| |
| 2.3, танки в париже (?), 19:15, 20/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
и вправду у меня 4 неудавшихся подключений с левых айпи два-три дня назад
фиг вам
контра не пройдет
| | |
| 2.20, Аноним (-), 20:50, 20/11/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Мне больше интересно откуда GitHub знает что такие же пароли как у них используются и на других сайтах
>> были определены параметры входа для некоторых аккаунтов, использующих типовые пароли или пароли, используемые на других сайтах | | |
| |
| 3.39, Pilat (ok), 00:04, 21/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 если к аккаунту после нескольких попыток подбирается несловарный пароль, это значит что либо клиент пьян, либо пробуются его пароли на других ресурсах.
| | |
|
| 2.25, ананим (?), 21:25, 20/11/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
Зачем?
Чтобы все предоставили свои телефоны.
>усилить защиту через включение в настройках аккаунта двухфакторной аутентификации с использованием SMS.
.
| | |
| |
| |
| 4.50, Crazy Alex (ok), 03:10, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Тут людям главное повозмущаться, наличие варианта с RFC6238 они стараются не замечать :-)
| | |
|
|
|
| 1.2, Аноним (-), 19:14, 20/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
a day ago user.failed_login: Originated from 111.221.1.110
2 days ago user.failed_login: Originated from 180.180.121.101
2 days ago user.failed_login: Originated from 115.124.78.82
3 days ago user.failed_login: Originated from 186.91.110.236
3 days ago user.failed_login: Originated from 188.2.183.104
Такие дела.
| | |
| |
| 2.4, танки в париже (?), 19:17, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
user.login: Originated from 95.220.23.220
2 days ago user.failed_login: Originated from 190.203.209.98
2 days ago user.failed_login: Originated from 81.25.172.105
3 days ago user.failed_login: Originated from 201.209.185.94
3 days ago user.failed_login: Originated from 186.91.233.140
| | |
| |
| 3.26, pavlinux (ok), 22:10, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 2 days ago user.failed_login: Originated from 61.164.101.16
2 days ago user.failed_login: Originated from 190.36.170.11
2 days ago user.failed_login: Originated from 180.166.69.1
3 days ago user.failed_login: Originated from 190.39.84.229
3 days ago user.failed_login: Originated from 186.90.220.141
3 days ago user.failed_login: Originated from 190.78.185.134
| | |
| |
| 4.44, Сталин (?), 01:37, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
user.failed_login: Originated from 190.37.233.250
user.failed_login: Originated from 190.78.158.174
user.failed_login: Originated from 190.73.174.116
user.failed_login: Originated from 41.46.201.119
user.failed_login: Originated from 201.242.150.143
| | |
|
|
|
| 1.6, A.Stahl (?), 19:23, 20/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– | |
>с использованием SMS.
Чего только не придумают лишь бы номер телефона узнать...
| | |
| |
| |
| |
| |
| |
| 6.75, Куяврик (?), 12:01, 23/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Что дороговато? Сгенерировать RSA-/ECDSA-ключ?
ну может ему дорогова-то. может он по объявлению специалиста приглашает для этого, откуда мы знаем.
| | |
|
|
|
|
| 2.31, Crazy Alex (ok), 22:32, 20/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Они также умеют TOTP. Абсолютно стандартный, поддерживаемый кучей железок и приложений на все мыслимые смартфоны и операционки. Так что никаких проблем не давать номер телефона.
| | |
| 2.34, hitode (ok), 22:35, 20/11/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
 Заведи вторую симку... и вторую мобилу.. и купи их в другом городе на липовый паспорт
И помни - никаких билетов, никакого автостопа - ножками по лесу.
Не светись перед камерами и спутниками (действуй только во время дождя ибо зонт слабое место спутников).
Ещё лучше если всё это сделает за тебя неизвествестный чел. Вы не должны видеть друг друга.
Плати биткоинами.
Удачи!
| | |
| |
| 3.46, Аноним (-), 02:27, 21/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> и купи их в другом городе
А смысл? Сеть все-равно знает где ваш мобильный ошейник находится. Уж с точностью пятака в 500 метров вокруг соты - по любому. Так что, топай, бычок, и звени своим колокольцем. Чтоб пастухи были в курсе где ты.
| | |
| |
| |
| 5.72, Гость (?), 22:56, 22/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> на липовый паспорт
>> ваш мобильный ошейник
> чей "ваш"?
Твой. Так понятней?
| | |
|
|
| 3.60, noname 001 (?), 10:55, 21/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
сопоставление одновременного пребывания 2-х телефонов в одинаковых местах в даст возможность опознать реального владельца.
| | |
| 3.63, Аноним (-), 12:03, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Омерике два небоскреба сожгла для поставить крест на частной жизни и развязать войну, а ты такие советы делаеш
| | |
|
| 2.59, noname 001 (?), 10:40, 21/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
дал им свой телефон, sms они не смогли отправить телефон конечно в формате +7... видать что то с их шлюзом нетого...
| | |
|
| 1.7, iZEN (ok), 19:33, 20/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные для автоматизированного подбора, а самим владельцам запоминать их трудно.
| | |
| |
| 2.8, Слушатель (?), 19:36, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Владельцам запоминать их необязательно. Для этого существуют менеджеры паролей.
| | |
| |
| 3.27, pavlinux (ok), 22:12, 20/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Владельцам запоминать их необязательно. Для этого существуют менеджеры паролей.
Ага, пускай АНБ запоминает.
| | |
|
| 2.15, тоже Аноним (ok), 20:08, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 Последние лет тридцать широко известны методики придумывания мнемонических паролей, которые трудно подобрать и легко запомнить.
Давно пора не лениться придумать себе хоть один нормальный пароль, а не писать "SAMSUNG" по надписи на мониторе.
| | |
| |
| 3.18, iZEN (ok), 20:24, 20/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Последние лет тридцать широко известны методики придумывания мнемонических паролей, которые
> трудно подобрать и легко запомнить.
> Давно пора не лениться придумать себе хоть один нормальный пароль, а не
> писать "SAMSUNG" по надписи на мониторе.
Легко сказать и сделать это, когда число запоминаемых паролей не превышает десяти. А если каждый второй сайт требует авторизации, чтобы была возможность пользоваться его услугами и не быть пассивным зрителем? Придумать хороший и устойчивый к взлому пароль, запомнить его — не велика задача. Проблема держать в голове несколько десятков, а то и сотен таких паролей. И дело тут не в лени, а в элементарной неспособности человека к запоминанию ничего незначащего "мусора", с которым работа алгоритмов подбора существенно затруднена.
| | |
| |
| 4.36, angra (ok), 22:39, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 В свое время не особо напрягаясь за пару недель натренировал себя на длительное(месяцы и годы) запоминание произвольной парольной комбинации из 10 символов с одного прочтения или диктовки. Так что не надо про неспособность человека к таким вещам. Другое дело, что большинству, включая и меня сейчас, лень таким заниматься.
| | |
| |
| 5.37, Аноним (-), 23:51, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
К поступлению в шпионсую школу готовился?
Для такого надо значительно изнасиловать свои мозги, в частности вызывать стресс при запоминании. Да и все равно не верю, что даже через месяц ты их вспомнишь если заучил несколько и не повторял.
| | |
| |
| 6.71, неаноним (?), 05:24, 22/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Абсолютно верно, даже странно, что кто-то еще реально этим интересуется. Не обязательно стресс, можно просто нечто очень необычное ассоциировать.
| | |
|
|
| 4.38, Аноним (-), 23:53, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Легко сказать и сделать это, когда число запоминаемых паролей не превышает десяти.
пишешь в английской раскладке что-то вроде о1п2е3н4н5е6т7о8ч9к0и_"твоя парольная фраза для неважных сайтов из многознаков со спецсимволами" но так как набирать это влом, менеджеры паролей рулят (под мастер паролем естественно).
| | |
| 4.55, тоже Аноним (ok), 08:50, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Если вам действительно требуется сотня РАЗНЫХ паролей - прибегайте к помощи компьютера.
Мне, например, хватает трех: пароль для сайтов, которые я админю, пароль для сайтов, взлом которых будет для меня неприятным и пароль для всех остальных сайтов.
| | |
| |
| |
| 6.65, тоже Аноним (ok), 12:48, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
На практике это угрожает только третьему паролю.
Потому что сайты, на которых хранится действительно ценная информация, крайне редко позволяют засветить нетривиальный пароль даже при сливе базы.
В той атаке, о которой говорит эта новость, например, никто из пользователей с нетривиальным и не засвеченным ранее паролем не пострадал.
| | |
|
|
|
|
| 2.21, XoRe (ok), 20:53, 20/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные
> для автоматизированного подбора, а самим владельцам запоминать их трудно.
Зачем их запоминать?
http://lastpass.com
Если не доверяете облакам, программа keepass.
И можно генерировать пароли из 16/24/32 символа, содержащие A-Za-z0-9 + всякие $%^&.
Автоматизированный подбор по словарю и брутфорсом отметаются сразу.
Остаются всякие коллизии и радужные таблицы, которые по сложности выбиваются из общего ряда.
| | |
| |
| 3.28, pavlinux (ok), 22:13, 20/11/2013 [^] [^^] [^^^] [ответить]
| –5 +/– |
>> Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные
>> для автоматизированного подбора, а самим владельцам запоминать их трудно.
> Зачем их запоминать?
> http://lastpass.com
> Если не доверяете облакам, программа keepass.
У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
| | |
| |
| 4.30, myhand (ok), 22:32, 20/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
Молчел-к слыхал о резервном копировании информации?
| | |
| |
| |
| 6.69, myhand (ok), 15:26, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Это зависит о того, хотите ли вы всегда иметь возможность восстановить все "прям щас", или готовы потерпеть часок.
| | |
|
|
| 4.35, Куяврик (?), 22:36, 20/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
а git это такая модная фишка, которой павлин троллит bsd. у меня вот профиль в git, ы?
| | |
| |
| 5.41, pavlinux (ok), 00:11, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
> а git это такая модная фишка, которой павлин троллит bsd. у меня
> вот профиль в git, ы?
Пяздить не мешки ворочать! Хотя,... онанизм вроде ещё не запрещали.
И чё, git push канешна по ключу, все это дело привязано к fanotify,
и при работе создаётся адский оверхед, ... Надеюсь репа на другом компе,
с тремя уровнями бэкапа?! И Мan-in-the-middle не пролезет! А ключи раз
в 180 дней пересоздаешь? А на сервер ключей экспортируешь? А отзываешь просроченные?
А сколиоз не мучает, а девок голых ваще видел, а то с таким конфигом кушать наверно некогда
:-P
| | |
| |
| 6.42, Crazy Alex (ok), 00:50, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Ну если самому себе мороку хочется - то можно и так, конечно. А если нужен результат - то раз в сутки по крону сваял и готово. результат (можно дополнительно зашифрованный, но зачем?) в гуглодрайв и дропбокс закинул (с открытым доступом для всех, понятно) - и готово. Скрипт пишется минут за 15 и работает потом абсолютно молча.
У меня, правда, немного по-другому - без гита, grive + encfs + таки inotifywait, а в dropbox и еще в пару мест уже принудительно бекапится по крону. Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.
| | |
| |
| 7.74, Куяврик (?), 12:00, 23/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.
для паролей отдельная репа. внёс пароль - коммит на сервак. с описаловом. на серваке и репа и копия. руками описалово. некоторые записи - пояснения к ним только в описалове, или вообще понятны только мне, да. на случай попадания списка в чужие лапы: от чего что понятно будет в 10..30% случаев. ну и некоторое из того, что будет понятно - _нужно_, чтобы было понятно ;)
| | |
|
|
|
| 4.76, XoRe (ok), 02:46, 24/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
Вы не поверите)
Кстати, пароли в профиле хранятся без шифрования.
| | |
|
|
| 2.47, Аноним (-), 02:28, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Давно пора пользоваться электронными ключами.
Ну да, парсить на автомате вывод кейлогеров - головняк. Вот готовый ключ спереть - это да. Проверено фрибсдшниками :).
| | |
|
| |
| 2.11, Аноним (-), 19:48, 20/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
При чем именно фиксить баги, исправлять уязвимости :) Ты сделал мой день, бро!
| | |
| |
| 3.22, XoRe (ok), 20:54, 20/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
> При чем именно фиксить баги, исправлять уязвимости :) Ты сделал мой день,
> бро!
Делать полезное дело - менять слабые пароли на сильные :)
| | |
| |
| 4.48, Аноним (-), 02:29, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Делать полезное дело - менять слабые пароли на сильные :)
Ну а что, некоторые боты ботнетов вломившись в систему патчат дырку. Чтобы конкурентам не досталось.
| | |
|
|
|
| 1.10, Alatar (ok), 19:42, 20/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Хм...
>> Администраторы сервиса <...> заблокировали аккаунты, которые <...> использовали слабые пароли
Они что, устроили локальный брутфорс по своей базе паролей? Интересно, сколько вычислительной мощи для этого требуется.
Или они хранят атрибут "стойкость пароля", генерируемый в момент задания пароля?..
| | |
| |
| 2.12, антон (??), 19:51, 20/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Хм...
>>> Администраторы сервиса <...> заблокировали аккаунты, которые <...> использовали слабые пароли
> Они что, устроили локальный брутфорс по своей базе паролей? Интересно, сколько вычислительной
> мощи для этого требуется.
> Или они хранят атрибут "стойкость пароля", генерируемый в момент задания пароля?..
Скорее второе.
| | |
| |
| 3.67, Xaionaro (ok), 14:59, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Сделать банальный поиск по словарю много мощностей не надо.
В нормальных проектах, пароли обычно хешируют. Во много раундов (зачаствую в нестандартное число round-ов, типа "1238"), с солью, а иногда и со смещением (на каждый round)... Каким-нибудь хорошим алгоритмом, типа SHA2.
Даже всего один жалкий хеш будете ломать очень долго ;)
| | |
|
| 2.16, тоже Аноним (ok), 20:11, 20/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Они что, устроили локальный брутфорс по своей базе паролей?
Нет, они просто посмотрели по логам, на каких аккаунтах атака была успешной.
| | |
| 2.23, XoRe (ok), 20:57, 20/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Интересно, сколько вычислительной мощи для этого требуется.
Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
Мне кажется, они взяли словари типа адобовского и хранят атрибут "номер слова в словаре".
| | |
| |
| 3.49, Аноним (-), 02:31, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
Или мощь мозгов или просто наглость: расхакать 40К машин автоматически и отправить их воевать с покемонами. Единственное что при этом реально надо - умение прятаться, поскольку за такое искать будут и достаточно серьезно, скорее всего. И если найдут - таки дадут в чайник криминальныи законами.
| | |
| |
| 4.70, XoRe (ok), 20:21, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
> Или мощь мозгов или просто наглость: расхакать 40К машин автоматически
Расскажете, как хакать автоматически?)
| | |
|
|
|
| 1.43, Аноним (-), 01:21, 21/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Гугл после нескольких неправильных паролей начинает показывать капчу, т.е. 2-3 неправильно ввел и все, брут форс останавливается. У этих неумех похоже такой элементарной защиты не было, если на какие-то аккаунты брут-форс все же сработал.
| | |
| |
| 2.62, Аноним (-), 12:02, 21/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Гугл после нескольких неправильных паролей начинает показывать капчу,
Капча уже давно не помогает, её успешно ломают с использованием биороботов, посещающих порносайты - перед показом чего-либо предлагают ввести оттранслированную капчу.
> У этих неумех похоже такой элементарной защиты не было,
Их форсили по имеющейся базе паролей, т.е. сопоставляли аккаунты на GitHub с аккаунтами в сворованных базах, вероятность что это один и тот же пользователь и, что он использует одинаковый пароль на разных ресурсах достаточно велика.
| | |
| |
| 3.77, Аноним (-), 04:07, 24/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Капча уже давно не помогает, её успешно ломают с использованием биороботов, посещающих
> порносайты - перед показом чего-либо предлагают ввести оттранслированную капчу.
Первый раз в жизни слышу про подобные веб-станицы. Главное, зачем, если ресурсов, не требующих подобные действия, более, чем достаточно? Да ни один крупный сайт, наверняка... Не попросит о подобном. Это даже звучит глупо.
| | |
|
|
|
