The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В ходе аудита удалось подобрать 21% паролей сотрудников МВД США

11.01.2023 12:25

Министерство внутренних дел США опубликовало результаты аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими.

Примечательно, что 99.99% определённых паролей соответствовали правилам выбора сложного пароля, требующим использования в пароле не менее чем 12 символов, а также наличия символов в разных регистрах, цифр и спецсимволов. Подобные требования не помогли избежать указания тривиально подбираемых паролей, например, пароль "Password-1234" использовался 478 сотрудниками, Password123$ - 318, Password1234 - 274, Password1234! - 150, 1234password$ - 138. Более того, пароль у 4.75% активных пользователей основывался на манипуляции со словом "password". Другие популярные пароли: Br0nc0$2012 - 389, Summ3rSun2020! - 191, 0rlando_0000 - 160, ChangeIt123 - 140 и ChangeItN0w! - 130.

Для подбора паролей по хэшам использовалась система с 16 GPU, которая в первые 90 минут смогла подобрать пароли 16% сотрудников (на подбор оставшихся 5% ушло 8 недель). Проверка осуществлялась при помощи коллекции в 1.5 млрд слов, в которую были включены словари для различных языков, словарь специфичных для министерства терминов, типовые последовательности вида "qwerty" и публично доступные списки паролей, полученных в результате утечек и взломов. При переборе учитывались типовые замены букв на цифры и спецсимволы. В качестве методов для усложнения подбора рекомендовано использовать длинные пароли из нескольких слов или автоматически генерировать менеджерами паролей случайные последовательности символов.

Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации, которая применялась лишь в 11% значимых ресурсов (3 из 28), компрометация которых могла нанести серьёзный ущерб организации.

  1. Главная ссылка к новости (https://arstechnica.com/inform...)
  2. OpenNews: Анализ миллиарда учётных записей, полученных в результате различных утечек баз пользователей
  3. OpenNews: Эксперимент с определением паролей пользователей 70% Wi-Fi сетей Тель-Aвива
  4. OpenNews: 15% пользователей потребительских интернет-устройств не меняют пароль по умолчанию
  5. OpenNews: Анализ активности атакующих, связанной с подбором паролей по SSH
  6. OpenNews: Подбор хэшей паролей основателей Unix
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58461-password
Ключевые слова: password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (195) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:51, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Админы в МВД США не используют KeepassXC для генерации паролей?
     
     
  • 2.13, КО (?), 13:25, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +22 +/
    Там скорее всего чихнуть нельзя без согласования, а вы хотите софт установить.
     
  • 2.78, Alex (??), 15:02, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Добыть один пароль ко всем системам проще, чем каждой системе пароль.
     
  • 2.124, Аноним (124), 18:05, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты не читал недавней новости про протечку манагера паролей, да?
     
     
  • 3.135, Аноним (135), 18:34, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Это другой пароль, использующий облако. Кто тебя заставляет хранить базу паролей Кипаса в облаке??
     
  • 3.176, Степан (?), 03:24, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там утекли данные пользователей, а не пароли. Пароли зашифрованы мастер паролем в бд
     
  • 2.125, Аноним (124), 18:06, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Держать все яйки в одной корзине - такое
     
     
  • 3.136, Аноним (135), 18:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что вместо менеджера пароль использовать? Гугл таблицы, текстовый блокнот? А нет я знаю, я знаю хранить пароли в браузере!!
    п.с. тебя никто не заставляет хранить все пароли в одной базе, делай для каждого пароля свою базу.
     
     
  • 4.142, Анон_облегчился (?), 18:55, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > хранить пароли в браузере

    Хранить пароли в firefox или keepass с точки зрения безопасности примерно одинаково. Хранилище и там и там расшифровывается для каждого пароля отдельно.
    Если обнаружится эксплойт спобобный слить базу паролей и перехватить мастер пароль из браузера он сработает и для keepass.

    Безопасное хранение паролей может быть только в совокупности со вторым фактором аутентификации хранимом на другом устройстве желательно без интернета, нампример аппаратный токен с NFC/USB или хотябы просто телефон с TOTP.

    Некоторые товарищи хранят и TOTP и пароли в одном keepass на локалхосте))

     
     
  • 5.180, Аноним (180), 04:39, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Для мента хотя бы хранилище паролей - уже достижение. Лучше, чем стикер на мониторе.

    А запоминать кучу паролей мент точно не станет. Вдруг применят терморектальный криптоанализ, а он не сможет вспомнить?

     
     
  • 6.183, Тот_Самый_Анонимус_ (?), 05:47, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Для мента

    Обычно такими штампами мыслит тупое хомяьё, которое не способно отделить профессию от тупости человека.

    В принципе, в любой сфере деятельности, кроме профильной, количество малограмотных в данной сфере будет +/- одинаковым.

     
     
  • 7.221, Капиталист социалистический (?), 10:58, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я достаточно грамотен, чтобы осознавать, что это очень плохо и знать, что со всем, что у меня находится в интернете уже спокойно можно оформить на меня кредит или 2,но тем не менее мне лень, и я всё равно использую 1 пароль практически для всего...
     
  • 5.184, Аноним (184), 05:47, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Хранить пароли в firefox или keepass с точки зрения безопасности примерно одинаково.

    Бред. Погугли про утечку паролей из браузеров в сервисы проверки орфографии.

     
     
  • 6.187, Аноним (187), 07:32, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж действительно, для местных экспертов и Фраерфокс и кипас, все едино.
     
  • 6.219, пууук (?), 04:21, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пароли утекали из браузера при вводе. Если бы ты вводил их из кираса в браузер они бы тоже утекли.

    Когда утекает при вводе, способ хранения роли не играет.

     
  • 4.144, Аноним (144), 19:09, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    зачем их хранить? головы нет?
     
     
  • 5.152, Аноним (152), 19:48, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Ну и как голова, место для чего-то кроме паролей остаётся или просто один и тот же пароль везде используешь?
     
     
  • 6.159, ИмяХ (?), 20:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В детстве в школе каждую неделю учили наизусть какой-нибудь стих, который состоит из десятков разных слов, а сейчас люди уже настолько деградировала, что не могут один раз выучить этот десяток слов.
     
     
  • 7.171, Аноня (?), 22:11, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Открывая менеджер паролей свой, а там 1012 паролей с 25+ символов включая спец знаки. Удачи запоминать такие стихи. Или нужно только 10 использовать и ещё потом перебирать при случае, когда раз в год нужно зайти?
     
  • 7.177, Аноним (152), 03:30, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты таблетки забыл принять? Какие пароли ты учить наизусть собрался, болезный?
     
  • 7.209, Аноним (209), 13:13, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А сейчас ты уже настолько деградировал, что не то что те стихи, элементарную орфографию не вспомнишь
     
  • 5.208, Аноним (208), 12:23, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Голова чтоб в нее кушать, а не пароли хранить.
     
  • 4.145, Анон_облегчился (?), 19:19, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > хранить пароли в браузере

    Хранить пароли в firefox или keepass с точки зрения безопасности примерно одинаково. Хранилище и там и там расшифровывается для каждого пароля отдельно.
    Если обнаружится эксплойт спобобный слить базу паролей и перехватить мастер пароль из браузера он сработает и для keepass.

    Безопасное хранение паролей может быть только в совокупности со вторым фактором аутентификации хранимом на другом устройстве желательно без интернета, нампример аппаратный токен с NFC/USB или хотябы просто телефон с TOTP.

    Некоторые товарищи хранят и TOTP и пароли в одном keepass на локалхосте))

     
     
  • 5.188, Аноним (187), 07:36, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну хватит уже чушь нести, ну серьезно, даже не смешно. Местные эксперты, такие эксперты.
     

  • 1.2, ryoken (ok), 12:52, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Из опыта видно, что в МВД США тоже дуболомов хватает :).
     
     
  • 2.6, Аноним (6), 13:08, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А кто ещё в мвд пойдёт работать?
     
     
  • 3.10, Аноним (10), 13:15, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как же сотрудник гугла с $500к зп с радостью пойдет в МВД на $50к потому что надо(нет)
     
  • 2.16, хрю (?), 13:35, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну МВД везде примерно одинаковые. Меняется только этикетка.
     
     
  • 3.98, Аноним (98), 16:19, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В США полиция не имеет никакого отношения к МВД
     
     
  • 4.148, Аноним (148), 19:31, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    та полиция - совсем не тутошная полиция, не смотря на одинаковые названия.
     
     
  • 5.202, YetAnotherOnanym (ok), 12:02, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тамошнее МВД - это что-то вроде Росимущества, Росреестра и Минприроды в одном флаконе. Министерство домашнего хозяйства страны. Никакого отношения к полиции, как тебе уже сказали, оно не имеет.
     
     
  • 6.215, Аноним (215), 14:54, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Карл, ты что, совсем не понимаешь, что одинаковые слова в разных странах могут иметь разный смысл?! Глупо сравнивать "полиции" разных стран, т.к. это совсем разные структуры, несмотря на название.
     
  • 2.137, Аноним (135), 18:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Министерство внутренних дел США (англ. United States Department of the Interior (DOI)) — один из исполнительных департаментов США, основанный 3 марта 1849 года.

    Управляет бо́льшей частью природных ресурсов и земель под федеральной юрисдикцией, руководит программами, связанными с американскими индейцами, коренными жителями Аляски, коренными гавайцами, а также занимается территориальными делами в островных районах Соединенных Штатов. В отличие от министерств внутренних дел в других странах, основная функция министерства — не полицейскиe мероприятия и организация безопасности, а управление землёй.

     
     
  • 3.151, Аноним (148), 19:42, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > основная функция министерства — не полицейскиe мероприятия и организация безопасности

    Да, Карл, внезапно, это именно так. Вот тебе органы __не__ МВД, которые выполняют указанные функции: Прокуратура, Следственный комитет, ФСБ, Министерство обороны, Росгвардия, Федеральная таможенная служба, Министерство юстиции.

     
     
  • 4.185, Аноним (185), 06:40, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В состав входят, но _не_?
     
     
  • 5.214, Аноним (215), 14:49, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > В состав входят

    В какой состав?! Это всё разные органы.

     

  • 1.3, Аноним (3), 12:53, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    откуда инфа про 16 гпу, в документе не находит поиском
     
     
  • 2.7, Аноним (7), 13:09, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    "The setup we use consists of two rigs with 8 GPU each (16 total), and a management console. The rigs themselves run multiple open source containers where we can bring up 2, 4, or 8 GPU and assign them tasks from the open source work distribution console. Using GPU 2 and 3 generations behind currently available products, we achieved pre-fieldwork NTLM combined benchmarks of 240GHs testing NTLM via 12 character masks, and 25.6GHs via 10GB dictionary and a 3MB rules file. Actual speeds varied across multiple test configurations during the engagement."
     

  • 1.4, Аноним (4), 12:58, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну правильно, если есть возможность перебора, то система уже дно. Люди не железные, чтобы запоминать эти сотни 20-значных паролей и ещё менять их постоянно. А вот переиспользование одного пароля в разных сервисах это уже серьёзная проблема, при направленных атаках выливается в нехорошие вещи.
     
     
  • 2.11, Аноним (10), 13:16, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Им никто не запрещает использовать смарт карты и отпечатки пальцев. Однако они их не используют как ты думаешь почему?
     
     
  • 3.14, ivan_erohin (?), 13:27, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1) смарт карты не знаю почему не используют. кредитные карты для США привычная вещь уже 3 поколения, все знают как с ними безопастно обращаться и что делать при утере.

    2) отпечатки пальцев - рискну предположить почему:
    2.1. вся биометрия - обман.
    2.2. чтобы не начали резать пальцы.

     
     
  • 4.26, Аноним (26), 13:52, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Неудобно, ненужно, дорого. Везде на свете приделывать считыватель пальцев или смарткарты (которые не везде можно присобачить). Короче UX страдает очень сильно.
     
  • 4.53, Аноним (53), 14:12, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    резать не нужно, 3d копии пальцев не сложно сделать просто по фото или банально лидаром снять у проходящего мимо человека
     
     
  • 5.218, Александр (??), 00:46, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это сложно, проще отрезать
     
  • 4.97, Аноним (97), 16:16, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Паста ГОИ?
     
     
  • 5.205, YetAnotherOnanym (ok), 12:04, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Электрорубанок.
     
  • 4.116, пох. (?), 17:39, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты только вот похоже - не знаешь Хинт _кредитная_ карта в Штатах обычно даже п... большой текст свёрнут, показать
     
     
  • 5.153, Аноним (152), 19:54, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хинт: _кредитная_ карта в Штатах обычно даже пина не имеет.

    Не только имеет, но ещё и ограничен 4 цифрами. И некоторые операции без пина невозможны. Другое дело магнитная полоса. Она действительно исчезает понемногу, но это всё ещё экзотика.

     
     
  • 6.162, пох. (?), 20:45, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты точно в Штатах хоть проездом бывал?

    С кредиткой там никто не делает "некоторых операций" - поэтому и пины нахрен никому не нужны, большинство банков их и не выдают если специально не просить.

    > Другое дело магнитная полоса. Она действительно исчезает понемногу,

    у меня для тебя плохие новости - в штатах она не то что никуда исчезать не собирается, там чиповые карты появились последними из всех, когда где-нибудь в европах уже можно было напороться на терминал, который других вовсе не принимает. Потому что на самом деле они там нафиг никому были не нужны (ну кроме понаехов которым вообще никто кредитку не выдает).

     
     
  • 7.166, anonymous (??), 21:32, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я не был и не собираюсь но почему то кажется что ты прав - они просто тупо намного богаче и издержки разгильдяйства здорово покрываются уровнем комфорта. Потому логика совершенно другая, для нас какая то абсурдно дикая и как бы в ущерб себе.Читал что основной способ решения любой проблемы американцами - залить ее деньгами. Потому им реально пофиг на такие мелочи как например известные в ютубе скам фирмы в Калькутте грабящие стариков по тебефону, ну есть и что - общий обьем бабла и ресурсов настолько велик что это капля в море.
     
     
  • 8.170, ACCA (ok), 21:53, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там тоньше и совсем даже без разгильдяйства и больших денег Клиент не отвечает ... текст свёрнут, показать
     
     
  • 9.174, пох. (?), 00:48, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, что ты даже у моего э американского, да, банка - всей активации обы... текст свёрнут, показать
     
  • 7.178, Аноним (152), 03:32, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я живу тут неподалёку, слегка в курсе.
     
  • 5.191, Аноним (191), 09:18, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Общаются с ней совершенно по расп..яйски, совершенно не парясь. Ну, надеюсь, сообразишь сам, почему.

    Почему? Я несообразительный. Плиз!

     
  • 3.32, Аноним (32), 13:56, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Отпечатки пальцев - ну такая защита прям. Снял с любого гладкого предмета, куда касался испытуемый, копию и вперёд.
     
     
  • 4.36, Аноним (1), 13:58, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мы сейчас приняли решения отказаться от отпечатков пальцев в пользу таблеток.
     
     
  • 5.65, BeLord (ok), 14:34, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мы сейчас приняли решения отказаться от отпечатков пальцев в пользу таблеток.

    Красных или синих?-))


     
     
  • 6.101, Аноним (101), 16:38, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1-Wire keys.
     
  • 4.51, Деанон (?), 14:09, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мой дурацкий сяоми бесит меня тем, что часто приходится пересоздавать отпечаток, у меня руки же не только для клавиш и мышки.
     
  • 3.47, Деанон (?), 14:07, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Какие отпечатки? Нужно просто ограничить перебор. Разблокировку лиц фотками уже проходили, и отпечатки подделать не проблема -- в автобусе на поручне снял и всё. Но вам втирают RFID, как будто их нельзя тупо скопировать.
     
     
  • 4.67, Аноним (67), 14:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    как ограничить перебор, если есть доступ к хэшам паролей?
     
     
  • 5.117, пох. (?), 17:41, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не продалбывать хэши паролей? А, нет, это не про новое поколение админов...
     
     
  • 6.154, Аноним (152), 19:55, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не ломают только неуловимых джо.
     
  • 6.172, Аноним (67), 23:34, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раз такой идеальный, то можно даже пароли в явном виде вместо хэшей хранить, ведь ты их никогда не продолбешь.
    Заодно и пользователям удобно -- если они забыли пароль, то ты всегда сможешь его подсказать
     
  • 4.112, пох. (?), 17:16, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Но вам втирают RFID, как будто их нельзя тупо скопировать.

    правильный - нельзя (поскольку мало того что на двойном ключе построено, так еще и ни тот ни другой не светятся, передается бессмысленная строка зашифрованная)

    хотя, разумеется, обычные контактные смарткарты все же надежнее. И да, еще и пин могут требовать. Необратимо отыквливаясь с третьей попытки.


    И да, успехов подобрать даже этот Password123! если после третьей попытки акаунт блокируется, а к месту где вводили этот пароль выезжают специально обученные собаки.

    А если у тебя сп-ли базу AD со всеми учетками, потому что ты по сей день не смог убрать из сети свой любимый 2003й сервер - у тебя, скорее всего, совсем другие проблемы. Пароль можешь в принципе оставить этот, он удобный.

     
     
  • 5.198, товарищ майор (?), 11:25, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Т.е., если я захочу заблокировать работу сотрудника, то мне достаточно 3 раза ввести произвольный пароль к почтовому ящику? Ну такое себе решение.
    Ну, и на сладкое, разорить контору через DDoS кинологической службы... Сейчас смена IP-адреса не стоит ни чего!
    Лучшим решением была бы задержка на логин после ввода пароля, но при паролях на уровне "Password123!" даже это не спасёт!
     
  • 3.77, rshadow (ok), 14:57, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из попроще - везде прикручивают двухфакторную авторизацию. Как необходимый минимум вполне сгодилось бы.
     
  • 3.127, Аноним (124), 18:14, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > отпечатки пальцев

    И как, пробовал сменить себе отпечатки пальцев?

     
     
  • 4.206, пох. (?), 12:04, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> отпечатки пальцев
    > И как, пробовал сменить себе отпечатки пальцев?

    г-но вопрос, кстати. В смысле - ты зайти никуда в результате не можешь, а вот те, другие васяны, позаботившиеся вовремя - от твоего имени запросто, у них-то слепок не испортится.

    Достаточно как следует вляпаться в кислоту. (Если балуешься с запрещенными э... материалами - то можно вообще на всю жизнь остаться без рисунка на пальцах при мелкой неаккуратности.)

     

  • 1.5, Аноним (1), 13:00, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    >Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации,

    Должна быть обязательной.

     
     
  • 2.9, Аноним (10), 13:14, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что делать когда ты потерял второй фактор? Или он сломался?
     
     
  • 3.12, Привет (?), 13:24, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Купи новый телефон. Это вообще не проблема, в 99.99999% ни у кого ничего не ломается и не теряется. Оставшиеся немного пострадают и этим можно пренебречь.
     
     
  • 4.22, Аноним (26), 13:49, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В твоём воображении? Ты типичный чиновник. По дефолту чтобы перейти на новый телефон надо два телефона рядом положить. Если первый потерян то это всё с концами.
     
     
  • 5.29, Аноним (1), 13:54, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Не надо использовать мобильные приложение для двухфакторки. Нужно использовать KepassXC для настройки TOTP и для хранения паролей. Вы ведь не храните пароли в гугл таблица или блокноте, ведь?
     
     
  • 6.35, Аноним (32), 13:57, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В облаках :)
     
     
  • 7.39, Аноним (1), 14:01, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В каких облаках, можно по конкретнее?
     
  • 5.156, Аноним (152), 20:01, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это только если у тебя китаефон за 3 копейки. Флагманы через облако отлично всё мигрируют. Да и что ты там мигрировать-то собрался? 3½ приложухи из гуглплея? Ей-богу, как дети.
     
  • 3.15, Аноним (15), 13:31, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    TOTP всё равно работает на базе одного длинного ключа - его можно записать (хотя звучит, конечно, как бред)
    ну и не стоит забывать про резервные коды - их должно хватить на нужное количество сеансов до восстановления (читай сброса) TOTP
     
     
  • 4.23, Аноним (26), 13:50, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому никто и не пользуется вторым фактором.
     
     
  • 5.25, Аноним (1), 13:51, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кто никто? Можно IP адреса этих никто?
     
     
  • 6.37, Аноним (32), 13:58, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    192.168.0.2
     
     
  • 7.40, Аноним (1), 14:02, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ой а у меня 192.168.0.3 не подходит.
     
     
  • 8.229, АнонДеаноновичМАЙОР (?), 09:05, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    127 0 0 1 Там такой урод живет, вечно трафик сжирает зараза Я думаю нам его нуж... текст свёрнут, показать
     
  • 6.203, nonimusnonim (?), 12:02, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    103.46.148.0/22
     
  • 5.27, Дима (??), 13:52, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вот по тому, что не используют 2-й фактор, всех и ломают.
     
     
  • 6.30, Аноним (1), 13:54, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как ты сломаешь двухфакторку? Можно по-подробнее? А то я устал от голословных утверждений местных экспертов.
     
     
  • 7.131, васян_друган_полковника_фсб (?), 18:20, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    могу помочь, если очень надо
     
  • 3.24, Аноним (1), 13:51, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    TOTP подключается в kepassxc базе. KepassXC база может копироваться бесконечное количество раз и храниться в бесконечном количестве мест.
     
  • 3.31, Дима (??), 13:55, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по вопросу "что делать если потерялся или сломался второй фактор" - идти и читать документацию о том, как работает двухфакторная аутентификация, а не показывать свою техническую неграмотность онлайн.
     
     
  • 4.38, Аноним (38), 14:00, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если потерялся второй фактор - обращаешься к сисадмину-аникею своей конторы ровно точно также если просто забыт пароль, вообще не проблема))
     
     
  • 5.42, Аноним (1), 14:04, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Второй фактор не может потеряться, потому что он изначально не нужен пользователю, а хранится в kepassxc базе у админа и вводится им же через Anydesxk по запросу в письменном виде под роспись.
     
  • 3.33, Аноним (1), 13:56, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Что делать когда ты потерял второй фактор? Или он сломался?

    Сам факт того что ты задаешь такой вопрос говорит о том что ты понятия не имеешь что такое менеджер паролей и хранишь пароли в текствовом файле а двхуфакторку настраиваешь через приложение в смартфоне.

     
  • 3.41, Аноним (38), 14:02, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В случае потери второго фактора обращаешься к системному администратору и он выдает новый
     
  • 3.57, X86 (ok), 14:21, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У Яндекса, например, Я. Ключ позволяет восстановить ключи из облака. Да, это несколько снижает безопасность, но все равно вероятность кспешной атаки минимальна. Так как атакующему нужно не только подобрать имя пользователя/пароль, но и получить доступ к СМС или списку звонков.
     
     
  • 4.62, Аноним (1), 14:30, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня не получилось ни разу установить и  настроить Я.Ключ на Андроид. Хранить пароли в облаке такое себе решение.
     
     
  • 5.226, X86 (ok), 20:24, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня не получилось ни разу установить и  настроить Я.Ключ на
    > Андроид. Хранить пароли в облаке такое себе решение.

    Что там устанавливать и настраивать? Устанавливается как любая программа весом в пару мегабайт и настраивается просто подключением защищаемых объектов с QR-кодов. При переходе на новое устройство со старого бэкапится в облако, восстанавливается на новом.

     
  • 4.82, Kuromi (ok), 15:20, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Зато тов. Майор тоже может легко "восстановить" твои ключи.
     
     
  • 5.225, X86 (ok), 20:21, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Зато тов. Майор тоже может легко "восстановить" твои ключи.

    Также как и в случае с Google, разницы никакой. Неужели после информации, полученной от Сноудена, Ассанжа и т.д. еще есть верующие в свою анонимность.

    Притом, что в случае с Яндексом хотя бы вероятность, что в один прекрасный день в твоей стране оно превратится в тыкву, потому что ее отключили по приказу американских исключительных властей, минимальна.

     
  • 3.79, rshadow (ok), 15:02, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тут как раз все соответствует очень хорошему принципу: "простые вещи делать легко, сложные делать возможно". Телефон есть у всех и ввести код из смс или пуша осилят все. При поломке/утрате - вариант сложного использования, но решабельно: купить новый телефон. В течении дня можно решить эту проблему или хотябы воспользоваться телефоном коллеги/родственника/соседа.
     
     
  • 4.128, пох. (?), 18:17, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    только принцип перепутан - вот правильный заставь дурака богу молиться - он и с... большой текст свёрнут, показать
     
     
  • 5.138, Аноним (101), 18:38, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    libccid нормально работает.
     
     
  • 6.163, пох. (?), 20:51, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это которая через вечнодырявый pcscd? Ему драйвер нужен, вообще-то.

    Ну и в принципе тем ребятам из МВД не на локалхосте надо было авторизоваться-то.
    Короче - начнешь внедрять в организации побольше подвальной - поймешь.

    (Результат внедрения у нас - на терминал в совокинге залогиниться токеном можно. На виртуалку где собственно корпоративный софт - нельзя. Ну и разумеется это дерьмовые usb-only токены а не нормальные пассивные смарткарты "ридеров совместимых нет". Поэтому в общем и хорошо, что нельзя.)

     
     
  • 7.192, Аноним (192), 09:48, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вы просто SSSD не сумели настроить, а так-то смарткарты отлично работают с Kerberos (PKINIT).
     
  • 5.199, товарищ майор (?), 11:36, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  херак, внезапно у твоего оператора, кто бы мог подумать - нет тут роуминга. Ага, вот так.

    TOTP можно делать сразу на 2-х брелках, один из которых хранится в сейфе, а другой на ключах или в телефоне.
    Но вообще, утеря 2-го фактора такой же повод обратиться к админу для его смены, как и утеря пароля.

     
  • 4.132, васян_друган_полковника_фсб (?), 18:23, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Телефон есть у всех и ввести код из смс или пуша осилят все.

    Это точно. Нам тоже очень удобно, если ты нас заинтересовал.

     
  • 3.155, Аноним (152), 19:58, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Идти в отдел айти и просить новый, очевидно. В худшем случае побакланишь день, может заодно порядок на столе у себя наведёшь. В чём проблема-то?
     
  • 3.200, товарищ майор (?), 11:38, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То же, что и при забытии пароля - обратиться к админу для генерации нового кода.
     
  • 2.52, Деанон (?), 14:11, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый школьник знает как устроить порядок более жесткими ограничениями, при этом борясь с родителями, а те, кто старше -- с дедушками.
     
  • 2.133, Аноним (124), 18:24, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Должна быть обязательной.

    Бронированные трусы носишь?

     

     ....большая нить свёрнута, показать (39)

  • 1.8, Аноним (10), 13:13, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Как они узнали мой пароль?
     
     
  • 2.18, хрю (?), 13:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ майорЪ? :D
     
  • 2.19, Аноним (4), 13:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя недостаточно надёжный пароль. Возьми мой, я везде использую qwerty12345 и ни разу не подобрали.
     
     
  • 3.34, Аноним (1), 13:57, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >qwerty12345

    Ну так нельзя, ну это совсем легкий пароль, ну хотя бы Qwerty!2345

     
     
  • 4.43, Аноним (148), 14:04, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    чем не устраивает 2t5yqe41w3r?
     
     
  • 5.46, Аноним (1), 14:07, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Трудно запомнить же.
     
     
  • 6.59, X86 (ok), 14:23, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    КвЕ-РТИ1234 и то надежней, чем эти ваши QWERTY1234
     
     
  • 7.61, Аноним (4), 14:27, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Именно поэтому там должно быть 5, и не 4 или 6 -- эти могут подобрать.
     
  • 6.76, Аноним (148), 14:52, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя нет воображения. Потренируйся на глокой куздре, которая штеко будланула бокра и курдячит бокрёнка. Мозг ещё и не такую ахинею запомнить может.
     
     
  • 7.105, тоже Аноним (ok), 16:53, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Клинический идиотизм всей этой истории с требованиями к "сложным" паролям и регулярной их смене - ИМЕННО в том, что вся эта тряхомудия МЕШАЕТ пользоваться реально сложными для ПОДБОРА и при этом легко ЗАПОМИНАЮЩИМИСЯ паролями.
     
  • 4.48, Аноним (4), 14:07, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нормальный, много знаков, буквы, цифры. А все эти спецсимволы сложно запомнить, потом перебирать комбинации.
     
     
  • 5.55, Аноним (1), 14:18, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >спецсимволы сложно запомнить
    >сложно запомнить
    >запомнить

    Ты хочешь сказать ты запоминаешь больше одного пароля?
    Ох уж эти эксперты опеннета, который запоминают все пароли.

     
     
  • 6.58, Аноним (4), 14:23, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет конечно. Но если ты заменил символ, запомнится то всё равно как "с какими-то заменами", и вот их придётся перебирать каждый раз.
     
     
  • 7.63, Аноним (1), 14:32, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чего перебирать, куда перебирать, что за ерунда? Один пароль от базы запомнил и всё.
     
     
  • 8.71, Аноним (4), 14:39, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем тебе какая-то база, ты о чём вообще Я тебе толкую о том, что спецсимволы ... текст свёрнут, показать
     
     
  • 9.113, Аноним (1), 17:25, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    То есть ты мало того что пытаешься запоминать пароли от сайтов, так ещё и разреш... текст свёрнут, показать
     
     
  • 10.115, Аноним (4), 17:35, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Зачем А так, ну правильно, ты же не будешь каждый день вводить пароли, чтобы ло... текст свёрнут, показать
     
     
  • 11.139, Аноним (135), 18:40, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Всмысле не будешь Я только так и делаю Ну всмысле наживают автоввод и кипас вв... текст свёрнут, показать
     
     
  • 12.143, Аноним (4), 19:01, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем Ты куки удаляешь что ли ... текст свёрнут, показать
     
     
  • 13.193, Аноним (1), 10:04, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи, а как ты пароли из куки достанешь ... текст свёрнут, показать
     
     
  • 14.194, Аноним (4), 10:43, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем тебе пароли пароли , ведь ты уже залогинен ... текст свёрнут, показать
     
  • 4.66, BeLord (ok), 14:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>qwerty12345
    > Ну так нельзя, ну это совсем легкий пароль, ну хотя бы Qwerty!2345

    Хороший пароль, особенно, если его в китайской раскладке набрать-)


     

     ....большая нить свёрнута, показать (21)

  • 1.17, Аноним (148), 13:35, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    почему пароль не хешится вместе с логином?!
     
     
  • 2.20, Аноним (7), 13:46, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > почему пароль не хешится вместе с логином?!

    Потому что прикрепление известной строки не усложняет подбор. Это получается как соль, которая лишь делает разными хэши для одинаковых паролей разных пользователей, но на сложность подбора не влияет.

     
     
  • 3.21, Аноним (21), 13:49, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Надо использовать PBKDF2 и сто тысяч миллиардов операций.

    Done.

     
     
  • 4.28, Аноним (26), 13:53, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты договаривай. Пусть они сразу используют ssh ключи.
     
  • 3.44, Аноним (148), 14:05, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > прикрепление известной строки

    почему логин стал известен?!

     
     
  • 4.49, Аноним (148), 14:07, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    P.S. Они бы ещё при ошибке логона выдавали: Ваш пароль не совпадает со значением "ромашка", указанным при регистрации.
     
  • 3.106, тоже Аноним (ok), 16:57, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Прикрепление известной РАЗНОЙ строки не позволяет составить одну радужную таблицу на всю сворованную базу, вынуждая строить ее для каждого аккаунта заново.
    Если нужно взломать одного админа - разницы нет.
    Если же цель - выцедить из миллионов копов тех, кто Passw0rd - разница весьма и весьма критична.
     
     
  • 4.111, Аноним (10), 17:14, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Там нет копов.
     
     
  • 5.118, тоже Аноним (ok), 17:41, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это в корне меняет дело.
     
  • 3.222, ivan_erohin (?), 13:40, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > прикрепление известной строки не усложняет подбор.

    [...]
    > соль [...] на сложность подбора не влияет.

    лови биометриста двухфакторного !

     

  • 1.45, Аноним (45), 14:06, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Забавный факт - МВД США - это не силовая структура, а аналог, скорее, Минприроды РФ.
     
     
  • 2.83, Аноним (10), 15:28, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1) Это хорошо
    2) Как это им мешает сделать нормальную безопасность?
     
     
  • 3.84, Аноним (45), 15:30, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > 2) Как это им мешает сделать нормальную безопасность?

    https://www.doi.gov/contact-us

     
     
  • 4.86, Аноним (10), 15:34, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Говорят что им пофиг на безопасность. Им за это не доплачивают. Добавили что ваши ожидания — ваши проблемы.
     
     
  • 5.223, ivan_erohin (?), 13:43, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > им пофиг на безопасность. Им за это не доплачивают.

    кроме пряника есть еще и кнут, а кроме убеждения - принуждение.

     
  • 2.95, Аноним (148), 16:12, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > МВД США - это не силовая структура, а аналог, скорее, Минприроды

    структура по спасению застрявших енотов.

     
     
  • 3.140, Аноним (135), 18:41, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еноты заслуживают чтобы их спасали, они забавные.
     

  • 1.54, Аноним (54), 14:17, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Чё ещё за орландо и бронко?
     
     
  • 2.68, grinder (??), 14:36, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Похоже, какие-то спортивные команды, а год связан с сезоном или что-то такое.
     
     
  • 3.75, _hide_ (ok), 14:51, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего пароль для "начинающих".
     
     
  • 4.85, Аноним (10), 15:32, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Бронко команда из Саус Парка, Орландо просто прикольный город.
     
     
  • 5.160, qqq (??), 20:37, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Bronco - культовый внедорожник Ford
     
  • 2.182, Аноним (182), 05:17, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Необъезженные лошади — и мустанги, и другие породы — назывались бронко, от испанского слова, означающего «грубый».
     

  • 1.56, X86 (ok), 14:19, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, откуда у них мой пароль?)
     
  • 1.69, BeLord (ok), 14:37, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Период ввода повторного пароля, после неудачной попытки 1 секунда, ну и сколько времени они будут подбирать пароль перебором?-)))

     
     
  • 2.73, Аноним (148), 14:41, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    они хеш сравнивают, а не вводят.
     

  • 1.70, Аноним (70), 14:39, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > в Active Directory

    Ржака. Ну успехов.

     
  • 1.80, Аноним (80), 15:12, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А Joseph Bonneau предупреждал. https://jbonneau.com/publications.html
     
  • 1.81, Аноним (81), 15:17, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А почему фрешку с ключом и активацию по почте никто не использует. Когда биометрия в продажу поступит?
     
     
  • 2.87, Аноним (10), 15:34, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что на самом деле всем пофиг.
     
  • 2.134, Аноним (124), 18:27, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Когда биометрия в продажу поступит?

    Когда научишься отращивать новые отпечатки взамен украденных.

     
  • 2.196, InuYasha (??), 11:18, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Герман Оскарович, залогиньтесь.
    Или пароль забыли? )
     

  • 1.88, Аноним (88), 15:37, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    МВД США? :)))) В США нет МВД. То, что вы 40 лет принимали за оргазм, оказывается, называется астма.
    The U.S. Department of the Interior protects America's natural resources and heritage, honors our cultures and tribal communities. Т.е. это не правоохранительный орган.
     
     
  • 2.91, zog (??), 15:55, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да, МВД - это не правоохранительный орган и он таки есть в США.
     
  • 2.92, Аноним (148), 16:00, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. это не правоохранительный орган.

    Удивительно, Карл, да? Что МВД - не правоохранительный орган.

     

  • 1.90, анон (?), 15:46, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лол,а они продержались дольше анб, которые сами обрезали до 6ти символов любой пароль в компании.
     
  • 1.100, Аноним (100), 16:35, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такой высокий процент подбора: не иначе - паяльником подбирали.
     
     
  • 2.123, . (?), 18:03, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Шваброй или кувалдой. Паяльник с утюгом в 90-х применялся для подбора паролей.
     
     
  • 3.230, АнонДеаноновичМАЙОР (?), 09:08, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Еще бутылка от колы 1 литр
     

  • 1.103, Аноним (103), 16:43, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    C каких пор двухфакторная аутентификация защищает?
     
     
  • 2.110, zog (??), 17:14, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А что она делает?
     
     
  • 3.164, Аноним (164), 20:52, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    В подавляющем числе случаев просто сливает номер мобильного телефона пользователя каждому левому сервису.
     
     
  • 4.189, Аноним (187), 07:48, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я если я не пользуюсь приложением на телефоне?
    Ох уж эти местные эксперты.
     
     
  • 5.195, Аноним (195), 11:13, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "В подавляющем числе случаев" двухфакторка заключается в том, что с тебя требуют номер мобильного, на который будут присылать смс. Ничего устанавливать на смартфон при этом и не требуется.
     
     
  • 6.197, InuYasha (??), 11:20, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какая разница? Номер телефона слит, паспорт ассоциирован. Гуляй@совершай.
     
     
  • 7.211, Аноним (209), 13:25, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И вот почему-то гуляют, совершают, а найти их тутейшие спецы не в состоянии
     
     
  • 8.224, InuYasha (??), 15:09, 13/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хорошо, раскрою скрытый пункт дружи заноси гуляй совершай ... текст свёрнут, показать
     

  • 1.109, Аноним (10), 17:13, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так сколько единиц ответственного хранения у это странной организации? Ровно нуль (0) так и что если какой-то из этих паролей протечет что злоумышленники смогут с помощью него достать? Голые фотки работника с рабочего стола?
     
  • 1.114, birdie (ok), 17:32, 11/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > The Department did not timely disable inactive (unused) accounts or enforce password age limits, which left more than 6,000 additional active accounts vulnerable to attack
    > enforce password age limits

    Эффективность этой меры никем никогда не была доказана, зато недостатков море - люди придумывают идиотские пароли и записывают их в passwords.txt на рабочем столе.

    Хорошие сильные пароли можно никогда не менять. Точка.

     
     
  • 2.120, birdie (ok), 17:42, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Здравый смысл восторжествовал ... большой текст свёрнут, показать
     
  • 2.122, пох. (?), 17:47, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Эффективность этой меры никем никогда не была доказана,

    Не, ну почему же? Если менять пароли каждые два часа - даже Password321! могут не успеть подобрать - пока скачаешь базу, пока запустишь... ой, уже 322!

    > Хорошие сильные пароли можно никогда не менять. Точка.

    Увы, нет. В больших организациях да еще с расп-ским подходом к безопасности можно быть уверенным что твой хэш уже сп-ли.
    А помнить хороший сильный пароль о двенадцати+ символах с еще и идиотскими требованиями к символам - ну можно один, можно пару, но тебе, скорее всего ведь, нужно больше?

    Поэтому продолжаем пользоваться автогенеренной незапоминаемой бнопней и клеить бумажки к монитору. Почему-то физическая безопасность, кстати, даже в таких лавочках менее позорная.

    Мониторы редко воруют.

     
     
  • 3.232, Аноним (45), 14:55, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В этом и суть, пусть даже хэш хорошего пароля уже у них и есть - подбирать парол... большой текст свёрнут, показать
     
  • 2.141, Аноним (135), 18:42, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароль с какой энтропией считается жостаточно сильным?
     
     
  • 3.158, Аноним (148), 20:24, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    отсутствие физического доступа посторонним.
     
     
  • 4.161, постронний (?), 20:40, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    да мне физический-то как раз - без надобности.
     
  • 3.167, Аноним (167), 21:33, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если используется адекватный алгоритм хеширования, то несложно добиться того, что условная RTX 4090 будет перебирать <10^5 хешей в секунду, то есть <10^10 (2^33) в день. В таком случае пароля с 65 битами энтропии будет достаточно с запасом (если конечно пароль нормальный).
     
  • 3.169, Аноним (169), 21:44, 11/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем тебе эта энтропия? Случайный набор символов трудно запомнить.

    1. Открываешь списки самых распространённых паролей.

    2. Находишь закономерности человеческих паролей.

    3. Придумываешь нечеловеческий пароль от 13 символов.

     
     
  • 4.175, пох. (?), 00:53, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    4. пытаешься удержать в голове хотя бы пяток таких. Расстраиваешься, возвращается к пункту 2.
    5. выясняется что в организации требование менять пароль раз в месяц и на несовпадающий с предыдущими минимум тремя. Расстраиваешься сильнее, возвращаешься к пункту 1, надеешься что всех обдурил, выбрав не первые пять, а вторые с конца.

     
  • 3.233, Аноним (45), 15:03, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https en wikipedia org wiki Diceware Нужна ещё хорошая KDF, конечно ... большой текст свёрнут, показать
     

  • 1.181, Вячеслав (??), 05:10, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как скачать эти хеши?
     
     
  • 2.213, Аноним (215), 14:46, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Даю подсказку...

    Twitter: "Недавние утечки данных пользователей произошли не из-за уязвимости в IT-системах компании".

     

  • 1.216, Дмитрий (??), 21:03, 12/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В моей организации нормальные пароли. Безопасность - их второе имя (на английской раскладке с указанием года в конце).
     
     
  • 2.217, Аноним (215), 21:28, 12/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вася98 - самый лучший пароль :)
     
     
  • 3.231, АнонДеаноновичМАЙОР (?), 09:09, 15/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше только Вася2007
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру