Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Анализ миллиарда учётных записей, полученных в результате различных утечек баз пользователей"	+2 +/–
Сообщение от opennews (??), 30-Июн-20, 13:51
Опубликована статистика , сформированная на основе анализа коллекции из миллиарда учётных записей, полученных в результате различных утечек баз данных с параметрами аутентификации. Также подготовлены выборки с данными о частоте применения типовых паролей и списки из 1 тыс., 10 тыс., 100 тыс., 1 млн и 10 млн самых популярных паролей, которые могут использоваться для ускорения подбора хэшей паролей... Подробнее: https://www.opennet.me/opennews/art.shtml?num=53260
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Анализ миллиарда учётных записей, полученных в результате ра..."	+8 +/–
Сообщение от Аноним (1), 30-Июн-20, 13:51
> Средний размер пароля Надо использовать медиану, а не среднее.
Ответить | Правка | Наверх | Cообщить модератору

	35. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от arfh (?), 30-Июн-20, 15:08
	В чём разница? Не в самом способе вычисления, а для анализа.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Анализ миллиарда учётных записей, полученных в результате ра..."	+29 +/–
	Сообщение от Анон Ра (?), 30-Июн-20, 15:58
	На заводе 10 работников получают зарплату в 10 тыс руб. в мес. у них есть 1 начальник, который получает зарплату в 10 млн. 900 тыс. руб в мес. По телевизору сообщают, что средняя зарплата на заводе 1 млн рублей. (Медианная зарплата 10 тыс. руб.)
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Анализ миллиарда учётных записей, полученных в результате ра..."	–8 +/–
	Сообщение от Аноним (75), 30-Июн-20, 19:50
	Именно так в Штатах и считают среднюю в $3k. А медианная в несколько раз меньше.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "Анализ миллиарда учётных записей, полученных в результате ра..."	+4 +/–
	Сообщение от mail (?), 30-Июн-20, 20:53
	если только у нелегалов https://www.ssa.gov/OACT/COLA/central.html
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (76), 30-Июн-20, 19:58
	А если три человека из руководства получают зарплату в 10 млн, медиана подрастет? Ну и что даст эта средняя температура по больнице?
	Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

	88. "Анализ миллиарда учётных записей, полученных в результате ра..."	+3 +/–
	Сообщение от Sonnar (ok), 30-Июн-20, 20:56
	Не пострадает.
	Ответить | Правка | Наверх | Cообщить модератору

	54. "Анализ миллиарда учётных записей, полученных в результате ра..."	+6 +/–
	Сообщение от Аноним (54), 30-Июн-20, 16:37
	Редкие аномальные выбросы искажают понимание статистики. 100 пользователей установили пароль 5 символов, и всего 2 психа в 9950 символов. В итоге среднестатистический пользователь устанавливает пароль в 200 символов.
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	67. "Анализ миллиарда учётных записей, полученных в результате ра..."	–4 +/–
	Сообщение от Аноним (67), 30-Июн-20, 18:50
	Такой длинный пароль невозможно сделать. проверено.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Анализ миллиарда учётных записей, полученных в результате ра..."	+27 +/–
	Сообщение от Alen (??), 30-Июн-20, 21:03
	Один из двух спалился :)
	Ответить | Правка | Наверх | Cообщить модератору

	144. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от psv (??), 04-Июл-20, 00:56
	точка зрения того "кто платит" и того "кто получат" первый может оценить свои затраты от "числа нанятых", а второй "свои личные доходы"
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

2. "Анализ миллиарда учётных записей, полученных в результате ра..."	+6 +/–
Сообщение от Аноним (2), 30-Июн-20, 13:54
> Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю (10-символов, случайная комбинация цифр, прописных и строчных букв, отсутствие спецсимволов, прописные буквы вначале и конце) и использовались повторно. Это, видимо, низкокачественный ГПСЧ в каком-то менеджере паролей. Пароль вроде как рандомный, но на практике из 1000 паролей будет куча дубликатов.
Ответить | Правка | Наверх | Cообщить модератору

	22. "Анализ миллиарда учётных записей, полученных в результате ра..."	+3 +/–
	Сообщение от Аноним (2), 30-Июн-20, 14:31
	Впрочем, в этом списке "качественных паролей" хватает и ложнопозитивки, которая не блещет энтропией, и подбирается на раз. Либо содержа год рождения + имя владельца, либо не особо креативные подстроки уровня "QwERty". 1990PoLiNa 1990QwERty 1994SeRgEj 1995SoLnCe
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (31), 30-Июн-20, 14:40
	Ох, ты бы знал, сколько людей используют пароль вида ДАТАРОЖДЕНИЯЦИФРАМИ.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от rshadow (ok), 30-Июн-20, 15:29
	А мне норм. Если интернет заканчивается, всегда можно найти соседа с паролем 1234567 на wifi.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "Анализ миллиарда учётных записей, полученных в результате ра..."	+6 +/–
	Сообщение от сосед (?), 30-Июн-20, 17:01
	брехня, у меня wifi пароль 12345678
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от rshadow8195 (?), 30-Июн-20, 19:11
	У тебя в пароле может быть только 5 знаков. Последние не вводятся. Можешь не дописывать.
	Ответить | Правка | Наверх | Cообщить модератору

	69. "Анализ миллиарда учётных записей, полученных в результате ра..."	+5 +/–
	Сообщение от Аноним (67), 30-Июн-20, 18:57
	1990PoLiNaМоскваУлЦерковнаяД1К11КлючиОтДомаПодКовриковТел7-905-767-5544
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	137. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Атон (?), 03-Июл-20, 17:27
	Это Wifi SSID
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (84), 30-Июн-20, 20:32
	Хозяйка съемной квартиры где я живу поставила на дверную сигнализацию пароль: номер дома + номер кваритры. Я сказал ей что это не безопасно - поставила год своего рлждения. Что ей говорить теперь?
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	97. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (67), 30-Июн-20, 22:44
	Что одним идиотом стало больше.
	Ответить | Правка | Наверх | Cообщить модератору

	123. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (123), 01-Июл-20, 18:05
	Попытаться спокойно, простыми для понимания выражениями, без повышения голоса и рукоприкладства, объяснить. Как в телевизоре.
	Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

	132. "Анализ миллиарда учётных записей, полученных в результате ра..."	+2 +/–
	Сообщение от ovg (ok), 02-Июл-20, 17:27
	Даже если спокойно повторить 10 раз, в большинстве случаев не поможет. Проверено.
	Ответить | Правка | Наверх | Cообщить модератору

3. "Анализ миллиарда учётных записей, полученных в результате ра..."	+4 +/–
Сообщение от пох. (?), 30-Июн-20, 13:58
> Самый популярный пароль "123456" встречается около 7 млн >  раз (0.722% из всех паролей). Далее с заметным > отставанием следуют пароли 123456789, password, qwerty, 12345678. хаха, лошье! Мой пароль 12345 - гораздо безопасТнее!
Ответить | Правка | Наверх | Cообщить модератору

	6. "Анализ миллиарда учётных записей, полученных в результате ра..."	+6 +/–
	Сообщение от A.Stahl (ok), 30-Июн-20, 14:05
	54321 -- неподбираем в принципе.
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Анализ миллиарда учётных записей, полученных в результате ра..."	–1 +/–
	Сообщение от пох. (?), 30-Июн-20, 14:16
	блин, а набирать-то его как такой? (а, мышью копировать, каждый раз? Ну, тоже вариант...)
	Ответить | Правка | Наверх | Cообщить модератору

	19. "Анализ миллиарда учётных записей, полученных в результате ра..."	–1 +/–
	Сообщение от A.Stahl (ok), 30-Июн-20, 14:30
	Типичный вимер: даже клавишу "5" на клавиатуре найти не может. Для особо забибиканых есть numpad -- там 5 найти даже пьяный выхухоль сможет.
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от НяшМяш (ok), 01-Июл-20, 01:33
	Я уже один раз вляпался в "дискуссию" про нумпады, советую и вам осторожнее быть )
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (32), 30-Июн-20, 14:40
	Такой и не запомнишь. А хорошая память -  это самое надёжное. Не в облаках, не на диске, не под ковриком в коридоре, не на бумажке.
	Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

	7. "Анализ миллиарда учётных записей, полученных в результате ра..."	+6 +/–
	Сообщение от iPony129412 (?), 30-Июн-20, 14:07
	У меня пароли с Emoji 👍 Это увеличивает 📈 безопасность и секурность 🔐 на порядки
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	8. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (8), 30-Июн-20, 14:10
	И набрать можно только на своей заранее запрограммированной клавиатуре
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 30-Июн-20, 14:17
	> И набрать можно только на своей заранее запрограммированной клавиатуре дык, вот - секьюрна же ж! А ты даже скопипастить не можешь - лично я вот там вижу только два одинаковых квадратика.
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (38), 30-Июн-20, 15:20
	В вантуз ымодзей не завезли?
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от Аноним (53), 30-Июн-20, 16:33
	Копипаст работает даже если ты видишь только квадраты.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	66. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от PnD (??), 30-Июн-20, 18:03
	Ой да ладно: Emoji 👍 📈 🔐 ** кеды. И даже как-то пох из какой таблицы эту хрень вытащили. Но вот кейлоггер вытащит не любой, полагаю.
	Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

	71. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от ФСБ (?), 30-Июн-20, 19:14
	Так вот кто такие пароли делает. Пройдёмте.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	23. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (32), 30-Июн-20, 14:32
	Часто необходимо вводить 6 и более знаков.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	36. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (36), 30-Июн-20, 15:09
	у него 28 знаков (либо 46 - но это вряд ли)
	Ответить | Правка | Наверх | Cообщить модератору

	51. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от stuq1 (ok), 30-Июн-20, 16:22
	У одного моего друга на wifi стоит пароль 12345687
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

	65. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от aaa (??), 30-Июн-20, 18:01
	ставьте сразу всем друзьям, чего уж!
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 30-Июн-20, 20:19
	ага, а потом вспоминай - то ли 87, то ли 65, то ли вон как у того нестандартномыслящего вообще 87654321...
	Ответить | Правка | Наверх | Cообщить модератору

4. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от m.makhno (ok), 30-Июн-20, 13:59
ахах захватывающий материал (: особенно понравился таинственный список из 40к паролей с высокой энтропией — автор материала растерян
Ответить | Правка | Наверх | Cообщить модератору

5. "Анализ миллиарда учётных записей, полученных в результате ра..."	+23 +/–
Сообщение от Аноним (5), 30-Июн-20, 14:05
Вывод: что качественные, что не качественные, одинаково утекли!
Ответить | Правка | Наверх | Cообщить модератору

	106. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от Аноним (106), 01-Июл-20, 04:02
	да, но если у тебя везде разные - то ок. А если одинаковый (даже сложный), то лажа
	Ответить | Правка | Наверх | Cообщить модератору

	145. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (-), 04-Июл-20, 09:49
	всё что вышло за пределы организма (отпечатки, виброакустика, пароли, информация) живёт своей жизнью, добровольное рабство в системе после выбора заимствования моделей поведения.
	Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

9. Скрыто модератором	+/–
Сообщение от Аноним (9), 30-Июн-20, 14:11
Держите надёжный пароль: Aò\ÅÖõ-}ü{{ÊRh=Ë2Zz5[¿iU7¢°n!7Å6²Ýý¬òy($Mk¦}wª¡Ê²î,¥9~" Не благодарите!
Ответить | Правка | Наверх | Cообщить модератору

	10. Скрыто модератором	+1 +/–
	Сообщение от Аноним (2), 30-Июн-20, 14:13
	Ну, и от меня, что ли, тогда держите презент. >>> for i in range(30):print(''.join([random.choice(symbols) for _ in range(30)])) ... x>m>MwX:Br2M<.$r%mEhn$:d#``@Tw 5Y<Z,WHV+8LMC#Vo0wPX<\z\^abaN* hwKe0~4]L%v*]5qS6)ODT<lT;F+Dn- a7Y(.1>qK]a/Nh[,K|2o7X#h^Z1~eV o0BxE@)eVQp+{Lr)F4}Io(O.t:Tv5' 0(e6RBzUFbcZ!XHql21Ls8><C8:'Sg Ej8}>6TYW7b=/t,HWx3scO=}L~&6nL 08%U<Mf-gS&!/W{S2O(J0++3c+ftk& p@06{}k}/7HzM`"q?,yG\}pS4:*D|F %WX~Q*j+qOmVI(OD(b766`Lus~R?R~ C(_W'+d/M4Hk_2V":EL(@35.7/t1:+ rxDQkRPc047`iT\{}3HG4p%pzkX%d& 7abI*#9Xu'!wgDEVWnP~;lb?HEi>Bs 6i0x:HoV8bz)[.OzMSR}PyHtUWAe}p |Zse]3g8\{$b>y^::ES4;8PT@BffUa 5k5n.(Rnf.V]hDMSFR]]P2/M+;B<j" Sgns|^!3%'soqucg:<T)4,4(<R'1"5 ?Dnz:}h.UKQqqt3X)9Vv*t1{6W=bA~ l1N/Q|s`Ju<neO<`R01+.JyDAZ~NgB `|e~&GPV7qo|y$3S[yzKT@]^dJR?k( K5!NkZWRF;VbSbCRV[;;0xy,1o{"k2 Lz2kQgSi^*n\RcW;durnCiP?]YBH.I h$e~>/^}Q*kbm}d^>z0YR{^,^JXbl1 @[S5+SQ*Y2RJ9h!ir<9(|]>nbmmc1u JOkEz8PdKJaAW8o<&h\\h2RZ`?&xEI m3In:jc93)H>0)]:<'AX+1JqtY,wC] 6cm^-:$U:j-I\ueMeB$CYIgDBo2?2V -bG-4/2p*V+kwbxD<pfyy>6Mpr:Qf6 <KuR81_!uFW9nW&"8n19f);_i8E?z| \Li>O90%8WQHz*O2mE*+S->XW>n%rK
	Ответить | Правка | Наверх | Cообщить модератору

	29. Скрыто модератором	+1 +/–
	Сообщение от Аноним (29), 30-Июн-20, 14:37
	пихоновский random.choice? серьёзно? даже без инициализации гпсч?
	Ответить | Правка | Наверх | Cообщить модератору

	42. Скрыто модератором	+/–
	Сообщение от Аноним (2), 30-Июн-20, 15:41
	ГПСЧ там сам инициализируется датой и временем. А что до самого пихоновского MT19937 - это явно лучше, чем сишечным (или джавовским, да всюду он) линейным конгруэнтным генератором генерить пароли.
	Ответить | Правка | Наверх | Cообщить модератору

	34. Скрыто модератором	+5 +/–
	Сообщение от Аноним84701 (ok), 30-Июн-20, 14:46
	> Ну, и от меня, что ли, тогда держите презент. >>>> for i in range(30):print(''.join([random.choice(symbols) for _ in range(30)])) то же самое, но без сотни мб рантайма: cat /dev/urandom | tr -cd "[:alnum:][:punct:]" | fold -w 30 | head -n 30
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	43. Скрыто модератором	+/–
	Сообщение от Аноним (43), 30-Июн-20, 15:43
	> то же самое, но без сотни мб рантайма: > cat /dev/urandom | tr -cd "[:alnum:][:punct:]" | fold -w 30 | head -n 30 urandom? серьёзно? вот, настоящий: $ cat /dev/random | tr -cd "[:alnum:][:punct:]" | fold -w 30 | head -n 30 -fGnNV%7|*Vf@.$(M~#PYXcoZ8]jjN w=;}('LM8[<k>lR9UFJDj\KRZZ8lW1 6bCXz:)iDUP^M:MzH@\Ap[.qq(K`#U dc)xeaRJ6Z!JeAsd)d/%cfq;`^>fIB qOM^OR4*E^I>Y!}a4E.4qI13AJlS!L <{[?uf6@eV|v<G6B{AOFg=1un;9x|u #bm=mqXnNC3`B|G(VG&@)Y)GM~c>~t &UCTN;h,|Lc{3eiflc;"_S:0p*Q4Bs k6dM5p\&\;+)wMlorPMB\I6@wu{7}= 1D@6&E:)>;hdp0)SfeYccx}H}RPfos Z,mP{&$}@LgoAu5SVx1$;ECvJSIT#X }#EB:3!V&V8\EI.[HsRorvNrJ6B.eH Z!74cY\W5B9)w'7^0+7oDPTJ2aYgtt fU%QhFfw!(pwp@y-nc1!RCJSz(}u|/ 5$%Qq*iMs0`dol:6Tpw_9|<<3s2x_! `mE8#kh}}tLU9VINhjwu4tXE/oeM@( 6|o%C8`xIh*0d@,Wa:FZ3lN;bX!7!A oL@j!($N|X\-7-2_X8f_|S8kle/jlP kn~SZs(3F]1mOe'/%uy7|s(7=Cy@ts \NngKN@=U%${)lv$pD7`epit6>2!!r Nb,g3G+<LD7<|/qNK[g0vB3sE{sedW d7n&8,bpCL"!`W$%2Y7p1o`nxW)We/ ^0O2G0v@<kzS0$U/KrRO)%2=FdJI'P ("_xA2s^`,u,~M6+5yIEbsb9"DTg#1 -83)(R4Fq!~)L|2O(actSzCPsADIfM &~(;k%]e7$0D8~QQzLj>o_t|\b@UAz =MpVcg\nUo,CHs?H-xjrqs.*2[X7TU "(`?O3,$/TV~kAs&&v?sPsHF,%L`O) 1D8>0N|z,6vY.Zdw-VlLFhHr\d_#cq yH!7?bn=,4bQ2c9hAUD^^gA+2k(;%D $ lsusb |grep rand|cut -b 66- hardware random number generator Давно хочу сделать анализ качества последовательности из аппаратного гсч от rand() из <stdlib.h> но не знаю как :( Есть здравые идеи?
	Ответить | Правка | Наверх | Cообщить модератору

	50. Скрыто модератором	+1 +/–
	Сообщение от Аноним84701 (ok), 30-Июн-20, 16:06
	> urandom? серьёзно? Серьезно. > вот, настоящий: Кхе-кхе: https://www.opennet.me/opennews/art.shtml?num=52632 > Релиз ядра Linux 5.6 > Удалён блокируемый пул /dev/random. Поведение /dev/random приближено к /dev/urandom в плане предотвращения блокирования энтропии после инициализации пула. https://lwn.net/ml/linux-kernel/cover.1577088521.git.luto�.../ > this series also removes the blocking pool and makes /dev/random work just like getentropy(..., 0) and makes GRND_RANDOM a no-op.  I believe that Linux's blocking pool has outlived its usefulness. Linux's CRNG generates output that is good enough to use even for key generation.  The blocking pool is not stronger in any material way, and keeping it around requires a lot of infrastructure of dubious value. >
	Ответить | Правка | Наверх | Cообщить модератору

	62. Скрыто модератором	+/–
	Сообщение от Аноним (62), 30-Июн-20, 17:44
	> Релиз ядра Linux 5.6 > Удалён блокируемый пул /dev/random. Поведение /dev/random приближено к /dev/urandom в плане предотвращения блокирования энтропии после инициализации пула. Спасибо тебе, аноним за предстоящие изменения. У меня сейчас ядро далеко не 5.6, поэтому без подключенной аппаратуры /dev/random блокируется совсем. > this series also removes the blocking pool and makes /dev/random work just like getentropy(..., 0) and makes GRND_RANDOM a no-op.  I believe that Linux's blocking pool has outlived its usefulness. Linux's CRNG generates output that is good enough to use even for key generation.  The blocking pool is not stronger in any material way, and keeping it around requires a lot of infrastructure of dubious value. Я параноик и псевдорандом мне не нужен. Значит скоро начну использовать утилиту которая позволяет считывать последовательность сразу с устройства. Но конечно не приятно что random стал таким же как и urandom.
	Ответить | Правка | Наверх | Cообщить модератору

	105. Скрыто модератором	+/–
	Сообщение от Аноним (-), 01-Июл-20, 02:14
	> Спасибо тебе, аноним за предстоящие изменения. У меня сейчас ядро далеко не 5.6, поэтому без подключенной аппаратуры /dev/random блокируется совсем. > Значит скоро начну использовать утилиту которая позволяет считывать последовательность сразу с устройства ненужно, оказывается в системе есть /dev/hwrng, так что жить будем :)
	Ответить | Правка | Наверх | Cообщить модератору

	48. Скрыто модератором	+/–
	Сообщение от tr (?), 30-Июн-20, 16:01
	cat /dev/urandom
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

17. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Шашлык (?), 30-Июн-20, 14:23
Так дайте и я поанализирую, а то я вам не доверяю, может вы плохо проанализировали!
Ответить | Правка | Наверх | Cообщить модератору

	21. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от Аноним (21), 30-Июн-20, 14:31
	Да, проанализируй их анализ, а то вдруг!
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от пох. (?), 30-Июн-20, 20:20
	да вот жадные твари, не поделятся. А то можно было бы не заниматься фигней, а просто выбрать себе пароль покрасивше из уже проверенных.
	Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

20. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Аноним (20), 30-Июн-20, 14:30
Ловите мой пароль от unixlinuxpornhub. Он простой. 27,5Santimetrov4MoeiLubimoiSistemi}
Ответить | Правка | Наверх | Cообщить модератору

30. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Аноним (31), 30-Июн-20, 14:38
Хахах, а что такие короткие? У меня везде пароль qwerty123456, я думаю он не очень популярный и никто не додумается добавить его в словарь.
Ответить | Правка | Наверх | Cообщить модератору

	108. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Урри (?), 01-Июл-20, 06:48
	Сделано.
	Ответить | Правка | Наверх | Cообщить модератору

37. "Анализ миллиарда учётных записей, полученных в результате ра..."	+8 +/–
Сообщение от тоже Аноним (ok), 30-Июн-20, 15:12
Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает миф о "качестве" хаотичного набора знаков. В реальности такие пароли "защищают лучше" разве что от подглядывания из-за плеча. Как известно, есть три метода взлома - перебор по словарю частых паролей, полный перебор и социнженерия. Опуская очевидные уязвимости паролей по последнему варианту, видим, что никакие спецсимволы реально ни черта не определяют, кроме сложности набора. На практике же пароль "pasSword" злоумышленнику немногим легче взломать, чем "pA5$w0Я|)". А главное - на практике и столкнуться с реальным взломом перебором, да там, где это будет сколько-нибудь важно - практически нереально... Но при этом каждый убогий сайтик, куда ты зашел один раз и никогда больше не вернешься, капризничает: "не меньше 8 символов! Разный регистр! Спецсимволы!!!". Я к Стиму, блин, не могу запомнить пароль, каждый раз, когда его (изредка) запускаю - восстанавливаю по почте, потому что то, что я ему ввожу, ему, видите ли, не нравится. А ту хрень, что ему нравится, мне не впилось держать в голове...
Ответить | Правка | Наверх | Cообщить модератору

	41. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от rshadow (ok), 30-Июн-20, 15:37
	Полностью согласен. Варианты причем есть же: 1 oauth 2 одноразовый вход по письму/смс где это можно 3 добавить в браузер api который сам сгенерит ключ, будет его хранить и обмениваться с сайтом
	Ответить | Правка | Наверх | Cообщить модератору

	46. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 15:58
	> 2 одноразовый вход по письму/смс где это можно Где это нужно - он и так есть. В тех же банках, которые - в частности, поэтому - могут использовать только цифровые пароли и при этом не утонуть во взломах. > 3 добавить в браузер api который сам сгенерит ключ, будет его хранить и обмениваться с сайтом В ФайрФоксе это все есть. Но хрен оно поможет в вышеупомянутом клиенте Стима. Толстолобики же не только в вебе наводят секьюр-маникюр, но и в своих огороженных.
	Ответить | Правка | Наверх | Cообщить модератору

	73. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от ФСБ (?), 30-Июн-20, 19:30
	главное чтобы 1 раз по смс/письму входит только ты.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	136. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от jrthw (??), 03-Июл-20, 08:54
	привязка к стороннему сервису-телефону-броузеру  - зло, за которое надо гвозди в голову вбивать.
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	44. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (44), 30-Июн-20, 15:53
	Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает миф о "качестве" хаотичного набора знаков. См. #4.43, у меня настоящий аппаратный гсч и мне давно интересно исследовать "качество" хаотичного набора знаков и сравнить с другими источниками. Я готов заняться разработками в свободное время, но один осилю копание этого вопроса (банально, работа съедает меня). Аппаратный гсч уже несколько лет уже ждет исследования. Предлагаю объединиться и исследовать всем кому интересно не "аргументировать" догадками и страхами.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	74. "Анализ миллиарда учётных записей, полученных в результате ра..."	+2 +/–
	Сообщение от ФСБ (?), 30-Июн-20, 19:35
	Выброси его. Случайности не существует. Существует только не знание хаотических физических процессов.
	Ответить | Правка | Наверх | Cообщить модератору

	114. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Карабьян (?), 01-Июл-20, 12:08
	> Выброси его. Случайности не существует. Существует только не знание хаотических физических > процессов. А как же квантовые эффекты?
	Ответить | Правка | Наверх | Cообщить модератору

	115. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Карабьян (?), 01-Июл-20, 12:09
	> Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает миф о "качестве" > хаотичного набора знаков. > См. #4.43, у меня настоящий аппаратный гсч и мне давно интересно исследовать > "качество" хаотичного набора знаков и сравнить с другими источниками. Я готов > заняться разработками в свободное время, но один осилю копание этого вопроса > (банально, работа съедает меня). Аппаратный гсч уже несколько лет уже ждет > исследования. Предлагаю объединиться и исследовать всем кому интересно не "аргументировать" > догадками и страхами. Хи-квадрат не проверяли? Время это все много не займет
	Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

	52. "Анализ миллиарда учётных записей, полученных в результате ра..."	+3 +/–
	Сообщение от мишалипут (?), 30-Июн-20, 16:31
	1. прежде всего, это защита от брутфорса хешей паролей с уже взломанного сайта. сама база утечек такого размера говорит о том, какая это проблема 2. символы защищают от таких атак гораздо лучше, чем длинные осмысленные комбинации, т.к. уже давно научились брутить пароли цепями маркова (google: hashcat markov), что набручивает длинные осмысленные пароли с невероятной скоростью. упомянутый pasSword вскроется за секунды, а verySupErSecuRePasswordYes всего за часы. На обычной игровой видеокарте, я уже не говорю про облака. 3. помнить нужно только мастер-пароль от хранилища, использовать один пароль на нескольких сервисах по озвученным выше причинам нельзя. >А главное - на практике и столкнуться с реальным взломом перебором, да там, где это будет сколько-нибудь важно - практически нереально... На практике - есть компиляция утечек, в которой есть чуть ли не каждый четвертый пользователь рунета (особенно среди айтишников). Говорить "это меня никогда не коснется" как-то, мягко говоря, поздно. Если почта есть в haveibeenpwned.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	86. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 30-Июн-20, 20:41
	>А главное - на практике и столкнуться с реальным взломом перебором тебе тут какое слово растолковать? > На практике - есть компиляция утечек именно. На практике у кого-то есть миллиард готовых и даже не хэшей, а именно паролей. Поэтому незачем ничего подбирать, а надо просто спросить у базы "какой пароль у Пупкина Василь Петровича от альфабанковской учетки" - и логин заодно.
	Ответить | Правка | Наверх | Cообщить модератору

	128. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (128), 02-Июл-20, 00:03
	Когда тебе сервер выдает ответ раз, например, в секунду, где твоя невероятная скорость на игровой видеокарте? Не советую употреблять вещества с таких количествах, паренек.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	129. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (129), 02-Июл-20, 02:06
	>На практике - есть компиляция утечек, в которой есть чуть ли не каждый четвертый пользователь рунета (особенно среди айтишников). Говорить "это меня никогда не коснется" как-то, мягко говоря, поздно. Если почта есть в haveibeenpwned. Спасибо, отличный сайт! Наконец-то вспомнил давно забытый пароль от почты.
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	55. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от морковка (?), 30-Июн-20, 16:45
	>видим, что никакие спецсимволы реально ни черта не определяют, кроме сложности набора. Что за детский сад. Количество комбинаций (сложность перебора) мы внезапно не учитываем? >Опуская очевидные уязвимости паролей по последнему варианту, видим, что Так-так и из чего мы это видим? >На практике же пароль "pasSword" злоумышленнику немногим легче взломать, чем "pA5$w0Я|)" Для "немногим" существуют конректные математический формулы. Из которых что такие выводы - бред сивой кобылы и очередные субьектвные "ощущения". "pasSword" - lower case + upper case: 52^8 "pA5$w0Я|)" - (опуская "Я") - lower case, upper case, numbers, special: (52+10+32)^8 разница: 52^8 - (52+10+32)^8 - довольно внушительная сравнительно с 52^8 >мне не впилось держать в голове... А не надо держать ничего в голове. Давно уже есть технологии для cred-store с мастер-паролем, физическими токенами, 2FA и т.д.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	58. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 17:03
	> Что за детский сад. Количество комбинаций (сложность перебора) мы внезапно не учитываем? Учитываем. Но комбинации одинаково легко увеличиваются длиной пароля и спецсимволами, однако человеку запомнить длинный пароль куда легче, чем символьную мешанину, а вот взломщику - без разницы. Выше упомянуты эмпирические методы сокращения, но они опять-таки будут работать только там, где пароли примитивны. А примитивность паролей просто-напросто указывает на низкую ценность того, что они защищают. И требование ввести в пароль спецсимволы всего лишь создаст вот такой вот предсказуемый pa$$worD вместо реально стойкого пароля. Имитация безопасности. > А не надо держать ничего в голове. Давно уже есть технологии для cred-store с мастер-паролем, физическими токенами, 2FA и т.д. См. выше про стимовский клиент. В браузере - да, за глаза и по уши мастер-пароля, серьезный доступ все равно закрывается другими методами. Но хранить в какой-то там программке все свои пароли - это сложить всю свою безопасность в одну корзинку... И чтоб два раза не вставать - оппоненту выше про "меня не коснется". Да конечно, меня это касалось, и не раз. Но когда злоумышленник узнал пароль от форума, на котором меня никто не знает - да плевать, что он раскопал такую "важную информацию". Поэтому там и пароль 123456, что защищать-то нечего. И на всю эту статистику стоит смотреть с критическим прищуром: а ценность-то этих украденных аккаунтов в какой части ненулевая? Подозреваю, доли процента...
	Ответить | Правка | Наверх | Cообщить модератору

	60. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (60), 30-Июн-20, 17:23
	> хаотичного набора знаков Я когда сохраняю изображения из браузера, если сталкиваюсь с одинаковыми именами, то тарабаню лишние цифры на клавиатуре. Не раз замечал, что моя тарабанщина иногда совпадает. Если так создавать пароль из букв, тоже заметно, что некоторые буквы встречаются чаще. Приходится вручную малость уникалить, что-то из редкого дописывать.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	116. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Карабьян (?), 01-Июл-20, 12:17
	>> хаотичного набора знаков > Я когда сохраняю изображения из браузера, если сталкиваюсь с одинаковыми именами, то > тарабаню лишние цифры на клавиатуре. Не раз замечал, что моя тарабанщина > иногда совпадает. Если так создавать пароль из букв, тоже заметно, что > некоторые буквы встречаются чаще. Приходится вручную малость уникалить, что-то из редкого > дописывать. Это какой браузер? Сейчас многие уже научились присваиват порядковые номера
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (133), 02-Июл-20, 22:57
	Это если автосохранение в папку включено, да и для "Сохранить как" в случае картинок не подходит.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от Аноним (78), 30-Июн-20, 20:13
	>pA5$w0Я|) В случае md5 этот пароль практически невозможно узнать из хэша, не зная реализацию md5 на сервере. Фишка в том, что md5 работает с ASCII, в случае конвертации из одной локали в другую, md5 в случае кириллицы может подставить условно все что угодно. Поэтому на одном сервере реализация md5 может конвертировать из cp1251 одним алгоритмом, в другом случае может вообще ничего не конвертировать, а просто попытаться получить ASCII каким-то хэцкерским способом аля letter ^ 128. Большинство хэшодробилок для md5 нужно патчить самому, зная конкретно откуда взять пароль. Типовыми дробилками скорее всего такие хэши будут дробиться до скончания веков, пока не получат коллизию md5, где вместо буквы "Я" (а точнее всего пароля) будет получен клон-коллизия настоящего пароля. Говорю, потому что занимался этим вопросом. В других реализациях хэшей может быть иначе. >А главное - на практике и столкнуться с реальным взломом перебором, да там, где это будет сколько-нибудь важно - практически нереально... Очень реально. Дома уже можно ломать пароли на видеокартах в течении одного-двух месяцев для паролей до 12 символов. Не все же используют bluefish, дорогой эксперт =)
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	79. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 20:18
	> Не все же используют bluefish, дорогой эксперт =) Однако практически все используют соленые хэши, что вынудит вас потратить один-два месяца на КАЖДЫЙ пароль, то есть делает перебор категорически нерентабельным. Что и требовалось.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (78), 30-Июн-20, 20:31
	Соль можно легко утащить, о различиях реализации md5 нужно знать заранее. Все дробилки, которые есть в свободном доступе либо сделаны американцами, которые знают только ascii, либо русскими, которые делали для винды. Я даже могу сказать так, что старый сайт на php + соль + кодировка koi8-r + пароль с русскими буквами будет в разы понадежнее от всяких васянов. Даже если американец додумается впихнуть русские буквы в словарь перебора, то он получит кукишь по причине описанной выше.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним84701 (ok), 30-Июн-20, 21:31
	> Я даже могу сказать так, что старый сайт на php + соль + кодировка koi8-r + пароль с русскими буквами будет в разы Все верно -- взять scrypt/yescrypt/PBKDF2 и не маяться <этим самым> было бы слишком скучно :) [0] https://www.openwall.com/yescrypt/
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 22:36
	> Соль можно легко утащить, о различиях реализации md5 нужно знать заранее. Вообще-то сегодняшняя best practice - это хранить хэш, соль и алгоритм хэширования одной строкой. И хрен это помогает взломщику. За копролиты на KOI-8 судить не берусь.
	Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

	124. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (123), 01-Июл-20, 18:31
	> американцами Североамериканцами?
	Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

	85. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 30-Июн-20, 20:33
	> А главное - на практике и столкнуться с реальным взломом перебором, да там, где это будет > сколько-нибудь важно - практически нереально... ну пароль к юзеру test мне как-то таки подобрали - причем он был ни разу не test, но очевидный какой-то. Развлекалось оно, правда, изрядно долго (я был уверен, что ssh на этом хосте недоступен, а он таки был). Если бы не обломались о нетипичные настройки, был бы отличный новый член зомбонета. > Но при этом каждый убогий сайтик спёрбанк и втб24 - "вот сейчас обидно получилось!" - очень долго у обоих пароли были возможны только автоназначенные у первого, без возможности редактировать, и при этом ВОСЕМЬ символов, ВСЕГДА, причем только upper-case латинница и цифры, а у второго вообще только цифры ("забота" о пользователях, имеющих глупость делать операции через sms, причем отдельный пароль, разумеется, ну никак было нельзя) Вот это - "надежно", несите ваши денежки! А steam, зато, не позволяет задать пароль steam suxx! И при этом - у кого-то есть "миллиард учетных записей", и ему ничего подбирать не надо. Но где скачали - эти твари не признаются (что заплатили хоть пол-btcшечки - не верю).
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	96. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 22:41
	> я был уверен, что ssh на этом хосте недоступен Ну, а fail2ban на том хосте, видимо, был недоступен ;) > спёрбанк и втб24 Буквально сегодня простоял час в ВамТутБанке ради операции, которая должна делаться двумя щелчками мыши в кабинете, но, конечно же, "пока не реализована". У меня нет для них хороших слов, но о банках в целом напомню, что их секьюрность держится не на сложности пароля, а на двухфакторной авторизации на каждый чих. Так что - не совсем в тему.
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 30-Июн-20, 23:09
	> Ну, а fail2ban на том хосте, видимо, был недоступен ;) я не пользуюсь говноподелками, которые тебе же и заблокируют доступ. А у зомбонета полно свободных ip - целые /12 в китае. Достаточно было бы и недоступности ssh в принципе, без костылей (что там в общем и должно было быть, не говоря уже о том что и юзер test был несколько лишним после завершения настроек - но, увы, редкопосещаемая коробка, и в какой-то момент времени на нее не хватило) > но о банках в целом напомню, что их секьюрность держится не на сложности пароля, а на > двухфакторной авторизации по телефончику, угу. Причем сбер даже не умеет проверять подмену sim-карты, поскольку вообще уаутсорсил эти sms кому-то левому. (альфа вот умеет, но так что лучше бы не умела. Впрочем, там и пароли как надо - так что можно оправдать паранойю хотя бы надежностью) У ВТБ, пока он был 24, был оффлайн-генератор паролей, и возможность отключить дурацкие sms напрочь - но, увы, были. (К тому же это приводило к другому геморрою - либо тебе нужно было постоянно таскать за собой хрупкий ненадежный генератор, боящийся пыли и сырости, даже чтоб просто посмотреть на состояние счета, либо таки часть операций становилась доступна любому, стырившему пароль. Ну нет, разумеется это нельзя было настроить  и саму настройку закрыть от неимеющих генератора. Ну а теперь и вовсе достаточно подделать сим-карту - что многие ловкие ребята с блеском и проделывают регулярно.)
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 23:18
	> Ну а теперь и вовсе достаточно подделать сим-карту - что многие ловкие ребята с блеском и проделывают регулярно.) Тогда им веб-клиент и ломать незачем. В ВонТомБанке впаривают их клиент для смартфонов так, как будто за каждый окольцованный смарт операционист получает вольную. Подделанная симка, рутованный телефон - и какой там у пользователя был пароль, вообще неважно. Правда, как-то уж очень ловко они скрывают, что их ломает каждый мамкин хакер. Подозрительно...
	Ответить | Правка | Наверх | Cообщить модератору

	101. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 01-Июл-20, 00:02
	> Тогда им веб-клиент и ломать незачем. пароль все же нужен. Его сбросить (у этих двух, как минимум) много сложнее чем перевыпустить симку по поддельному паспорту. > Подделанная симка, рутованный телефон херак, банк-клиент не работает (у сбера именно так, у втб не в курсе) И при этом пароль он таки спрашивает - при первом запуске. > Правда, как-то уж очень ловко они скрывают, что их ломает каждый мамкин хакер. дык, а зачем звонить об этом направо и налево, хорошие ж ребята могут пострадать?! Вот про прекрасные истории со сбером я из первых рук знаю, про втб - из вторых. При этом сотрудник, торговавший данными клиентов - уволился за две минуты до этого события, и продать успел только те пять записей, что засветились в СМИ. А остальное - хрен докажете! Кстати, занятно что поддельные симки, похоже, в основном МТС. А там братва во времена оны была без комплексов - то есть если бы им хоть сколько-то было интересно, как эти симки возникают - вряд ли бы на их вопросы кто-то сумел не ответить. Но им, похоже, совсем неинтересно.
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Карабьян (?), 01-Июл-20, 13:54
	>[оверквотинг удален] > Вот про прекрасные истории со сбером я из первых рук знаю, про > втб - из вторых. > При этом сотрудник, торговавший данными клиентов - уволился за две минуты до > этого события, и продать успел только те пять записей, что засветились > в СМИ. А остальное - хрен докажете! > Кстати, занятно что поддельные симки, похоже, в основном МТС. А там братва > во времена оны была без комплексов - то есть если бы > им хоть сколько-то было интересно, как эти симки возникают - вряд > ли бы на их вопросы > похоже, совсем неинтересно. Р Так пароль можно сбросит зная данные карты и имея доступ к смскам телефона
	Ответить | Правка | Наверх | Cообщить модератору

	138. "Анализ миллиарда учётных записей, полученных в результате ра..."	–1 +/–
	Сообщение от Атон (?), 03-Июл-20, 17:34
	fail2ban помогает защитится только от "недалекого умом" админа сервера. плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно не ранее чем через 3 часа.
	Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

	142. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от тоже Аноним (ok), 03-Июл-20, 20:34
	> fail2ban помогает защитится только от "недалекого умом" админа сервера. плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно не ранее чем через 3 часа. Поэтому если у вас сервер, взлом которого окупит работу целого ботнета - вам стоит серьезнее отнестись к безопасности. Но если у вас обычный российский сайт, про который китайские ботнеты даже не знают, городить на нем супер-защиту не больше смысла, чем бронировать почтовый ящик в подъезде.
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Павел Отредиез (?), 01-Июл-20, 20:01
	Как же так, у ssh нет задержки при переборе?
	Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

	139. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Атон (?), 03-Июл-20, 17:35
	у ssh задержка при переборе помогает защитится только от "недалекого умом" админа сервера. плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно не ранее чем через 3 часа.
	Ответить | Правка | Наверх | Cообщить модератору

	141. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Павел Отредиез (?), 03-Июл-20, 17:47
	>  у ssh задержка при переборе помогает защитится только от "недалекого умом" > админа сервера. > плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно > не ранее чем через 3 часа. Я не разделяю по ip. Прекрасно знаю как сканируют, смотрю в реальном времени с расшифровкой по протоколам и dns.
	Ответить | Правка | Наверх | Cообщить модератору

	94. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Ordu (ok), 30-Июн-20, 22:18
	> Но при этом каждый убогий сайтик, куда ты зашел один раз и никогда больше не вернешься, капризничает: "не меньше 8 символов! Разный регистр! Спецсимволы!!!". Да, это бесит кошмарно. У меня написана утилитка для генерации рандомных паролей, и регулярно приходится воевать с сайтами, потому что одни, видите ли, не приемлют каких-то спецсимволов в паролях, а другим повезло вытащить рандомный пароль без спецсимвола (а я их как правило с меньшей вероятностью втыкаю, потому как буквы запоминать легче), или без заглавной буквы, или без цифры, или ещё без чего-то. > Я к Стиму, блин, не могу запомнить пароль, каждый раз, когда его (изредка) запускаю - восстанавливаю по почте, потому что то, что я ему ввожу, ему, видите ли, не нравится. А ту хрень, что ему нравится, мне не впилось держать в голове... =) Я с каким-то сайтом точно так же общался. Но вот в упор не могу вспомнить с каким. Видимо проблема-таки разрешилась каким-то образом.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

47. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Анан (?), 30-Июн-20, 16:00
Самый лучший пароль: "четыресловавсекапсом" - одним словом строчными буквами.
Ответить | Правка | Наверх | Cообщить модератору

56. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Аноним (56), 30-Июн-20, 16:50
>>>12345678 самый популярный логин от WiFi
Ответить | Правка | Наверх | Cообщить модератору

	63. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (32), 30-Июн-20, 17:55
	И многих хакнули? И что им с этого стало?
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Анонимуз (?), 01-Июл-20, 16:27
	Никому ничего не стало. "Случайно угадал" пароль от вайфая, подключился, проверил мыло и вконтактик и отключился.
	Ответить | Правка | Наверх | Cообщить модератору

	126. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Павел Отредиез (?), 01-Июл-20, 20:07
	Меня один раз хакнули. Напарник снял ip  фильтр  с  rdp.
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

59. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от an (??), 30-Июн-20, 17:15
Полезно иногда проверять свои пароли в базе Троя Ханта. Я там недавно с удивлением обнаружил один из своих "хаотичных" паролей. Проще каким-нибудь скриптом, например, https://github.com/edyatl/passchek Сразу список можно проверить `$ cat pswlist.txt | passchek -np | grep -nv '^0'`
Ответить | Правка | Наверх | Cообщить модератору

	82. "Анализ миллиарда учётных записей, полученных в результате ра..."	+5 +/–
	Сообщение от тоже Аноним (ok), 30-Июн-20, 20:21
	> Полезно иногда проверять свои пароли в базе Троя Ханта [quote] Через некоторое время Сисадмин воскликнул: – Учитель, я подобрал хороший пароль, которого не может быть в словарях. Инь Фу Во кивнул. – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет. – Теперь есть. [/quote]
	Ответить | Правка | Наверх | Cообщить модератору

	91. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от an (??), 30-Июн-20, 21:51
	Ну только там не передается пароль никуда, передаются только первые 5 символов хэша. В этом можно легко убедиться посмотрев код скрипта.
	Ответить | Правка | Наверх | Cообщить модератору

61. "Анализ миллиарда учётных записей, полученных в результате ра..."	–2 +/–
Сообщение от user90 (?), 30-Июн-20, 17:28
Ну такое.. зачем мне знать статистику по обезьянам?)) А пароль обычно pwgen 8, с легкой коррекцией ради лучшей мнемоники.
Ответить | Правка | Наверх | Cообщить модератору

	122. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от OpenEcho (?), 01-Июл-20, 16:35
	Любая биткоин ферма брутфорснет такой пароль за менее чем минут 10-15, и даже быстрей если "с легкой коррекцией ради лучшей мнемоники"
	Ответить | Правка | Наверх | Cообщить модератору

	127. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Павел Отредиез (?), 01-Июл-20, 20:27
	Да блин, в системах бывают задержки между попытками входа. И пофиг тогда ферма или нет.
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от OpenEcho (?), 03-Июл-20, 03:49
	> Да блин, в системах бывают задержки между попытками входа. И пофиг тогда > ферма или нет. Если вы имеете ввиду fail2ban и ему подобные, то это очень хорошая защита, но только с одним условием, - если вы защищаете систему от детворы. Поройтесь в андеграунде, там продаются боты с 10, 20, 50 тысяч зараженных хостов раскиданных по всему миру... Поэтому если пароль деpьмo, то имея под рукой бот, можно быстренько получить доступ... Если же сперли хэши, то ферма с 8-мю символами справиться очень быстро И не забывайте про современные FPGA, если надеетесь на PBKDF2, bcrypt...
	Ответить | Правка | Наверх | Cообщить модератору

64. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от Аноним (32), 30-Июн-20, 17:57
А вообще, тут много хакнутых сидит? Кто испытал на себе проблемы и потери от жесткого взлома? Или только для поддержания постоянного разговора?
Ответить | Правка | Наверх | Cообщить модератору

	118. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Карабьян (?), 01-Июл-20, 13:57
	> А вообще, тут много хакнутых сидит? Кто испытал на себе проблемы и > потери от жесткого взлома? > Или только для поддержания постоянного разговора? Об этом не говорят по разным причина даже анонимно
	Ответить | Правка | Наверх | Cообщить модератору

68. "Анализ миллиарда учётных записей, полученных в результате ра..."	+4 +/–
Сообщение от Онаним (?), 30-Июн-20, 18:50
Что снова напоминает о том, что на всяком овне использовать пароли с высокой энтропией смысла нет, всё равно сольются.
Ответить | Правка | Наверх | Cообщить модератору

72. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от ФСБ (?), 30-Июн-20, 19:19
> Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю (10-символов, случайная комбинация цифр, прописных и строчных букв, отсутствие спецсимволов, прописные буквы вначале и конце) и использовались повторно. Частота повторного использования была достаточно низка (некоторые из этих паролей повторяются 10 раз), но всё же выше, чем ожидалось для паролей подобного уровня. Спалили многоаккаунтных юзеров
Ответить | Правка | Наверх | Cообщить модератору

77. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Аноним (78), 30-Июн-20, 20:03
>Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю Фух. Я уж испугался, что мои пароли расшифровали. На деле выдача pwgen.
Ответить | Правка | Наверх | Cообщить модератору

92. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от Аноним (92), 30-Июн-20, 21:57
> 13.37% паролей состоят только из цифр. > 13.37 Как мы и предполагали.
Ответить | Правка | Наверх | Cообщить модератору

	146. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Fedd (ok), 05-Июл-20, 23:21
	но только 4.522% из всех паролей начинаются с цифры 😌
	Ответить | Правка | Наверх | Cообщить модератору

93. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Анон им (?), 30-Июн-20, 22:10
Течку-то заткнули? Или всё подтекает?
Ответить | Правка | Наверх | Cообщить модератору

	98. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним (75), 30-Июн-20, 23:00
	Сахарный мальчик старается.
	Ответить | Правка | Наверх | Cообщить модератору

103. "Анализ миллиарда учётных записей, полученных в результате ра..."	+2 +/–
Сообщение от Gogi (??), 01-Июл-20, 01:34
Не бывает "слабых паролей" - бывает тухлая система защиты. Если вы вешаете всю сложность по вскрытию на юзера - г0вн0 вы, а не админ! Это не юзер должен запоминать 16 символов, цифр, пунктуаций, иероглифов, а админ должен искать адекватные средства защиты ЕСЛИ там вообще есть что защищать. У меня от банка вообще аппаратный ключ! Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - нормальный, ибо ценность представляет околонулевую.
Ответить | Правка | Наверх | Cообщить модератору

	104. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 01-Июл-20, 01:46
	так-таак, а что за банк? (или ты юрлицо? Так неинтересно.) > Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - нормальный ну нет, Если от твоего имени произойдет какое-нибудь разжигание, или там супротив обнуления чо ляпнешь - потом хрен отмажешься от товарищмайора. К тому же этот пароль как раз и забыть не жаль. Вот пароль от steam - жаль. А steam suxx видите ли - нельзя...
	Ответить | Правка | Наверх | Cообщить модератору

	140. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
	Сообщение от Атон (?), 03-Июл-20, 17:44
	любой каприз за ваши деньги. каждый нормальный банк с радостью выдаст клиенту аппаратный ключ, по заявлению клиента, так как во первых операции совершенные с этим ключом вообще не возможно оспорить, во вторых такой ключ ежегодно "обновляется" (продается клиенту с 200% наценкой).
	Ответить | Правка | Наверх | Cообщить модератору

	143. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 03-Июл-20, 23:48
	ИМЯ, сестра, ИМЯ! Назови хоть один "нормальный банк". Напоминаю - я не юрлицо и не ИП.
	Ответить | Правка | Наверх | Cообщить модератору

	153. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Атон (?), 12-Июл-20, 10:02
	сбер, альфа, БСПб, ПСБ, да в принципе любой из списка банков старше 20 лет. звонишь им по телефону техподдержки и узнаешь детали. разумеется их юристам нужно подписать с тобой доп соглашение. сейчас они начинают принимать еще и квалифицированную ЭЦП Госуслуг.
	Ответить | Правка | Наверх | Cообщить модератору

	154. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 17-Июл-20, 10:03
	> сбер, альфа, БСПб, ПСБ, да в принципе любой из списка банков старше > 20 лет. звонишь им по телефону техподдержки и узнаешь детали. разумеется ну вот в ВТБ можешь не звонить, хотя старше, да. Только пуши и sms. Да, были аппаратные генераторы, причем токеном являлась обычная карта. Год назад о том что они были и где в устаревшей унаследованной еще от "телебанка" системе искать привязки - знал один-единственный офис на весь дефолтсити (и нет, не центральный, там вообще чурки заняты приемом частных лиц), причем новых - не выдают уже пять лет, никак и ни за какие деньги. > сейчас они начинают принимать еще и квалифицированную ЭЦП Госуслуг. нахнахнах.
	Ответить | Правка | Наверх | Cообщить модератору

	147. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Gogi (??), 06-Июл-20, 17:43
	> так-таак, а что за банк? Capitec - www.capitec.co.za Каждому абоненту выдаётся "тамагоча". При логине и при любых списаниях со счёта, ты должен нажать кнопку. Генерируется 6-циферный код, который ты должен ввести. Поэтому можешь пароль хоть 123 делать - без ключа это не работает. >> Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - нормальный > ну нет, Если от твоего имени произойдет какое-нибудь разжигание, или там супротив > обнуления чо ляпнешь - потом хрен отмажешься от товарищмайора. А я и не собираюсь "отмазываться". Каждое мнение имеет право на высказывание. Иначе никакой "свободы слова" попросту нет.
	Ответить | Правка | К родителю #104 | Наверх | Cообщить модератору

	149. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 06-Июл-20, 18:49
	> Capitec - www.capitec.co.za ффак. Да, прошлый раз мне оттуда прислали сообщение, что срочно-срочно переведут на мой счет полтора миллиарда долларов, только надо на минуточку заглянуть в их офис. Не-не-не, нафиг такую уличную магию. >> ну нет, Если от твоего имени произойдет какое-нибудь разжигание, или там супротив >> обнуления чо ляпнешь - потом хрен отмажешься от товарищмайора. > А я и не собираюсь "отмазываться". Каждое мнение имеет право на высказывание. да, но немного обидно подсесть за то, что ломанув твой  пароль 12345 написал кто-то другой? Хотя, если твои приятели те самые ребята, которые предлагали получить полтора миллиарда - я понимаю что тебя это вряд ли беспокоит ;-)
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Карабьян (?), 01-Июл-20, 13:58
	> Не бывает "слабых паролей" - бывает тухлая система защиты. Если вы вешаете > всю сложность по вскрытию на юзера - г0вн0 вы, а не > админ! Это не юзер должен запоминать 16 символов, цифр, пунктуаций, иероглифов, > а админ должен искать адекватные средства защиты ЕСЛИ там вообще есть > что защищать. У меня от банка вообще аппаратный ключ! > Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - > нормальный, ибо ценность представляет околонулевую. Вы зарубежом или у вас как пох заметил юрлицо?
	Ответить | Правка | К родителю #103 | Наверх | Cообщить модератору

	148. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Gogi (??), 06-Июл-20, 17:43
	> Вы зарубежом или у вас как пох заметил юрлицо? ЮАР
	Ответить | Правка | Наверх | Cообщить модератору

	150. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от пох. (?), 06-Июл-20, 18:50
	>> Вы зарубежом или у вас как пох заметил юрлицо? > ЮАР да мы и по домену уже догадались, что не Польша
	Ответить | Правка | Наверх | Cообщить модератору

107. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от КО (?), 01-Июл-20, 06:35
Собирать статистику по ботам - такое себе занятие
Ответить | Правка | Наверх | Cообщить модератору

109. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от Аноним (109), 01-Июл-20, 07:40
Исследование, наверное, проводили "британские учёные", которые и не знают, что есть другие языки, помимо английского. Та четверть данных, что была отброшена как повреждённые данные, может просто была набрана на каком-нибудь национальном языке. А те пароли, что с высокой энтропией - могут оказаться неанглийским словом набранным на английской раскладке клавиатуры.
Ответить | Правка | Наверх | Cообщить модератору

	112. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
	Сообщение от Аноним84701 (ok), 01-Июл-20, 11:15
	> А те пароли, что с высокой энтропией - могут оказаться неанглийским словом набранным на английской раскладке клавиатуры. С чего бы рептилоидам (а у человеков разновиднось "шифра подстановки", т.е. запись "другими символами" как-то не сильно увеличивает энтропию) набирать на английском? o_O
	Ответить | Правка | Наверх | Cообщить модератору

110. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от Нанобот (ok), 01-Июл-20, 09:01
нашёл безопасный пароль - 1 нету даже в топ10М
Ответить | Правка | Наверх | Cообщить модератору

111. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Аноним (-), 01-Июл-20, 10:32
Вскрытие показало, что пациент помер в результате вскрытия.
Ответить | Правка | Наверх | Cообщить модератору

130. "Анализ миллиарда учётных записей, полученных в результате ра..."	+/–
Сообщение от Аноним (130), 02-Июл-20, 11:36
Голосуй, не голосуй, всё равно получишь х... прирост данных.
Ответить | Правка | Наверх | Cообщить модератору

135. "Анализ миллиарда учётных записей, полученных в результате ра..."	+2 +/–
Сообщение от Матцумото (?), 03-Июл-20, 06:59
> 13.37% паролей состоят только из цифр. > только 4.522% из всех паролей начинаются с цифры. Шта?
Ответить | Правка | Наверх | Cообщить модератору

151. "Анализ миллиарда учётных записей, полученных в результате ра..."	+2 +/–
Сообщение от m.makhno (ok), 08-Июл-20, 10:14
тест 👋
Ответить | Правка | Наверх | Cообщить модератору

152. "Анализ миллиарда учётных записей, полученных в результате ра..."	+1 +/–
Сообщение от m.makhno (ok), 08-Июл-20, 10:57
<p>тест pre</p> <pre><code class="json">{ "traceEvents": [] }</code></pre>
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема