Перейти к публикации
Asian_In4est

Слив БД

Рекомендованные сообщения

Asian_In4est

Ребят, всем привет, давно не виделись, короче, тема такая. Недавно с неизвестного проэкста уехала база. Советую поменять пароли, меня ломанули, было это не тут, но какая разница, для грега это очень жёстко будет если вас взломают, такие вот новости. Всем бобра )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Airis

Есть такая вещь, как двухфакторная авторизация, советую ее использовать.
 


76561198148269658.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey

Это одна из причин, почему для каждого сайта нужно ставить РАЗНЫЕ пароли. Не просто же так это везде твердят.

  • Украдут пароль.
  • Недобросовестный владелец ресурса.
  • Слив базы.

Случись одно из вышеперечисленных - все ваши аккаунты взломают.


👽 НЛО прилетело и опубликовало эту надпись здесь ©

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
FerociousBear

Я двухфакторную заюзал, мне норм. Так что мне боятся нечего.)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
CheckirkaToStart

А что если мошенник при взломе аккаунта получит пермобан по железу все дела, можно ли будет просто создать новый аккаунт? Ведь железо у владельца будет чистое.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey
30 минут назад, CheckirkaToStart сказал:

А что если мошенник при взломе аккаунта получит пермобан по железу все дела, можно ли будет просто создать новый аккаунт? Ведь железо у владельца будет чистое.

Лучше вообще не допускать подобного. Убытки не возмещаем, ибо косяк пользователя.


👽 НЛО прилетело и опубликовало эту надпись здесь ©

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
SnowFox

а может можно как-то присобачить привязку к адресу компа и в самом профиле указать белые адреса, с которых вы играете. А чтоб их сменить/убрать/новый добавить уже нужна была бы двухфакторная авторизация. Все же вводить коды не самое приятное занятие

Изменено пользователем SnowFox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
aperlab

Что за шутки про сливы базы, обычно там md5(бывает даже соленый), если у вас хороший пароль (рандомный, со спецсимволами, больше 12 знаков), то брутами не вытащат пароль. соленые хеши еще дольше брутятся. Чаще замечал что рандомных паролей при бруте нет. Обычно это ник:ник(+цифры) ник:английские слова(+цифры)

Радужными таблицами редко пользуются (мощности для брута нет, либо не целесообразно, хотя чаще всего это самый сок базы, так как молодая часть населения использует 1 пароль на все (вскрывают почту и угоняют что-то)

Есть еще вариант, что пароли хранят в не зашифрованном виде, но это уже намеренно. 

Переходите на 2FA (двуфакторка) на всех сервисах где это есть, приоритетное - смс. Если это аппаратное (программа) сохраните ключ в бумажном виде (только не подписывайте что это такое, по возможности зашифруйте, удобнее пихать текст в QR коды) в случаи ситуации, когда у вас устройство утонет/сломается/откажет файловая система, вы сможете без боли все восстановить. Пока это не надежное средство (в виду зависимости от устройств, сам я лично потерял ключи от webmoney, флешка тупо сфидила, бэкапов конечно же в облако не делал :D), но самое взломостойкое. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Andrey
1 час назад, SnowFox сказал:

а может можно как-то присобачить привязку к адресу компа и в самом профиле указать белые адреса, с которых вы играете. А чтоб их сменить/убрать/новый добавить уже нужна была бы двухфакторная авторизация. Все же вводить коды не самое приятное занятие

IP-адреса уже давно как неактуальны. Такими привязками пользовались до прихода 2FA. Чем так неудобно вводить код? Как вообще часто его спрашивает? Мне намного чаще вводить приходится, при входе в админку постоянно спрашивает. Мне бы ваши "проблемы"...

 

43 минуты назад, aperlab сказал:

Что за шутки про сливы базы

Пока не сольют, не узнаешь как обстоят дела с безопасностью. Правильно, некоторые вообще не шифруют - про слив баз они не слышали никогда. Последних обычно можно раскрыть путём "забыл пароль", если на почту прилетает придуманный вами пароль - всё ясно. Даже если у вас там супер-сложный пароль и шифрование надёжное, при большом интересе, могут рано или поздно сбрутить. Поэтому везде должны быть разные пароли, чтобы все свои аккаунты не ставить под угрозу.

Заявленная двухфакторка тоже не спасёт. Будет скомпрометирован секрет. Поэтому если произошёл взлом ресурса - нужно менять пароль, чтобы данные слива потеряли свою актуальность. А администрация ресурса должна уведомить всех своих пользователей о произошедшем.

 

43 минуты назад, aperlab сказал:

Переходите на 2FA (двуфакторка) на всех сервисах где это есть, приоритетное - смс.

Смс-ки приходится ждать по 5 мин., а потом ещё чистить историю. С мессенджерами вообще всё плохо: там SMS - единственный фактор. Второй фактор пользователи никогда не настраивают, либо его нет. Вдруг оператору моб. связи захочется вашу переписку прочитать...


👽 НЛО прилетело и опубликовало эту надпись здесь ©

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
aperlab
4 минуты назад, Andrey сказал:

IP-адреса уже давно как неактуальны. Такими привязками пользовались до прихода 2FA. Чем так неудобно вводить код? Как вообще часто его спрашивает? Мне намного чаще вводить приходится, при входе в админку постоянно спрашивает. Мне бы ваши "проблемы"...

 

Пока не сольют, не узнаешь как обстоят дела с безопасностью. Правильно, некоторые вообще не шифруют - про слив баз они не слышали никогда. Последних обычно можно раскрыть путём "забыл пароль", если на почту прилетает придуманный вами пароль - всё ясно. Даже если у вас там супер-сложный пароль и шифрование надёжное, при большом интересе, могут рано или поздно сбрутить. Поэтому везде должны быть разные пароли, чтобы все свои аккаунты не ставить под угрозу.

Заявленная двухфакторка тоже не спасёт. Будет скомпрометирован секрет. Поэтому если произошёл взлом ресурса - нужно менять пароль, чтобы данные слива потеряли свою актуальность. А администрация ресурса должна уведомить всех своих пользователей о произошедшем.

 

Смс-ки приходится ждать по 5 мин., а потом ещё чистить историю. С мессенджерами вообще всё плохо: там SMS - единственный фактор. Второй фактор пользователи никогда не настраивают, либо его нет. Вдруг оператору моб. связи захочется вашу переписку прочитать...

В таких диалогах я обычно говорю

"Можно долго обсуждать безопасность, но этот диалог бесконечен, пока в системе - Человек"

Стоит отталкиваться всегда от этого, везде люди мешают нормальной безопасности, начиная от себя самого, заканчивая 3-ими лицами. 

 

Все остальное - усложнение. Про смски, пока не замечал, чтобы я ждал что-то, возможно некоторые операторы страдают. Сейчас не 2007 год когда в том же Qiwi смски по 15 минут шли, причем все это время ты повторно заказывал и через 15 минут у тебя разрывался смартфон. (p.s тесно связан с сервисами с смсками)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.

×
×
  • Создать...