервак. с описаловом.
> на серваке и репа и копия. руками описалово. некоторые записи -
> пояснения к ним только в описалове, или вообще понятны только мне,
> да. на случай попадания списка в чужие лапы: от чего что
> понятно будет в 10..30% случаев. ну и некоторое из того, что
> будет понятно - _нужно_, чтобы было понятно ;)Вот поциент, жертва жита бэкапа http://www.opennet.me/openforum/vsluhforumID9/9787.html
> Вот поциент, жертва жита бэкапа http://www.opennet.me/openforum/vsluhforumID9/9787.html(пожимает плечами)
ай-ай-ай....
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?Вы не поверите)
Кстати, пароли в профиле хранятся без шифрования.
> Давно пора пользоваться электронными ключами.Ну да, парсить на автомате вывод кейлогеров - головняк. Вот готовый ключ спереть - это да. Проверено фрибсдшниками :).
Скоро роботы будут ломать репозитарии и улучшать в них код.
При чем именно фиксить баги, исправлять уязвимости :) Ты сделал мой день, бро!
> При чем именно фиксить баги, исправлять уязвимости :) Ты сделал мой день,
> бро!Делать полезное дело - менять слабые пароли на сильные :)
> Делать полезное дело - менять слабые пароли на сильные :)Ну а что, некоторые боты ботнетов вломившись в систему патчат дырку. Чтобы конкурентам не досталось.
Хм...
>> Администраторы сервиса <...> заблокировали аккаунты, которые <...> использовали слабые паролиОни что, устроили локальный брутфорс по своей базе паролей? Интересно, сколько вычислительной мощи для этого требуется.
Или они хранят атрибут "стойкость пароля", генерируемый в момент задания пароля?..
> Хм...
>>> Администраторы сервиса <...> заблокировали аккаунты, которые <...> использовали слабые пароли
> Они что, устроили локальный брутфорс по своей базе паролей? Интересно, сколько вычислительной
> мощи для этого требуется.
> Или они хранят атрибут "стойкость пароля", генерируемый в момент задания пароля?..Скорее второе.
Сделать банальный поиск по словарю много мощностей не надо.
> Сделать банальный поиск по словарю много мощностей не надо.В нормальных проектах, пароли обычно хешируют. Во много раундов (зачаствую в нестандартное число round-ов, типа "1238"), с солью, а иногда и со смещением (на каждый round)... Каким-нибудь хорошим алгоритмом, типа SHA2.
Даже всего один жалкий хеш будете ломать очень долго ;)
> Они что, устроили локальный брутфорс по своей базе паролей?Нет, они просто посмотрели по логам, на каких аккаунтах атака была успешной.
> Интересно, сколько вычислительной мощи для этого требуется.Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
Мне кажется, они взяли словари типа адобовского и хранят атрибут "номер слова в словаре".
> Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.Или мощь мозгов или просто наглость: расхакать 40К машин автоматически и отправить их воевать с покемонами. Единственное что при этом реально надо - умение прятаться, поскольку за такое искать будут и достаточно серьезно, скорее всего. И если найдут - таки дадут в чайник криминальныи законами.
>> Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
> Или мощь мозгов или просто наглость: расхакать 40К машин автоматическиРасскажете, как хакать автоматически?)
Гугл после нескольких неправильных паролей начинает показывать капчу, т.е. 2-3 неправильно ввел и все, брут форс останавливается. У этих неумех похоже такой элементарной защиты не было, если на какие-то аккаунты брут-форс все же сработал.
> Гугл после нескольких неправильных паролей начинает показывать капчу,Капча уже давно не помогает, её успешно ломают с использованием биороботов, посещающих порносайты - перед показом чего-либо предлагают ввести оттранслированную капчу.
> У этих неумех похоже такой элементарной защиты не было,
Их форсили по имеющейся базе паролей, т.е. сопоставляли аккаунты на GitHub с аккаунтами в сворованных базах, вероятность что это один и тот же пользователь и, что он использует одинаковый пароль на разных ресурсах достаточно велика.
> Капча уже давно не помогает, её успешно ломают с использованием биороботов, посещающих
> порносайты - перед показом чего-либо предлагают ввести оттранслированную капчу.Первый раз в жизни слышу про подобные веб-станицы. Главное, зачем, если ресурсов, не требующих подобные действия, более, чем достаточно? Да ни один крупный сайт, наверняка... Не попросит о подобном. Это даже звучит глупо.
значит ли это что они ранее взломали и нашли хоть один из моих паролей?
Фигасе, 29 попыток подключения. Кому мой полупустой аккаунт сдался?
> 29 попыток подключенияЛогина, то есть.
Это только для фото