forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Анализ миллиарда учётных записей, полученных в результате различных утечек баз пользователей, opennews (??), 30-Июн-20, (0) [смотреть все] +2

Надо использовать медиану, а не среднее , Аноним (1), 13:51 , 30-Июн-20, (1) +8 //

В чём разница Не в самом способе вычисления, а для анализа , arfh (?), 15:08 , 30-Июн-20, (35) +1 //

На заводе 10 работников получают зарплату в 10 тыс руб в мес у них есть 1 начал, Анон Ра (?), 15:58 , 30-Июн-20, (45) +29 //

Именно так в Штатах и считают среднюю в 3k А медианная в несколько раз меньше , Аноним (75), 19:50 , 30-Июн-20, (75) –8

если только у нелегалов https www ssa gov OACT COLA central html, mail (?), 20:53 , 30-Июн-20, (87) +4

А если три человека из руководства получают зарплату в 10 млн, медиана подрастет, Аноним (76), 19:58 , 30-Июн-20, (76)

Не пострадает , Sonnar (ok), 20:56 , 30-Июн-20, (88) +3

Редкие аномальные выбросы искажают понимание статистики 100 пользователей устан, Аноним (54), 16:37 , 30-Июн-20, (54) +6 //

Такой длинный пароль невозможно сделать проверено , Аноним (67), 18:50 , 30-Июн-20, (67) –4

Один из двух спалился , Alen (??), 21:03 , 30-Июн-20, (89) +27

точка зрения того кто платит и того кто получат первый может оценить свои зат, psv (??), 00:56 , 04-Июл-20, (144)

Это, видимо, низкокачественный ГПСЧ в каком-то менеджере паролей Пароль вроде к, Аноним (2), 13:54 , 30-Июн-20, (2) +6 //

Впрочем, в этом списке качественных паролей хватает и ложнопозитивки, которая , Аноним (2), 14:31 , 30-Июн-20, (22) +3 //

Ох, ты бы знал, сколько людей используют пароль вида ДАТАРОЖДЕНИЯЦИФРАМИ , Аноним (31), 14:40 , 30-Июн-20, (31) //

А мне норм Если интернет заканчивается, всегда можно найти соседа с паролем 123, rshadow (ok), 15:29 , 30-Июн-20, (40)

брехня, у меня wifi пароль 12345678, сосед (?), 17:01 , 30-Июн-20, (57) +6

У тебя в пароле может быть только 5 знаков Последние не вводятся Можешь не доп, rshadow8195 (?), 19:11 , 30-Июн-20, (70)

1990PoLiNaМоскваУлЦерковнаяД1К11КлючиОтДомаПодКовриковТел7-905-767-5544, Аноним (67), 18:57 , 30-Июн-20, (69) +5 //

Это Wifi SSID, Атон (?), 17:27 , 03-Июл-20, (137)

Хозяйка съемной квартиры где я живу поставила на дверную сигнализацию пароль но, Аноним (84), 20:32 , 30-Июн-20, (84) //

Что одним идиотом стало больше , Аноним (67), 22:44 , 30-Июн-20, (97)
Попытаться спокойно, простыми для понимания выражениями, без повышения голоса и , Аноним (123), 18:05 , 01-Июл-20, (123)

Даже если спокойно повторить 10 раз, в большинстве случаев не поможет Проверено, ovg (ok), 17:27 , 02-Июл-20, (132) +2

хаха, лошье Мой пароль 12345 - гораздо безопасТнее , пох. (?), 13:58 , 30-Июн-20, (3) +4 //

54321 -- неподбираем в принципе , A.Stahl (ok), 14:05 , 30-Июн-20, (6) +6 //

блин, а набирать-то его как такой а, мышью копировать, каждый раз Ну, тоже ва, пох. (?), 14:16 , 30-Июн-20, (13) –1 //

Типичный вимер даже клавишу 5 на клавиатуре найти не может Для особо забибик, A.Stahl (ok), 14:30 , 30-Июн-20, (19) –1

Я уже один раз вляпался в дискуссию про нумпады, советую и вам осторожнее быть, НяшМяш (ok), 01:33 , 01-Июл-20, (102)

Такой и не запомнишь А хорошая память - это самое надёжное Не в облаках, не н, Аноним (32), 14:40 , 30-Июн-20, (32)

У меня пароли с Emoji 128077 Это увеличивает 128200 безопасность и секурнос, iPony129412 (?), 14:07 , 30-Июн-20, (7) +6 //

И набрать можно только на своей заранее запрограммированной клавиатуре, Аноним (8), 14:10 , 30-Июн-20, (8) //

дык, вот - секьюрна же ж А ты даже скопипастить не можешь - лично я вот там виж, пох. (?), 14:17 , 30-Июн-20, (14)

В вантуз ымодзей не завезли , Аноним (38), 15:20 , 30-Июн-20, (38)
Копипаст работает даже если ты видишь только квадраты , Аноним (53), 16:33 , 30-Июн-20, (53) +1
Ой да ладно Emoji 128077 128200 128272 кеды И даже как-то пох из как, PnD (??), 18:03 , 30-Июн-20, (66)

Так вот кто такие пароли делает Пройдёмте , ФСБ (?), 19:14 , 30-Июн-20, (71)

Часто необходимо вводить 6 и более знаков , Аноним (32), 14:32 , 30-Июн-20, (23) //

у него 28 знаков либо 46 - но это вряд ли , Аноним (36), 15:09 , 30-Июн-20, (36)

У одного моего друга на wifi стоит пароль 12345687, stuq1 (ok), 16:22 , 30-Июн-20, (51) //

ставьте сразу всем друзьям, чего уж , aaa (??), 18:01 , 30-Июн-20, (65) //

ага, а потом вспоминай - то ли 87, то ли 65, то ли вон как у того нестандартномы, пох. (?), 20:19 , 30-Июн-20, (80)

ахах захватывающий материал особенно понравился таинственный список из 40к па, m.makhno (ok), 13:59 , 30-Июн-20, (4) +1
Вывод что качественные, что не качественные, одинаково утекли , Аноним (5), 14:05 , 30-Июн-20, (5) +23 //

да, но если у тебя везде разные - то ок А если одинаковый даже сложный , то ла, Аноним (106), 04:02 , 01-Июл-20, (106) +1
всё что вышло за пределы организма отпечатки, виброакустика, пароли, информация, Аноним (-), 09:49 , 04-Июл-20, (145)

Скрыто модератором, Аноним (9), 14:11 , 30-Июн-20, (9) //

Скрыто модератором, Аноним (2), 14:13 , 30-Июн-20, (10) +1 //

Скрыто модератором, Аноним (29), 14:37 , 30-Июн-20, (29) +1 //

Скрыто модератором, Аноним (2), 15:41 , 30-Июн-20, (42)

Скрыто модератором, Аноним84701 (ok), 14:46 , 30-Июн-20, (34) +5 //

Скрыто модератором, Аноним (43), 15:43 , 30-Июн-20, (43)

Скрыто модератором, Аноним84701 (ok), 16:06 , 30-Июн-20, (50) +1

Скрыто модератором, Аноним (62), 17:44 , 30-Июн-20, (62)

Скрыто модератором, Аноним (-), 02:14 , 01-Июл-20, (105)

Скрыто модератором, tr (?), 16:01 , 30-Июн-20, (48)

Так дайте и я поанализирую, а то я вам не доверяю, может вы плохо проанализирова, Шашлык (?), 14:23 , 30-Июн-20, (17) //

Да, проанализируй их анализ, а то вдруг , Аноним (21), 14:31 , 30-Июн-20, (21) +1
да вот жадные твари, не поделятся А то можно было бы не заниматься фигней, а пр, пох. (?), 20:20 , 30-Июн-20, (81) +1

Ловите мой пароль от unixlinuxpornhub Он простой 27,5Santimetrov4MoeiLubimoiSi, Аноним (20), 14:30 , 30-Июн-20, (20)
Хахах, а что такие короткие У меня везде пароль qwerty123456, я думаю он не оче, Аноним (31), 14:38 , 30-Июн-20, (30) //

Сделано , Урри (?), 06:48 , 01-Июл-20, (108)

Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает м, тоже Аноним (ok), 15:12 , 30-Июн-20, (37) +8 //

Полностью согласен Варианты причем есть же 1 oauth2 одноразовый вход по письму , rshadow (ok), 15:37 , 30-Июн-20, (41) +1 //

Где это нужно - он и так есть В тех же банках, которые - в частности, поэтому -, тоже Аноним (ok), 15:58 , 30-Июн-20, (46)
главное чтобы 1 раз по смс письму входит только ты , ФСБ (?), 19:30 , 30-Июн-20, (73) +1
привязка к стороннему сервису-телефону-броузеру - зло, за которое надо гвозди в, jrthw (??), 08:54 , 03-Июл-20, (136)

Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает м, Аноним (44), 15:53 , 30-Июн-20, (44) //

Выброси его Случайности не существует Существует только не знание хаотических , ФСБ (?), 19:35 , 30-Июн-20, (74) +2 //

А как же квантовые эффекты , Карабьян (?), 12:08 , 01-Июл-20, (114)

Хи-квадрат не проверяли Время это все много не займет, Карабьян (?), 12:09 , 01-Июл-20, (115)

1 прежде всего, это защита от брутфорса хешей паролей с уже взломанного сайта , мишалипут (?), 16:31 , 30-Июн-20, (52) +3 //

тебе тут какое слово растолковать именно На практике у кого-то есть миллиард го, пох. (?), 20:41 , 30-Июн-20, (86)
Когда тебе сервер выдает ответ раз, например, в секунду, где твоя невероятная ск, Аноним (128), 00:03 , 02-Июл-20, (128)
Спасибо, отличный сайт Наконец-то вспомнил давно забытый пароль от почты , Аноним (129), 02:06 , 02-Июл-20, (129)

Что за детский сад Количество комбинаций сложность перебора мы внезапно не уч, морковка (?), 16:45 , 30-Июн-20, (55) //

Учитываем Но комбинации одинаково легко увеличиваются длиной пароля и спецсимво, тоже Аноним (ok), 17:03 , 30-Июн-20, (58)

Я когда сохраняю изображения из браузера, если сталкиваюсь с одинаковыми именами, Аноним (60), 17:23 , 30-Июн-20, (60) //

Это какой браузер Сейчас многие уже научились присваиват порядковые номера, Карабьян (?), 12:17 , 01-Июл-20, (116) //

Это если автосохранение в папку включено, да и для Сохранить как в случае карт, Аноним (133), 22:57 , 02-Июл-20, (133)

В случае md5 этот пароль практически невозможно узнать из хэша, не зная реализац, Аноним (78), 20:13 , 30-Июн-20, (78) +1 //

Однако практически все используют соленые хэши, что вынудит вас потратить один-д, тоже Аноним (ok), 20:18 , 30-Июн-20, (79) //

Соль можно легко утащить, о различиях реализации md5 нужно знать заранее Все др, Аноним (78), 20:31 , 30-Июн-20, (83)

Все верно -- взять scrypt yescrypt PBKDF2 и не маяться этим самым было бы слиш, Аноним84701 (ok), 21:31 , 30-Июн-20, (90)
Вообще-то сегодняшняя best practice - это хранить хэш, соль и алгоритм хэширован, тоже Аноним (ok), 22:36 , 30-Июн-20, (95)
Североамериканцами , Аноним (123), 18:31 , 01-Июл-20, (124)

ну пароль к юзеру test мне как-то таки подобрали - причем он был ни разу не test, пох. (?), 20:33 , 30-Июн-20, (85) //

Ну, а fail2ban на том хосте, видимо, был недоступен Буквально сегодня простоял, тоже Аноним (ok), 22:41 , 30-Июн-20, (96) //

я не пользуюсь говноподелками, которые тебе же и заблокируют доступ А у зомбоне, пох. (?), 23:09 , 30-Июн-20, (99)

Тогда им веб-клиент и ломать незачем В ВонТомБанке впаривают их клиент для смар, тоже Аноним (ok), 23:18 , 30-Июн-20, (100)

пароль все же нужен Его сбросить у этих двух, как минимум много сложнее чем п, пох. (?), 00:02 , 01-Июл-20, (101)

gt оверквотинг удален Р Так пароль можно сбросит зная данные карты и имея дост, Карабьян (?), 13:54 , 01-Июл-20, (117)

fail2ban помогает защитится только от недалекого умом админа сервера плохие п, Атон (?), 17:34 , 03-Июл-20, (138) –1

Поэтому если у вас сервер, взлом которого окупит работу целого ботнета - вам сто, тоже Аноним (ok), 20:34 , 03-Июл-20, (142)

Как же так, у ssh нет задержки при переборе , Павел Отредиез (?), 20:01 , 01-Июл-20, (125) //

у ssh задержка при переборе помогает защитится только от недалекого умом адми, Атон (?), 17:35 , 03-Июл-20, (139)

Я не разделяю по ip Прекрасно знаю как сканируют, смотрю в реальном времени с р, Павел Отредиез (?), 17:47 , 03-Июл-20, (141)

Да, это бесит кошмарно У меня написана утилитка для генерации рандомных паролей, Ordu (ok), 22:18 , 30-Июн-20, (94)

Самый лучший пароль четыресловавсекапсом - одним словом строчными буквами , Анан (?), 16:00 , 30-Июн-20, (47)
самый популярный логин от WiFi, Аноним (56), 16:50 , 30-Июн-20, (56) //

И многих хакнули И что им с этого стало , Аноним (32), 17:55 , 30-Июн-20, (63) //

Никому ничего не стало Случайно угадал пароль от вайфая, подключился, провери, Анонимуз (?), 16:27 , 01-Июл-20, (121)
Меня один раз хакнули Напарник снял ip фильтр с rdp , Павел Отредиез (?), 20:07 , 01-Июл-20, (126)

Полезно иногда проверять свои пароли в базе Троя Ханта Я там недавно с удивлени, an (??), 17:15 , 30-Июн-20, (59) //

quote Через некоторое время Сисадмин воскликнул 8211 Учитель, я подобрал хор, тоже Аноним (ok), 20:21 , 30-Июн-20, (82) +5 //

Ну только там не передается пароль никуда, передаются только первые 5 символов х, an (??), 21:51 , 30-Июн-20, (91) +1

Ну такое зачем мне знать статистику по обезьянам А пароль обычно pwgen 8, с, user90 (?), 17:28 , 30-Июн-20, (61) –2 //

Любая биткоин ферма брутфорснет такой пароль за менее чем минут 10-15, и даже бы, OpenEcho (?), 16:35 , 01-Июл-20, (122) //

Да блин, в системах бывают задержки между попытками входа И пофиг тогда ферма и, Павел Отредиез (?), 20:27 , 01-Июл-20, (127) //

Если вы имеете ввиду fail2ban и ему подобные, то это очень хорошая защита, но то, OpenEcho (?), 03:49 , 03-Июл-20, (134) +1

А вообще, тут много хакнутых сидит Кто испытал на себе проблемы и потери от жес, Аноним (32), 17:57 , 30-Июн-20, (64) +1 //

Об этом не говорят по разным причина даже анонимно, Карабьян (?), 13:57 , 01-Июл-20, (118)

Что снова напоминает о том, что на всяком овне использовать пароли с высокой энт, Онаним (?), 18:50 , 30-Июн-20, (68) +4
Спалили многоаккаунтных юзеров, ФСБ (?), 19:19 , 30-Июн-20, (72) +1
Фух Я уж испугался, что мои пароли расшифровали На деле выдача pwgen , Аноним (78), 20:03 , 30-Июн-20, (77)
Как мы и предполагали , Аноним (92), 21:57 , 30-Июн-20, (92) +1 //

но только 4 522 из всех паролей начинаются с цифры 128524 , Fedd (ok), 23:21 , 05-Июл-20, (146)

Течку-то заткнули Или всё подтекает , Анон им (?), 22:10 , 30-Июн-20, (93) //

Сахарный мальчик старается , Аноним (75), 23:00 , 30-Июн-20, (98)

Не бывает слабых паролей - бывает тухлая система защиты Если вы вешаете всю с, Gogi (??), 01:34 , 01-Июл-20, (103) +2 //

так-таак, а что за банк или ты юрлицо Так неинтересно ну нет, Если от твоего , пох. (?), 01:46 , 01-Июл-20, (104) //

любой каприз за ваши деньги каждый нормальный банк с радостью выдаст клиенту апп, Атон (?), 17:44 , 03-Июл-20, (140) +1 //

ИМЯ, сестра, ИМЯ Назови хоть один нормальный банк Напоминаю - я не юрлицо и не, пох. (?), 23:48 , 03-Июл-20, (143)

сбер, альфа, БСПб, ПСБ, да в принципе любой из списка банков старше 20 лет звон, Атон (?), 10:02 , 12-Июл-20, (153)

ну вот в ВТБ можешь не звонить, хотя старше, да Только пуши и sms Да, были аппа, пох. (?), 10:03 , 17-Июл-20, (154)

Capitec - www capitec co zaКаждому абоненту выдаётся тамагоча При логине и пр, Gogi (??), 17:43 , 06-Июл-20, (147) //

ффак Да, прошлый раз мне оттуда прислали сообщение, что срочно-срочно переведут, пох. (?), 18:49 , 06-Июл-20, (149)

Вы зарубежом или у вас как пох заметил юрлицо , Карабьян (?), 13:58 , 01-Июл-20, (119) //

ЮАР, Gogi (??), 17:43 , 06-Июл-20, (148) //

да мы и по домену уже догадались, что не Польша, пох. (?), 18:50 , 06-Июл-20, (150)

Собирать статистику по ботам - такое себе занятие, КО (?), 06:35 , 01-Июл-20, (107)
Исследование, наверное, проводили британские учёные , которые и не знают, что е, Аноним (109), 07:40 , 01-Июл-20, (109) +1 //

С чего бы рептилоидам а у человеков разновиднось шифра подстановки , т е запи, Аноним84701 (ok), 11:15 , 01-Июл-20, (112)

нашёл безопасный пароль - 1нету даже в топ10М, Нанобот (ok), 09:01 , 01-Июл-20, (110) +1
Вскрытие показало, что пациент помер в результате вскрытия , Аноним (-), 10:32 , 01-Июл-20, (111)
Голосуй, не голосуй, всё равно получишь х прирост данных , Аноним (130), 11:36 , 02-Июл-20, (130)
Шта , Матцумото (?), 06:59 , 03-Июл-20, (135) +2
тест 128075 , m.makhno (ok), 10:14 , 08-Июл-20, (151) +2
p тест pre p pre code class json traceEvents code pre , m.makhno (ok), 10:57 , 08-Июл-20, (152) +1

Сообщения [Сортировка по времени | RSS]

55. "Анализ миллиарда учётных записей, полученных в результате ра..." +/–

Сообщение от морковка (?), 30-Июн-20, 16:45

>видим, что никакие спецсимволы реально ни черта не определяют, кроме сложности набора.
Что за детский сад. Количество комбинаций (сложность перебора) мы внезапно не учитываем?
>Опуская очевидные уязвимости паролей по последнему варианту, видим, что
Так-так и из чего мы это видим?
>На практике же пароль "pasSword" злоумышленнику немногим легче взломать, чем "pA5$w0Я|)"
Для "немногим" существуют конректные математический формулы. Из которых что такие выводы - бред сивой кобылы и очередные субьектвные "ощущения".
"pasSword" - lower case + upper case: 52^8
"pA5$w0Я|)" - (опуская "Я") - lower case, upper case, numbers, special: (52+10+32)^8
разница: 52^8 - (52+10+32)^8 - довольно внушительная сравнительно с 52^8
>мне не впилось держать в голове...
А не надо держать ничего в голове. Давно уже есть технологии для cred-store с мастер-паролем, физическими токенами, 2FA и т.д.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

58. "Анализ миллиарда учётных записей, полученных в результате ра..." +/–

Сообщение от тоже Аноним (ok), 30-Июн-20, 17:03

> Что за детский сад. Количество комбинаций (сложность перебора) мы внезапно не учитываем?
Учитываем. Но комбинации одинаково легко увеличиваются длиной пароля и спецсимволами, однако человеку запомнить длинный пароль куда легче, чем символьную мешанину, а вот взломщику - без разницы. Выше упомянуты эмпирические методы сокращения, но они опять-таки будут работать только там, где пароли примитивны. А примитивность паролей просто-напросто указывает на низкую ценность того, что они защищают. И требование ввести в пароль спецсимволы всего лишь создаст вот такой вот предсказуемый pa$$worD вместо реально стойкого пароля. Имитация безопасности.

> А не надо держать ничего в голове. Давно уже есть технологии для cred-store с мастер-паролем, физическими токенами, 2FA и т.д.
См. выше про стимовский клиент. В браузере - да, за глаза и по уши мастер-пароля, серьезный доступ все равно закрывается другими методами. Но хранить в какой-то там программке все свои пароли - это сложить всю свою безопасность в одну корзинку...
И чтоб два раза не вставать - оппоненту выше про "меня не коснется". Да конечно, меня это касалось, и не раз. Но когда злоумышленник узнал пароль от форума, на котором меня никто не знает - да плевать, что он раскопал такую "важную информацию". Поэтому там и пароль 123456, что защищать-то нечего. И на всю эту статистику стоит смотреть с критическим прищуром: а ценность-то этих украденных аккаунтов в какой части ненулевая? Подозреваю, доли процента...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	55. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от морковка (?), 30-Июн-20, 16:45
	>видим, что никакие спецсимволы реально ни черта не определяют, кроме сложности набора. Что за детский сад. Количество комбинаций (сложность перебора) мы внезапно не учитываем? >Опуская очевидные уязвимости паролей по последнему варианту, видим, что Так-так и из чего мы это видим? >На практике же пароль "pasSword" злоумышленнику немногим легче взломать, чем "pA5$w0Я\|)" Для "немногим" существуют конректные математический формулы. Из которых что такие выводы - бред сивой кобылы и очередные субьектвные "ощущения". "pasSword" - lower case + upper case: 52^8 "pA5$w0Я\|)" - (опуская "Я") - lower case, upper case, numbers, special: (52+10+32)^8 разница: 52^8 - (52+10+32)^8 - довольно внушительная сравнительно с 52^8 >мне не впилось держать в голове... А не надо держать ничего в голове. Давно уже есть технологии для cred-store с мастер-паролем, физическими токенами, 2FA и т.д.
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	58. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 17:03
	> Что за детский сад. Количество комбинаций (сложность перебора) мы внезапно не учитываем? Учитываем. Но комбинации одинаково легко увеличиваются длиной пароля и спецсимволами, однако человеку запомнить длинный пароль куда легче, чем символьную мешанину, а вот взломщику - без разницы. Выше упомянуты эмпирические методы сокращения, но они опять-таки будут работать только там, где пароли примитивны. А примитивность паролей просто-напросто указывает на низкую ценность того, что они защищают. И требование ввести в пароль спецсимволы всего лишь создаст вот такой вот предсказуемый pa$$worD вместо реально стойкого пароля. Имитация безопасности. > А не надо держать ничего в голове. Давно уже есть технологии для cred-store с мастер-паролем, физическими токенами, 2FA и т.д. См. выше про стимовский клиент. В браузере - да, за глаза и по уши мастер-пароля, серьезный доступ все равно закрывается другими методами. Но хранить в какой-то там программке все свои пароли - это сложить всю свою безопасность в одну корзинку... И чтоб два раза не вставать - оппоненту выше про "меня не коснется". Да конечно, меня это касалось, и не раз. Но когда злоумышленник узнал пароль от форума, на котором меня никто не знает - да плевать, что он раскопал такую "важную информацию". Поэтому там и пароль 123456, что защищать-то нечего. И на всю эту статистику стоит смотреть с критическим прищуром: а ценность-то этих украденных аккаунтов в какой части ненулевая? Подозреваю, доли процента...
	Ответить \| Правка \| Наверх \| Cообщить модератору