7K аккаунтов оказались скомпрометированы

[TheAndrey 16 140]

В нашем распоряжении оказалась публичная база логинов и паролей, собранная из разных «сливов». В результате её проверки, пароли от 6800 аккаунтов оказались верными - пароли этих пользователей свободно «гуляют» по сети.
Спешим успокоить: нас никто не взламывал. Мы играем на опережение. Все скомпрометированные аккаунты были заблокированы до тех пор, пока их владельцы не свяжутся с нами.

 

Как это произошло?
Все все руководства по безопасности в сети твердят: всегда используйте разные пароли для каждого сайта! Но пользователи часто игнорируют это правило, потому что им лень придумывать и запоминать все пароли. В результате, когда взламывают один из сайтов, это ставит под угрозу все аккаунты пользователя. Взломы сайтов происходят часто. Для этих целей даже используют ботов, чтобы находить уязвимые для взлома ресурсы.

Чтобы было удобно хранить пароли от сайтов, пользуйтесь специальными программами – менеджерами паролей. Вам нужно будет знать всего один пароль для расшифровки базы данных ваших паролей.

[gyx_snow 483]

Судя по тому, что я могу зайти - моя тактика верна. 

[Reun_rr 2]

Фуух, слава богу я не в их числе)

[bluder 237]

Сливы каких сайтов? Пароли хешированные? Как вы тогда определили что пароли верные? Неужели все используют тупо md5(password)?

[TheAndrey 16 140]

@bluder база представляет из себя смесь разных сливов, далеко не все записи корректно подписаны. Больше всего работающих паролей добыто с одного «топового» проекта. Почти вся база содержит уже расшифрованные пароли, другая часть MD5 и прочие (MD5 проверяли просто по совпадению хеша).

 

1 час назад, bluder сказал:

Неужели все используют тупо md5(password)?

Используют двойной MD5. Два года назад алгоритм заменили на BLOWFISH, но «топовый» проект не посчитал нужным обновиться. Так пароли достались злоумышленниками в MD5.

[Efim06 1]

26.03.2019 в 19:08, Reun_rr сказал:

Фуух, слава богу я не в их числе)

Фуух что у тебя пароль нормальным оказался как у  следующих 199 человек(я в их числе)

[Deenazmyablelzak 18]

Не знаю на чем у вас стоит сайт, но я думаю что если это хост то VPS или VDS. Так почему не использовать RSA async? Такой взломать нужно.... хм... приблизительно ЛЯМ ЛЕТ! И то с учетом суперкомпов.
Генерируешь public и private key и фигачим)
 

[Sheodar 1 070]

7 минут назад, Deenazmyablelzak сказал:

Не знаю на чем у вас стоит сайт, но я думаю что если это хост то VPS или VDS. Так почему не использовать RSA async? Такой взломать нужно.... хм... приблизительно ЛЯМ ЛЕТ! И то с учетом суперкомпов.
Генерируешь public и private key и фигачим)

thread, privat, public, static, system. Вот и мой список несвязных слов про прогрумирование. Я правильно игру понял?
По теме: перепрочти еще раз 1 пост.

[Deenazmyablelzak 18]

Только что, Sheodar сказал:

thread, privat, public, static, system. Вот и мой список несвязных слов про прогрумирование. Я правильно игру понял?
По теме: перепрочти еще раз 1 пост.

private*) В чем прикол Async - если взломают сервак с сайтом - раскодировать пароли и логины НЕ получится) Почекайте криптографию и асимметричное шифрование))))
Кстати если VDS хост, то можно использовать СКЗИ. На пример на моем домашнем ПК стоит КриптоПро CSP (оно платное, но ОС не ломает, в отличии от бесплатного VipNet CSP). И через них шифровать. Такие вещи не расшифровать.

[Sheodar 1 070]

Только что, Deenazmyablelzak сказал:

private*) В чем прикол Async - если взломают сервак с сайтом - раскодировать пароли и логины НЕ получится) Почекайте криптографию и асимметричное шифрование))))
Кстати если VDS хост, то можно использовать СКЗИ. На пример на моем домашнем ПК стоит КриптоПро CSP (оно платное, но ОС не ломает, в отличии от бесплатного VipNet CSP). И через них шифровать. Такие вещи не расшифровать.

Не ответить мне, а прочитать пост (вроде простой квест, поэтому без награды особой). Надеюсь спам потрут этот.

[Deenazmyablelzak 18]

Только что, Sheodar сказал:

Не ответить мне, а прочитать пост (вроде простой квест, поэтому без награды особой). Надеюсь спам потрут этот.

Ты глупенький?) Я говорю, что задача о сохранности стоит не только у пользователей, но и владельцев ресурсов! Более 50% населения (если повезет) сгенерировали ОДИН хороший пароль и используют ВЕЗДЕ. Ну так устроены люди. И что теперь, забить на них? Взломают, значит взломают?

[Deenazmyablelzak 18]

О минусы))) будет кто со мной спорить, доказывая что MD5, Blowfish надежнее RSA async?))))
============================================================
Ладно нет времени ждать, если Node у Вас то вот пожалуйста: https://github.com/travist/jsencrypt.

Про другие back-end сказать не могу, сам сижу на node

Изменено 28 марта 2019 пользователем Deenazmyablelzak
!

[BlackSun 4 253]

17 минут назад, Sheodar сказал:

thread, privat, public, static, system. Вот и мой список несвязных слов про прогрумирование. Я правильно игру понял?
По теме: перепрочти еще раз 1 пост.

Мне кажется его зацепило вот это:

27.03.2019 в 02:02, TheAndrey сказал:

(MD5 проверяли просто по совпадению хеша).

 

[TheAndrey 16 140]

37 минут назад, Deenazmyablelzak сказал:

Не знаю на чем у вас стоит сайт, но я думаю что если это хост то VPS или VDS. Так почему не использовать RSA async? Такой взломать нужно.... хм... приблизительно ЛЯМ ЛЕТ! И то с учетом суперкомпов.
Генерируешь public и private key и фигачим)

Слышал звон, но не знает где он.

Пожаловал наш прогрОммист, способный не более чем оперировать красивыми красивыми словечками

p.s. Вопрос к тебе: в чём отличие VPS от VDS?

[Deenazmyablelzak 18]

8 часов назад, TheAndrey сказал:

Слышал звон, но не знает где он.

Пожаловал наш прогрОммист, способный не более чем оперировать красивыми красивыми словечками

p.s. Вопрос к тебе: в чём отличие VPS от VDS?

Логично же что в правах)

8 часов назад, TheAndrey сказал:

Слышал звон, но не знает где он.

Пожаловал наш прогрОммист, способный не более чем оперировать красивыми красивыми словечками

p.s. Вопрос к тебе: в чём отличие VPS от VDS?

Самое смешное, что в данном случае, наоборот, есть вопрос: понимаете ли ВЫ, что я пишу?)