URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 129474
[ Назад ]
Исходное сообщение
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД США"
Отправлено opennews , 11-Янв-23 12:51 
Министерство внутренних дел США опубликовало результаты  аудита надёжности паролей сотрудников ведомства. В ходе проверки 85944 хэшей паролей из базы пользователей в Active Directory удалось подобрать пароли для 18174 учётных записей (21% сотрудников), из которых 288 подобранных пароля были связаны с пользователями, имеющими повышенные привилегии, а 362 - с высокопоставленным госслужащими...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58461

Содержание
Сообщения в этом обсуждении
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 12:51 
Админы в МВД США не используют KeepassXC для генерации паролей?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено КО , 11-Янв-23 13:25 
Там скорее всего чихнуть нельзя без согласования, а вы хотите софт установить.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Alex , 11-Янв-23 15:02 
Добыть один пароль ко всем системам проще, чем каждой системе пароль.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:05 
Ты не читал недавней новости про протечку манагера паролей, да?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:34 
Это другой пароль, использующий облако. Кто тебя заставляет хранить базу паролей Кипаса в облаке??
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Степан , 12-Янв-23 03:24 
Там утекли данные пользователей, а не пароли. Пароли зашифрованы мастер паролем в бд
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:06 
Держать все яйки в одной корзине - такое
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:36 
А что вместо менеджера пароль использовать? Гугл таблицы, текстовый блокнот? А нет я знаю, я знаю хранить пароли в браузере!!
п.с. тебя никто не заставляет хранить все пароли в одной базе, делай для каждого пароля свою базу.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Анон_облегчился , 11-Янв-23 18:55 
> хранить пароли в браузере

Хранить пароли в firefox или keepass с точки зрения безопасности примерно одинаково. Хранилище и там и там расшифровывается для каждого пароля отдельно.
Если обнаружится эксплойт спобобный слить базу паролей и перехватить мастер пароль из браузера он сработает и для keepass.

Безопасное хранение паролей может быть только в совокупности со вторым фактором аутентификации хранимом на другом устройстве желательно без интернета, нампример аппаратный токен с NFC/USB или хотябы просто телефон с TOTP.

Некоторые товарищи хранят и TOTP и пароли в одном keepass на локалхосте))

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 04:39 
Для мента хотя бы хранилище паролей - уже достижение. Лучше, чем стикер на мониторе.

А запоминать кучу паролей мент точно не станет. Вдруг применят терморектальный криптоанализ, а он не сможет вспомнить?

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Тот_Самый_Анонимус_ , 12-Янв-23 05:47 
>Для мента

Обычно такими штампами мыслит тупое хомяьё, которое не способно отделить профессию от тупости человека.

В принципе, в любой сфере деятельности, кроме профильной, количество малограмотных в данной сфере будет +/- одинаковым.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Капиталист социалистический , 13-Янв-23 10:58 
Я достаточно грамотен, чтобы осознавать, что это очень плохо и знать, что со всем, что у меня находится в интернете уже спокойно можно оформить на меня кредит или 2,но тем не менее мне лень, и я всё равно использую 1 пароль практически для всего...
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 05:47 
> Хранить пароли в firefox или keepass с точки зрения безопасности примерно одинаково.

Бред. Погугли про утечку паролей из браузеров в сервисы проверки орфографии.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 07:32 
Да уж действительно, для местных экспертов и Фраерфокс и кипас, все едино.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пууук , 13-Янв-23 04:21 
Пароли утекали из браузера при вводе. Если бы ты вводил их из кираса в браузер они бы тоже утекли.

Когда утекает при вводе, способ хранения роли не играет.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:09 
зачем их хранить? головы нет?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:48 
Ну и как голова, место для чего-то кроме паролей остаётся или просто один и тот же пароль везде используешь?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено ИмяХ , 11-Янв-23 20:36 
В детстве в школе каждую неделю учили наизусть какой-нибудь стих, который состоит из десятков разных слов, а сейчас люди уже настолько деградировала, что не могут один раз выучить этот десяток слов.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноня , 11-Янв-23 22:11 
Открывая менеджер паролей свой, а там 1012 паролей с 25+ символов включая спец знаки. Удачи запоминать такие стихи. Или нужно только 10 использовать и ещё потом перебирать при случае, когда раз в год нужно зайти?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 03:30 
Ты таблетки забыл принять? Какие пароли ты учить наизусть собрался, болезный?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 13:13 
А сейчас ты уже настолько деградировал, что не то что те стихи, элементарную орфографию не вспомнишь
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 12:23 
Голова чтоб в нее кушать, а не пароли хранить.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Анон_облегчился , 11-Янв-23 19:19 
> хранить пароли в браузере

Хранить пароли в firefox или keepass с точки зрения безопасности примерно одинаково. Хранилище и там и там расшифровывается для каждого пароля отдельно.
Если обнаружится эксплойт спобобный слить базу паролей и перехватить мастер пароль из браузера он сработает и для keepass.

Безопасное хранение паролей может быть только в совокупности со вторым фактором аутентификации хранимом на другом устройстве желательно без интернета, нампример аппаратный токен с NFC/USB или хотябы просто телефон с TOTP.

Некоторые товарищи хранят и TOTP и пароли в одном keepass на локалхосте))

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 07:36 
Ну хватит уже чушь нести, ну серьезно, даже не смешно. Местные эксперты, такие эксперты.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено ryoken , 11-Янв-23 12:52 
Из опыта видно, что в МВД США тоже дуболомов хватает :).
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:08 
А кто ещё в мвд пойдёт работать?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:15 
Как же сотрудник гугла с $500к зп с радостью пойдет в МВД на $50к потому что надо(нет)
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено хрю , 11-Янв-23 13:35 
Ну МВД везде примерно одинаковые. Меняется только этикетка.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:19 
В США полиция не имеет никакого отношения к МВД
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:31 
та полиция - совсем не тутошная полиция, не смотря на одинаковые названия.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено YetAnotherOnanym , 12-Янв-23 12:02 
Тамошнее МВД - это что-то вроде Росимущества, Росреестра и Минприроды в одном флаконе. Министерство домашнего хозяйства страны. Никакого отношения к полиции, как тебе уже сказали, оно не имеет.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 14:54 
Карл, ты что, совсем не понимаешь, что одинаковые слова в разных странах могут иметь разный смысл?! Глупо сравнивать "полиции" разных стран, т.к. это совсем разные структуры, несмотря на название.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:36 
Министерство внутренних дел США (англ. United States Department of the Interior (DOI)) — один из исполнительных департаментов США, основанный 3 марта 1849 года.

Управляет бо́льшей частью природных ресурсов и земель под федеральной юрисдикцией, руководит программами, связанными с американскими индейцами, коренными жителями Аляски, коренными гавайцами, а также занимается территориальными делами в островных районах Соединенных Штатов. В отличие от министерств внутренних дел в других странах, основная функция министерства — не полицейскиe мероприятия и организация безопасности, а управление землёй.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:42 
> основная функция министерства — не полицейскиe мероприятия и организация безопасности

Да, Карл, внезапно, это именно так. Вот тебе органы __не__ МВД, которые выполняют указанные функции: Прокуратура, Следственный комитет, ФСБ, Министерство обороны, Росгвардия, Федеральная таможенная служба, Министерство юстиции.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 06:40 
В состав входят, но _не_?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 14:49 
> В состав входят

В какой состав?! Это всё разные органы.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 12:53 
откуда инфа про 16 гпу, в документе не находит поиском
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:09 
"The setup we use consists of two rigs with 8 GPU each (16 total), and a management console. The rigs themselves run multiple open source containers where we can bring up 2, 4, or 8 GPU and assign them tasks from the open source work distribution console. Using GPU 2 and 3 generations behind currently available products, we achieved pre-fieldwork NTLM combined benchmarks of 240GHs testing NTLM via 12 character masks, and 25.6GHs via 10GB dictionary and a 3MB rules file. Actual speeds varied across multiple test configurations during the engagement."
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 12:58 
Ну правильно, если есть возможность перебора, то система уже дно. Люди не железные, чтобы запоминать эти сотни 20-значных паролей и ещё менять их постоянно. А вот переиспользование одного пароля в разных сервисах это уже серьёзная проблема, при направленных атаках выливается в нехорошие вещи.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:16 
Им никто не запрещает использовать смарт карты и отпечатки пальцев. Однако они их не используют как ты думаешь почему?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено ivan_erohin , 11-Янв-23 13:27 
1) смарт карты не знаю почему не используют. кредитные карты для США привычная вещь уже 3 поколения, все знают как с ними безопастно обращаться и что делать при утере.

2) отпечатки пальцев - рискну предположить почему:
2.1. вся биометрия - обман.
2.2. чтобы не начали резать пальцы.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:52 
Неудобно, ненужно, дорого. Везде на свете приделывать считыватель пальцев или смарткарты (которые не везде можно присобачить). Короче UX страдает очень сильно.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:12 
резать не нужно, 3d копии пальцев не сложно сделать просто по фото или банально лидаром снять у проходящего мимо человека
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Александр , 13-Янв-23 00:46 
это сложно, проще отрезать
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:16 
Паста ГОИ?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено YetAnotherOnanym , 12-Янв-23 12:04 
Электрорубанок.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 17:39 
> кредитные карты для США привычная вещь уже 3 поколения, все знают как с ними безопастно
> обращаться и что делать при утере.

ты только вот похоже - не знаешь.

Хинт: _кредитная_ карта в Штатах обычно даже пина не имеет.
(Ну то есть его можно получить, обычно живьем приперевшись в офис и долго объясняя что это за неведомая хрень и зачем она тебе, но почти никто этим не пользуется - кроме редких отщепенцев по заграницам.)

Чипов они не имели по 2010й включительно, ан-масс, а что потом - просто не знаю, надеюсь ради пэйпаса поставили, а может и до него дело не дошло - платят телефонами и не плачут.

При утере - звонят в банк по телефону, и через пару дней забирают из почтового ящика (sic!) новую.

Общаются с ней совершенно по расп..яйски, совершенно не парясь. Ну, надеюсь, сообразишь сам, почему.

Объяснить людям с ТАКИМ опытом трех поколений что эта хрень еще и может иметь какие-то отношения к безопасности - ну вперьод, с песнями.

Вот в европе тебя бы поняли.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:54 
> Хинт: _кредитная_ карта в Штатах обычно даже пина не имеет.

Не только имеет, но ещё и ограничен 4 цифрами. И некоторые операции без пина невозможны. Другое дело магнитная полоса. Она действительно исчезает понемногу, но это всё ещё экзотика.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 20:45 
Ты точно в Штатах хоть проездом бывал?

С кредиткой там никто не делает "некоторых операций" - поэтому и пины нахрен никому не нужны, большинство банков их и не выдают если специально не просить.

> Другое дело магнитная полоса. Она действительно исчезает понемногу,

у меня для тебя плохие новости - в штатах она не то что никуда исчезать не собирается, там чиповые карты появились последними из всех, когда где-нибудь в европах уже можно было напороться на терминал, который других вовсе не принимает. Потому что на самом деле они там нафиг никому были не нужны (ну кроме понаехов которым вообще никто кредитку не выдает).

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено anonymous , 11-Янв-23 21:32 
я не был и не собираюсь но почему то кажется что ты прав - они просто тупо намного богаче и издержки разгильдяйства здорово покрываются уровнем комфорта. Потому логика совершенно другая, для нас какая то абсурдно дикая и как бы в ущерб себе.Читал что основной способ решения любой проблемы американцами - залить ее деньгами. Потому им реально пофиг на такие мелочи как например известные в ютубе скам фирмы в Калькутте грабящие стариков по тебефону, ну есть и что - общий обьем бабла и ресурсов настолько велик что это капля в море.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено ACCA , 11-Янв-23 21:53 
Там тоньше и совсем даже без разгильдяйства и больших денег.

Клиент не отвечает за мошенничества с его картами. В случае чего банк и продаван должны будут *доказать*, что это клиент полоской проводил. Потому никаких сливов номеров кредиток из банков.

Грабители из Калькутты нарываются на откат каждой транзакции, которую клиент заметил. А это не только деньги назад без базара, но и штраф банку, который разрешил грабителю принимать кредитки.

Карта по почте - тоже не так просто. Её нужно активировать, а там уже серьёзно - могут и 3-факторную аутентификацию поставить.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 12-Янв-23 00:48 
Да не, что ты... даже у моего э... американского, да, банка - всей активации обычный пароль в вебне. Без всякой прочей мутотени и смсок с кодами.

Подозреваю, будь я нормальным клиентом его нормального, штатовского, офиса - мог бы и этой херней не заниматься, а просто позвонить и пропросить разблокировать. (Ну да, она в почтовом ящике заблокированная лежит. Потому что это ровно вот та фигня на дороге, из мультика про Виннипуха, настоящего. В белых районах даже не запирающаяся.)

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 03:32 
Я живу тут неподалёку, слегка в курсе.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 09:18 
> Общаются с ней совершенно по расп..яйски, совершенно не парясь. Ну, надеюсь, сообразишь сам, почему.

Почему? Я несообразительный. Плиз!

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:56 
Отпечатки пальцев - ну такая защита прям. Снял с любого гладкого предмета, куда касался испытуемый, копию и вперёд.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:58 
Мы сейчас приняли решения отказаться от отпечатков пальцев в пользу таблеток.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено BeLord , 11-Янв-23 14:34 
> Мы сейчас приняли решения отказаться от отпечатков пальцев в пользу таблеток.

Красных или синих?-))


"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:38 
1-Wire keys.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Деанон , 11-Янв-23 14:09 
Мой дурацкий сяоми бесит меня тем, что часто приходится пересоздавать отпечаток, у меня руки же не только для клавиш и мышки.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Деанон , 11-Янв-23 14:07 
Какие отпечатки? Нужно просто ограничить перебор. Разблокировку лиц фотками уже проходили, и отпечатки подделать не проблема -- в автобусе на поручне снял и всё. Но вам втирают RFID, как будто их нельзя тупо скопировать.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:36 
как ограничить перебор, если есть доступ к хэшам паролей?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 17:41 
не продалбывать хэши паролей? А, нет, это не про новое поколение админов...
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:55 
Не ломают только неуловимых джо.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 23:34 
Раз такой идеальный, то можно даже пароли в явном виде вместо хэшей хранить, ведь ты их никогда не продолбешь.
Заодно и пользователям удобно -- если они забыли пароль, то ты всегда сможешь его подсказать
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 17:16 
> Но вам втирают RFID, как будто их нельзя тупо скопировать.

правильный - нельзя (поскольку мало того что на двойном ключе построено, так еще и ни тот ни другой не светятся, передается бессмысленная строка зашифрованная)

хотя, разумеется, обычные контактные смарткарты все же надежнее. И да, еще и пин могут требовать. Необратимо отыквливаясь с третьей попытки.


И да, успехов подобрать даже этот Password123! если после третьей попытки акаунт блокируется, а к месту где вводили этот пароль выезжают специально обученные собаки.

А если у тебя сп-ли базу AD со всеми учетками, потому что ты по сей день не смог убрать из сети свой любимый 2003й сервер - у тебя, скорее всего, совсем другие проблемы. Пароль можешь в принципе оставить этот, он удобный.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено товарищ майор , 12-Янв-23 11:25 
Т.е., если я захочу заблокировать работу сотрудника, то мне достаточно 3 раза ввести произвольный пароль к почтовому ящику? Ну такое себе решение.
Ну, и на сладкое, разорить контору через DDoS кинологической службы... Сейчас смена IP-адреса не стоит ни чего!
Лучшим решением была бы задержка на логин после ввода пароля, но при паролях на уровне "Password123!" даже это не спасёт!
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено rshadow , 11-Янв-23 14:57 
Из попроще - везде прикручивают двухфакторную авторизацию. Как необходимый минимум вполне сгодилось бы.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:14 
> отпечатки пальцев

И как, пробовал сменить себе отпечатки пальцев?

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 12-Янв-23 12:04 
>> отпечатки пальцев
> И как, пробовал сменить себе отпечатки пальцев?

г-но вопрос, кстати. В смысле - ты зайти никуда в результате не можешь, а вот те, другие васяны, позаботившиеся вовремя - от твоего имени запросто, у них-то слепок не испортится.

Достаточно как следует вляпаться в кислоту. (Если балуешься с запрещенными э... материалами - то можно вообще на всю жизнь остаться без рисунка на пальцах при мелкой неаккуратности.)

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:00 
>Другой выявленной в ходе аудита проблемой стало низкое распространение многофакторной аутентификации,

Должна быть обязательной.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:14 
Что делать когда ты потерял второй фактор? Или он сломался?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Привет , 11-Янв-23 13:24 
Купи новый телефон. Это вообще не проблема, в 99.99999% ни у кого ничего не ломается и не теряется. Оставшиеся немного пострадают и этим можно пренебречь.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:49 
В твоём воображении? Ты типичный чиновник. По дефолту чтобы перейти на новый телефон надо два телефона рядом положить. Если первый потерян то это всё с концами.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:54 
Не надо использовать мобильные приложение для двухфакторки. Нужно использовать KepassXC для настройки TOTP и для хранения паролей. Вы ведь не храните пароли в гугл таблица или блокноте, ведь?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:57 
В облаках :)
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:01 
В каких облаках, можно по конкретнее?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 20:01 
Это только если у тебя китаефон за 3 копейки. Флагманы через облако отлично всё мигрируют. Да и что ты там мигрировать-то собрался? 3½ приложухи из гуглплея? Ей-богу, как дети.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:31 
TOTP всё равно работает на базе одного длинного ключа - его можно записать (хотя звучит, конечно, как бред)
ну и не стоит забывать про резервные коды - их должно хватить на нужное количество сеансов до восстановления (читай сброса) TOTP
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:50 
Поэтому никто и не пользуется вторым фактором.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:51 
Кто никто? Можно IP адреса этих никто?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:58 
192.168.0.2
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:02 
Ой а у меня 192.168.0.3 не подходит.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено АнонДеаноновичМАЙОР , 15-Янв-23 09:05 
127.0.0.1 Там такой урод живет, вечно трафик сжирает зараза! Я думаю нам его нужно группой задудосить. Сегодня в 7 вечера делаем Ping 127.0.0.1
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено nonimusnonim , 12-Янв-23 12:02 
103.46.148.0/22
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Дима , 11-Янв-23 13:52 
Вот по тому, что не используют 2-й фактор, всех и ломают.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:54 
Как ты сломаешь двухфакторку? Можно по-подробнее? А то я устал от голословных утверждений местных экспертов.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено васян_друган_полковника_фсб , 11-Янв-23 18:20 
могу помочь, если очень надо
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:51 
TOTP подключается в kepassxc базе. KepassXC база может копироваться бесконечное количество раз и храниться в бесконечном количестве мест.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Дима , 11-Янв-23 13:55 
Судя по вопросу "что делать если потерялся или сломался второй фактор" - идти и читать документацию о том, как работает двухфакторная аутентификация, а не показывать свою техническую неграмотность онлайн.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:00 
Если потерялся второй фактор - обращаешься к сисадмину-аникею своей конторы ровно точно также если просто забыт пароль, вообще не проблема))
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:04 
Второй фактор не может потеряться, потому что он изначально не нужен пользователю, а хранится в kepassxc базе у админа и вводится им же через Anydesxk по запросу в письменном виде под роспись.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:56 
>Что делать когда ты потерял второй фактор? Или он сломался?

Сам факт того что ты задаешь такой вопрос говорит о том что ты понятия не имеешь что такое менеджер паролей и хранишь пароли в текствовом файле а двхуфакторку настраиваешь через приложение в смартфоне.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:02 
В случае потери второго фактора обращаешься к системному администратору и он выдает новый
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено X86 , 11-Янв-23 14:21 
У Яндекса, например, Я. Ключ позволяет восстановить ключи из облака. Да, это несколько снижает безопасность, но все равно вероятность кспешной атаки минимальна. Так как атакующему нужно не только подобрать имя пользователя/пароль, но и получить доступ к СМС или списку звонков.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:30 
У меня не получилось ни разу установить и  настроить Я.Ключ на Андроид. Хранить пароли в облаке такое себе решение.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено X86 , 13-Янв-23 20:24 
> У меня не получилось ни разу установить и  настроить Я.Ключ на
> Андроид. Хранить пароли в облаке такое себе решение.

Что там устанавливать и настраивать? Устанавливается как любая программа весом в пару мегабайт и настраивается просто подключением защищаемых объектов с QR-кодов. При переходе на новое устройство со старого бэкапится в облако, восстанавливается на новом.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Kuromi , 11-Янв-23 15:20 
Зато тов. Майор тоже может легко "восстановить" твои ключи.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено X86 , 13-Янв-23 20:21 
> Зато тов. Майор тоже может легко "восстановить" твои ключи.

Также как и в случае с Google, разницы никакой. Неужели после информации, полученной от Сноудена, Ассанжа и т.д. еще есть верующие в свою анонимность.

Притом, что в случае с Яндексом хотя бы вероятность, что в один прекрасный день в твоей стране оно превратится в тыкву, потому что ее отключили по приказу американских исключительных властей, минимальна.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено rshadow , 11-Янв-23 15:02 
Тут как раз все соответствует очень хорошему принципу: "простые вещи делать легко, сложные делать возможно". Телефон есть у всех и ввести код из смс или пуша осилят все. При поломке/утрате - вариант сложного использования, но решабельно: купить новый телефон. В течении дня можно решить эту проблему или хотябы воспользоваться телефоном коллеги/родственника/соседа.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 18:17 
> Тут как раз все соответствует очень хорошему принципу:

только принцип перепутан - вот правильный: заставь дурака богу молиться - он и себе лоб разобьет, и другим поразбивает в священном раже.

> Телефон есть у всех и ввести код из смс или пуша осилят все.

срыл ты от м0гилизации в Непал - херак, внезапно у твоего оператора, кто бы мог подумать - нет тут роуминга. Ага, вот так. Эти мартышки не слышали про такую страну.
И купить обратный авиабилет ты тоже не можешь - система Мымр (откуда у тебя другие карты, национал-предатель? А ну отдавай по хорошему!) без 3ds ниработаит.

Удобна, чё.

Еще одно прекрасное свойство телефонов - что твоя симка внезапно может оказаться не твоя, и код придет совсем другому васяну - _абсолютно_ незаметно для тебя.

Со смарткартой висящей на цепочке для ключей - это существенно сложнее, надо тебя лично караулить в тихом месте. А если там еще и пин - пиши пропало. Но увы - немодно, софт только под winxp и тот кривой, давайте мы лучше фейс айди забабахаем, пофиг что ему и фотка ок.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:38 
libccid нормально работает.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 20:51 
это которая через вечнодырявый pcscd? Ему драйвер нужен, вообще-то.

Ну и в принципе тем ребятам из МВД не на локалхосте надо было авторизоваться-то.
Короче - начнешь внедрять в организации побольше подвальной - поймешь.

(Результат внедрения у нас - на терминал в совокинге залогиниться токеном можно. На виртуалку где собственно корпоративный софт - нельзя. Ну и разумеется это дерьмовые usb-only токены а не нормальные пассивные смарткарты "ридеров совместимых нет". Поэтому в общем и хорошо, что нельзя.)

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 09:48 
Вы просто SSSD не сумели настроить, а так-то смарткарты отлично работают с Kerberos (PKINIT).
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено товарищ майор , 12-Янв-23 11:36 
>  херак, внезапно у твоего оператора, кто бы мог подумать - нет тут роуминга. Ага, вот так.

TOTP можно делать сразу на 2-х брелках, один из которых хранится в сейфе, а другой на ключах или в телефоне.
Но вообще, утеря 2-го фактора такой же повод обратиться к админу для его смены, как и утеря пароля.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено васян_друган_полковника_фсб , 11-Янв-23 18:23 
> Телефон есть у всех и ввести код из смс или пуша осилят все.

Это точно. Нам тоже очень удобно, если ты нас заинтересовал.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:58 
Идти в отдел айти и просить новый, очевидно. В худшем случае побакланишь день, может заодно порядок на столе у себя наведёшь. В чём проблема-то?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено товарищ майор , 12-Янв-23 11:38 
То же, что и при забытии пароля - обратиться к админу для генерации нового кода.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Деанон , 11-Янв-23 14:11 
Каждый школьник знает как устроить порядок более жесткими ограничениями, при этом борясь с родителями, а те, кто старше -- с дедушками.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:24 
> Должна быть обязательной.

Бронированные трусы носишь?

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:13 
Как они узнали мой пароль?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено хрю , 11-Янв-23 13:36 
Товарищ майорЪ? :D
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:36 
У тебя недостаточно надёжный пароль. Возьми мой, я везде использую qwerty12345 и ни разу не подобрали.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:57 
>qwerty12345

Ну так нельзя, ну это совсем легкий пароль, ну хотя бы Qwerty!2345

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:04 
чем не устраивает 2t5yqe41w3r?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:07 
Трудно запомнить же.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено X86 , 11-Янв-23 14:23 
КвЕ-РТИ1234 и то надежней, чем эти ваши QWERTY1234
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:27 
Именно поэтому там должно быть 5, и не 4 или 6 -- эти могут подобрать.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:52 
У тебя нет воображения. Потренируйся на глокой куздре, которая штеко будланула бокра и курдячит бокрёнка. Мозг ещё и не такую ахинею запомнить может.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено тоже Аноним , 11-Янв-23 16:53 
Клинический идиотизм всей этой истории с требованиями к "сложным" паролям и регулярной их смене - ИМЕННО в том, что вся эта тряхомудия МЕШАЕТ пользоваться реально сложными для ПОДБОРА и при этом легко ЗАПОМИНАЮЩИМИСЯ паролями.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:07 
Нормальный, много знаков, буквы, цифры. А все эти спецсимволы сложно запомнить, потом перебирать комбинации.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:18 
>спецсимволы сложно запомнить
>сложно запомнить
>запомнить

Ты хочешь сказать ты запоминаешь больше одного пароля?
Ох уж эти эксперты опеннета, который запоминают все пароли.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:23 
Нет конечно. Но если ты заменил символ, запомнится то всё равно как "с какими-то заменами", и вот их придётся перебирать каждый раз.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:32 
Чего перебирать, куда перебирать, что за ерунда? Один пароль от базы запомнил и всё.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:39 
Зачем тебе какая-то база, ты о чём вообще? Я тебе толкую о том, что спецсимволы в пароле будут запомнены только как они там есть. А вот где и какие, придётся уже гадать. Ты же не вводишь их постоянно, один раз на сайт заходишь и всё.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 17:25 
То есть ты мало того что пытаешься запоминать пароли от сайтов, так ещё и разрешаешь запоминать их браузеру?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 17:35 
Зачем? А так, ну правильно, ты же не будешь каждый день вводить пароли, чтобы логиниться. Раз в несколько лет ввёл и норм. Некоторые сайты правда привередничают и забывают сессию раз в год, но я что-то такие сайты не особо посещаю.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:40 
>А так, ну правильно, ты же не будешь каждый день вводить пароли, чтобы логиниться.

Всмысле не будешь? Я только так и делаю. Ну всмысле наживают автоввод и кипас вводит автоматом логин и пароль.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 19:01 
А зачем? Ты куки удаляешь что ли?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 10:04 
Расскажи, а как ты пароли из куки достанешь?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 10:43 
Зачем тебе пароли (пароли?),  ведь ты уже залогинен?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено BeLord , 11-Янв-23 14:36 
>>qwerty12345
> Ну так нельзя, ну это совсем легкий пароль, ну хотя бы Qwerty!2345

Хороший пароль, особенно, если его в китайской раскладке набрать-)


"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:35 
почему пароль не хешится вместе с логином?!
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:46 
> почему пароль не хешится вместе с логином?!

Потому что прикрепление известной строки не усложняет подбор. Это получается как соль, которая лишь делает разными хэши для одинаковых паролей разных пользователей, но на сложность подбора не влияет.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:49 
Надо использовать PBKDF2 и сто тысяч миллиардов операций.

Done.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 13:53 
Так ты договаривай. Пусть они сразу используют ssh ключи.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:05 
> прикрепление известной строки

почему логин стал известен?!

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:07 
P.S. Они бы ещё при ошибке логона выдавали: Ваш пароль не совпадает со значением "ромашка", указанным при регистрации.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено тоже Аноним , 11-Янв-23 16:57 
Прикрепление известной РАЗНОЙ строки не позволяет составить одну радужную таблицу на всю сворованную базу, вынуждая строить ее для каждого аккаунта заново.
Если нужно взломать одного админа - разницы нет.
Если же цель - выцедить из миллионов копов тех, кто Passw0rd - разница весьма и весьма критична.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 17:14 
Там нет копов.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено тоже Аноним , 11-Янв-23 17:41 
Это в корне меняет дело.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено ivan_erohin , 13-Янв-23 13:40 
> прикрепление известной строки не усложняет подбор.

[...]
> соль [...] на сложность подбора не влияет.

лови биометриста двухфакторного !

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:06 
Забавный факт - МВД США - это не силовая структура, а аналог, скорее, Минприроды РФ.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:28 
1) Это хорошо
2) Как это им мешает сделать нормальную безопасность?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:30 
> 2) Как это им мешает сделать нормальную безопасность?

https://www.doi.gov/contact-us

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:34 
Говорят что им пофиг на безопасность. Им за это не доплачивают. Добавили что ваши ожидания — ваши проблемы.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено ivan_erohin , 13-Янв-23 13:43 
> им пофиг на безопасность. Им за это не доплачивают.

кроме пряника есть еще и кнут, а кроме убеждения - принуждение.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:12 
> МВД США - это не силовая структура, а аналог, скорее, Минприроды

структура по спасению застрявших енотов.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:41 
Еноты заслуживают чтобы их спасали, они забавные.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:17 
Чё ещё за орландо и бронко?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено grinder , 11-Янв-23 14:36 
Похоже, какие-то спортивные команды, а год связан с сезоном или что-то такое.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено _hide_ , 11-Янв-23 14:51 
Скорее всего пароль для "начинающих".
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:32 
Бронко команда из Саус Парка, Орландо просто прикольный город.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено qqq , 11-Янв-23 20:37 
Bronco - культовый внедорожник Ford
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 05:17 
Необъезженные лошади — и мустанги, и другие породы — назывались бронко, от испанского слова, означающего «грубый».
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено X86 , 11-Янв-23 14:19 
О, откуда у них мой пароль?)
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД США"
Отправлено BeLord , 11-Янв-23 14:37 
Период ввода повторного пароля, после неудачной попытки 1 секунда, ну и сколько времени они будут подбирать пароль перебором?-)))

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД США"
Отправлено Аноним , 11-Янв-23 14:41 
они хеш сравнивают, а не вводят.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 14:39 
> в Active Directory

Ржака. Ну успехов.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:12 
А Joseph Bonneau предупреждал. https://jbonneau.com/publications.html
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:17 
А почему фрешку с ключом и активацию по почте никто не использует. Когда биометрия в продажу поступит?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:34 
Потому что на самом деле всем пофиг.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:27 
> Когда биометрия в продажу поступит?

Когда научишься отращивать новые отпечатки взамен украденных.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено InuYasha , 12-Янв-23 11:18 
Герман Оскарович, залогиньтесь.
Или пароль забыли? )
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 15:37 
МВД США? :)))) В США нет МВД. То, что вы 40 лет принимали за оргазм, оказывается, называется астма.
The U.S. Department of the Interior protects America's natural resources and heritage, honors our cultures and tribal communities. Т.е. это не правоохранительный орган.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено zog , 11-Янв-23 15:55 
Да, МВД - это не правоохранительный орган и он таки есть в США.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:00 
> Т.е. это не правоохранительный орган.

Удивительно, Карл, да? Что МВД - не правоохранительный орган.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено анон , 11-Янв-23 15:46 
Лол,а они продержались дольше анб, которые сами обрезали до 6ти символов любой пароль в компании.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:35 
Такой высокий процент подбора: не иначе - паяльником подбирали.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено . , 11-Янв-23 18:03 
Шваброй или кувалдой. Паяльник с утюгом в 90-х применялся для подбора паролей.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено АнонДеаноновичМАЙОР , 15-Янв-23 09:08 
Еще бутылка от колы 1 литр
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 16:43 
C каких пор двухфакторная аутентификация защищает?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено zog , 11-Янв-23 17:14 
А что она делает?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 20:52 
В подавляющем числе случаев просто сливает номер мобильного телефона пользователя каждому левому сервису.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 07:48 
Я если я не пользуюсь приложением на телефоне?
Ох уж эти местные эксперты.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 11:13 
"В подавляющем числе случаев" двухфакторка заключается в том, что с тебя требуют номер мобильного, на который будут присылать смс. Ничего устанавливать на смартфон при этом и не требуется.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено InuYasha , 12-Янв-23 11:20 
Какая разница? Номер телефона слит, паспорт ассоциирован. Гуляй@совершай.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 13:25 
И вот почему-то гуляют, совершают, а найти их тутейшие спецы не в состоянии
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено InuYasha , 13-Янв-23 15:09 
Хорошо, раскрою скрытый пункт: дружи@заноси:гуляй@совершай )
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 17:13 
Так сколько единиц ответственного хранения у это странной организации? Ровно нуль (0) так и что если какой-то из этих паролей протечет что злоумышленники смогут с помощью него достать? Голые фотки работника с рабочего стола?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено birdie , 11-Янв-23 17:32 
> The Department did not timely disable inactive (unused) accounts or enforce password age limits, which left more than 6,000 additional active accounts vulnerable to attack
> enforce password age limits

Эффективность этой меры никем никогда не была доказана, зато недостатков море - люди придумывают идиотские пароли и записывают их в passwords.txt на рабочем столе.

Хорошие сильные пароли можно никогда не менять. Точка.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено birdie , 11-Янв-23 17:42 
> NIST SP 800–63 explains that if agencies implement longer passwords through the use of passphrases, the additional complexity requirements of mixing and matching characters (e.g., uppercase, lowercase, special) become less necessary because of the added difficulty of cracking the password hash of a lengthy phrase versus that of a single word. The enhanced security provided by using these longer passphrases also allows for less frequent password changes due to the lower risk of compromise. Randomized passwords that appear to be complex are often hard for users to remember but easy for a computer to crack. In contrast, lengthy, yet simple passphrases are much easier for a human to remember and are not as susceptible to hash-cracking methods such as brute force attacks.
> Frequent password change requirements, while crucial when weak passwords are permitted, tend to encourage users to continue to use passwords that are easy to crack. NIST SP 800–63 states that when frequent password changes are required, users are most likely to change a single character, or append a character to the end of an existing password (e.g., Password-1234 might become Password-1234!). This ensures that the password remains memorable to the user, but it also remains weak and easy to crack. Similarly, passwords derived from keyboard patterns tend to keep the same pattern but shift to new keys. This creates a feedback loop that frustrates users, perpetuates the weak password cycle, and does not improve security.

Здравый смысл восторжествовал.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 11-Янв-23 17:47 
> Эффективность этой меры никем никогда не была доказана,

Не, ну почему же? Если менять пароли каждые два часа - даже Password321! могут не успеть подобрать - пока скачаешь базу, пока запустишь... ой, уже 322!

> Хорошие сильные пароли можно никогда не менять. Точка.

Увы, нет. В больших организациях да еще с расп-ским подходом к безопасности можно быть уверенным что твой хэш уже сп-ли.
А помнить хороший сильный пароль о двенадцати+ символах с еще и идиотскими требованиями к символам - ну можно один, можно пару, но тебе, скорее всего ведь, нужно больше?

Поэтому продолжаем пользоваться автогенеренной незапоминаемой бнопней и клеить бумажки к монитору. Почему-то физическая безопасность, кстати, даже в таких лавочках менее позорная.

Мониторы редко воруют.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 15-Янв-23 14:55 
> Увы, нет. В больших организациях да еще с расп-ским подходом к безопасности
> можно быть уверенным что твой хэш уже сп-ли.

В этом и суть, пусть даже хэш хорошего пароля уже у них и есть - подбирать пароль к нему они будут до следующего Большого Взрыва (и уж точно до деактивации аккаунта).

> А помнить хороший сильный пароль о двенадцати+ символах с еще и идиотскими
> требованиями к символам - ну можно один, можно пару, но тебе,
> скорее всего ведь, нужно больше?

Для этого есть такой вариант. Пароль должен быть один, сгенерированный с помощью Diceware (например EFF или русским аналогом; главное, чтобы только обычные слова без всяких звёздочек, амперсандов и восклицательных знаков) и использоваться он должен как пароль к аккаунту и базе паролей из менеджера паролей, при этом вторичные пароли, хранящиеся только в баз, уже могут быть совершенно любыми (подходящие к требованиям сервиса и максимальной длины).


> Поэтому продолжаем пользоваться автогенеренной незапоминаемой бнопней и клеить бумажки
> к монитору.

автогенерация - это хорошая вещь, но она должна генерировать не бнопню, а пароль из обычных человеческих слов.

>Почему-то физическая безопасность, кстати, даже в таких лавочках менее
> позорная.

Как раз наоборот, если очень хочется взломать компанию и банальный фишинг на корпоративную почту не сработал, то подкупается условный уборщик или другой работающий за мелкий прайс человек, которого при случае просят переписать буковки с бумажек на мониторах.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 18:42 
Пароль с какой энтропией считается жостаточно сильным?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 20:24 
отсутствие физического доступа посторонним.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено постронний , 11-Янв-23 20:40 
да мне физический-то как раз - без надобности.
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 21:33 
Если используется адекватный алгоритм хеширования, то несложно добиться того, что условная RTX 4090 будет перебирать <10^5 хешей в секунду, то есть <10^10 (2^33) в день. В таком случае пароля с 65 битами энтропии будет достаточно с запасом (если конечно пароль нормальный).
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 11-Янв-23 21:44 
Зачем тебе эта энтропия? Случайный набор символов трудно запомнить.

1. Открываешь списки самых распространённых паролей.

2. Находишь закономерности человеческих паролей.

3. Придумываешь нечеловеческий пароль от 13 символов.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено пох. , 12-Янв-23 00:53 
4. пытаешься удержать в голове хотя бы пяток таких. Расстраиваешься, возвращается к пункту 2.
5. выясняется что в организации требование менять пароль раз в месяц и на несовпадающий с предыдущими минимум тремя. Расстраиваешься сильнее, возвращаешься к пункту 1, надеешься что всех обдурил, выбрав не первые пять, а вторые с конца.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 15-Янв-23 15:03 
> Пароль с какой энтропией считается жостаточно сильным?

https://en.wikipedia.org/wiki/Diceware

> The level of unpredictability of a Diceware passphrase can be easily calculated: each word adds 12.9 bits of entropy to the passphrase (that is, log 2 ⁡ ( 6 5 ) \log _{2}(6^{5}) bits). Originally, in 1995, Diceware creator Arnold Reinhold considered five words (64.6 bits) the minimal length needed by average users. However, in 2014 Reinhold started recommending that at least six words (77.5 bits) be used.[1]
> This level of unpredictability assumes that a potential attacker know three things: that Diceware has been used to generate the passphrase, the particular word list used, and exactly how many words make up the passphrase. If the attacker has less information, the entropy can be greater than 12.9 bits per word.

Нужна ещё хорошая KDF, конечно.

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Вячеслав , 12-Янв-23 05:10 
А как скачать эти хеши?
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 14:46 
Даю подсказку...

Twitter: "Недавние утечки данных пользователей произошли не из-за уязвимости в IT-системах компании".

"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Дмитрий , 12-Янв-23 21:03 
В моей организации нормальные пароли. Безопасность - их второе имя (на английской раскладке с указанием года в конце).
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено Аноним , 12-Янв-23 21:28 
Вася98 - самый лучший пароль :)
"В ходе аудита удалось подобрать 21% паролей сотрудников МВД ..."
Отправлено АнонДеаноновичМАЙОР , 15-Янв-23 09:09 
Лучше только Вася2007