Исследователи безопасности из компании Outpost24 опубликовали результаты анализа надёжности паролей, используемых администраторами IT-систем. В ходе исследования были изучены учётные записи, присутствующие в базе сервиса Threat Compass, собирающего сведения об утечках паролей, произошедших в результате активности вредоносного ПО и взломов. Всего удалось собрать коллекцию из более 1.8 млн восстановленных из хэшей паролей, связанных с интерфейсами администрирования (Admin portal)...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59964
Вопрос: что было 1 марта 1974 года? 1 марта 1974 года ничего не происходить?
Рискну предположить что это вероятно это дата рождения автора исследования. Пасхалочка.
Узко мыслите, товарищ.
а может это 10 января 1994 года
а может это 3 января 1994 года
Больший интерес вызывает вопрос, что было за 9 месяцев до того?
Да в этот день столько произошло всякого!День недели: пятница. Постный день, глас 3-й. Всемирный день кошек, Всемирный день гражданской обороны
В этот день отмечают именины Даниил, Илья, Павел, Панфил.Указом Президиума Верховного Совета СССР Кемеровский коксохимический завод был награжден орденом Трудового Красного Знамени.
В Магадане на 56-м км трассы открылся новый аэровокзал, в котором одновременно могли разместиться 400 пассажиров. Среднесуточная пропускная способность — 10 тыс. чел.
1 Марта 1974 произошло сразу несколько исторических событий. В этот день совершил первый полет прототип самого большого вертолета, построенного за пределами России, - Сикорского СН-53Е «Супер Стэллион» с семилопастным несущим винтом диаметром 24,08 метра. Длина его фюзеляжа составляла 22,35 метра, а внутренний грузовой отсек мог вместить 55 солдат с полной выкладкой, либо 13076 кг полезной нагрузки. На внешней подвеске он мог нести нагрузку в 33340 кг, экипаж 3 человека. Еще в этот день дебют американской панк-группы «Television» в Нью-Йорке.
"..На Виктория-стрит в Восточном Сиднее бригада рабочих из 30 человек с помощью кувалд и топоров выбила двери 19 домов в районе Кингс-Кросс города, 13 из которых были заняты сквоттерами, забаррикадировавшимися внутри в знак протеста против предполагаемой застройки, а затем проигнорировавшими постановление суда о выселении. Полиция арестовала 40 из тех, кто отказался уступить дорогу.[58][59][60][61].."
>Ботнет 1 чувака
>Самые популярные пароли
Американцы вначале пишут месяц, потом день, затем год.
Так, что ищите 3 января 1974
Всю жизнь использую qwerty или с добавлением цифр типа qwerty12345.
А где работаете, если не секрет?
Там где критично всё на отпечатках и face id.
Тоесть любой может взять телефон и поднести его к вашему лицу или пальцу и разблокировать.
А где же qwerty?
это слишком сложно - в рейтинг не попало потому что никто не мог запомнить.Кстати, мой любимый 1234567890 тоже не попал (с более короткими обычная проблема - а как вы запоминаете-то на какой цифре надо остановиться?!)
Так что мы в безопасносте.
> как вы запоминаете-то на какой цифре надо остановиться?123 - по цифре на каждый палец, не считая большого, который отведён вбок, и мизинца, которым можно достать только если неудобно повернуть кисть.
Главное руки из карманов не вынимайте.
> 123 - по цифре на каждый палец,Ловите марсианина!
Ля... надо было фальшивые пальцы с индивидуальной подгонкой заказать...
я знаю как ты его набираешь :)))))
> я знаю как ты его набираешь :)))))Мариванна, ну иногда палец это все же просто палец!
Как еще его набирать-то, каждую цифру по одной что-ли? Это же самый главный админский пароль, который переспрашивается в день по писят раз.
> каждую цифру по одной что-лиЯ вроде бы уже не мальчик, в айти с 2005 года, построил карьеру с рядового кодера до неплохой руководящей должности, но почему-то никогда не задумывался, что можно как-то иначе.
>каждую цифру по одной что-ли?тут главное, какой рукой :))))
12348765
А где же P@ssw0rd ?
И это админы - опытные пользователи, которые могут установить принтер и заправить картридж, и даже администрировать сеть /_-Что тогда говорить о обычных юзерах(((
То что ты перечислил, если взять толпу 1000 человек не факт что хоть один справится. А вот мешки грузить смогут все или работать в колл-центр. Так что заправка картриджей это все же квалификация.
> мешки грузить смогут всеДаааа??? Ты серьёзно?
> заправка картриджей это все же квалификацияТаки они разные бывают. Попадался когда-то давно Оки, у которого надо было вставить тубус с порошком и повернуть рычажок, чтобы открылась шторка и порошок высыпался в бункер. Всё.
>> мешки грузить смогут все
> Даааа??? Ты серьёзно?Ну а чего ты ожидал от опеннетных экспертов, тяжелее мышки ничего в руках не державших?
Так ты его нее заправил. Ты просто вставил тубу.
Сделано максимально просто. Но даже тут пользователи умудряются фейлить.
> Так ты его нее заправил. Ты просто вставил тубу.
> Сделано максимально просто. Но даже тут пользователи умудряются фейлить.конечно. Жутко же ненадежно сделали. Берешь непонятную фиговину, по виду - выcep инопланетного чудовища - "так, да каким концом и куда ее вставлять-то?! Хмм... а это что тут за рычажок? Б%^@$%#$!#@$!"
И вот - ты в г-не, публика - в г-не, весь зал - в г-не, дирижер в г-не по самую палочку...
А бункер с отработкой сам почистился? А то так заправлять конечно можно, но "жить" принтер будет плохо и недолго
Хз, м.б. там предполагалось, что его объёма должно хватить на несколько заправок, а дальше картридж целиком на выброс, вместе с невскрытым бункером с отработкой.
Бункер отработки тоже бывает сменный.
> Бункер отработки тоже бывает сменный.Я писал про то, что
> заправка картриджей это все же квалификацияпотому как про "засыпать по быстрому" на ютюбе видосиков полно, а про то как сделать работу качественно знает только нормальный специалист
Обычным юзерам сервисы обычно не дают слабые пароли выбирать."Мы не позволим вам использовать пароль 12345 - так как вас могут взломать. Мы заставим вас вывихнуть мозг, придумывая надёжный пароль, а затем профукаем всю базу пользователей сразу"
Нормальные сервисы не заставляют страдать такой фигнёй, а сами генерируют уникальный, надёжный пароль и отравляют его пользователю на мыло заставляя им пользоваться и НЕ позволяя указать свой пароль, но позволяя получить новый по такой же схеме!И в результате 100% надёжные и уникальные пароли и всех пользователей!
Сам так лет 10 делаю во всех своих проектах.
>пользователю на мылоНе пользователю, а владельцу почтового сервера. Это просто форма разглашения пароля.
>>пользователю на мыло
> Не пользователю, а владельцу почтового сервера. Это просто форма разглашения пароля.А кто вам мешает поднять СВОЙ почтовик и использовать его, если вы так печётесь о безопасности?
Я уже более 10-ти лет так и делаю.
А пользователи сами решают что для них важнее удобство или безопасность.
Есть не использовать шифрование сообщений, то SMTP трафик доступен в открытом виде по дефолту.
Поэтому любой релей в принципе может отложить ваши письмена в отдельную папочку/базу, а потом при желании можно парсить вашу переписку.
Именно по этому сервисы уже не присылают новый пароль на почту, а заставлют перейти по ссылке и вруную его поменять.
> Есть не использовать шифрование сообщений, ...А что мешает настроить свой почтовик на обязательное шифрование?
Норм сражение, но надежности действительно меньше, когда приходит пароль на почту в открытом доступе, при получении доступа к почтовому серв. пароль в открытом виде.
> когда приходит пароль на почту в открытом доступе,,,А почему ваша почта на вашем сервере с обязательным шифрованием находится в открытом доступе?
Это всё равно что сказать, что давать возможность указывать свой пароль пользователю не безопасно, потому что он придумает пароль и запишет его в гугло-документ и/или на бумажку, которые находится в открытом доступе.
Первым делом в таких случаях меняю дeрьмопароль на свой собственный
> Первым делом в таких случаях меняю дeрьмопароль на свой собственныйЯ говорю про нормальные и надёжные пароли, по типу "pwgen -s 16", а не про дерьмовые!
отравляют
ага
если какая-то обезьяна случайно устроилась присматривать за десятком компов и хрен кладет на свою работу, то это не значит все юзеры дебилы, пользователи которым нужна безопасность с паролями баловством таким не страдают
а почему у вас мир черно-белый? кладет хрен значит обезьяна, а может статься пенсионерки марии ивановне проще поставить пароль 123 чем вместо нее набирать чтото более сложное, так как она постоянно ошибается.ей надо чтобы дебет с кредитом сошелся и за это ей платят, а за запоминание каждый месяц нового пароля нет, за безопасность платят вам, вот вы и запоминайте пароли, вводите коды из смс и занимайтесь безопасностью.
Вот только хорошего универсального решения нет, и его даже в теории не может быть, можно создать сервис централизованный и много кто уже создал, только друг с другом они не договорятся никогда если их не заставят, но централизованный сервис сам по себе точка отказа и потенциальная дыра, а еще и вендорлок, который начнет рано или поздно навязывать свои правила, и понимая это очень многие будут его избегать, и это значит что ситуация никогда не выйдет из состояния суперпозиции в которой преимущества являются недостатками, а это значит, что разброд и шатания продолжаться вечно.
Безопасник не может обеспечить безопасность без содействия со стороны юзеров. Которых - да, приходится для этого административно нагибать. А логика "ты безопасник, ты и обеспечь" - это примерно как логика пациента, который хочет жрать, бухать, курить, валяться на диване, а врач обязан обеспечить его здоровье.
а за пользование бухгалтерскими программами ей платят?либо баба Валя начинает пользоваться информационной системой в соответствии с потребностями предприятия, либо декларируется соответствующий уровень (нулевой) информационной безопасности на предприятии
вы либо крестик снимите либо трусы наденьте вот и все
как бы никто не запрещает использовать пароль 123, но тогда все участники, включая директора, должны быть достоверно информированы насколько безопасна система
тчк
Да хоть десять раз будут "достоверно проинформированы". Если что случится, крайним всё равно будешь ты.
берешь лист А4 пишешь докладную регишь в приемной и прикрываешь этой бумагой свою жопу - вуаля
И пойдете по статье, так как "знал и не предотвратил", а ещё у СБ есть любимая фраза "совпадений не бывает".Се
Увольнятся надо сразу, а не заниматься эпистолярным жанром.В начале 2000-х такие проблемы имели место. Но 20 лет спустя это выглядит уже очень странно. Если где-то и вправду такое есть, то ждите и другие прелести — невыплату зарлпаты, штрафы за всякую ерунду и другие прелести "постсовка".
> Увольнятся надо сразу, а не заниматься эпистолярным жанром.Дык так ни на какой работе поработать не получится, если постоянно увольняться из-за нежелания руководства вводить правила безопасности.
Совершенно внезапно 99% мусорных ящиков и публичных демок оказались с известными паролями и их пользователи совершенно не заботятся о безопасности. Британские учёные вернутся на следующей неделе с ещё одним очевидным фактом.
Пройдись по городским вайфай точкам, минимум четверть из них с паролем вида 12345678. И это прекрасно.
тебе-то может и да, а вот к владельцу точки могут и придти - из-за _твоей_ дискредитации. Совершенно не понимаю, почему вы вместо этой х-ни не используете серийник.Надежно (приклеен) и хрен кто подберет.
Мне (очень мягко говоря) наплевать на владельца, это их проблемы, а я благодаря им могу спокойно донатить стороне которой симпатизирую и дискредитировать кого захочу
> Мне (очень мягко говоря) наплевать на владельца, это их проблемыДа, это всегда четкий признак "борца за свободу, демократию и все хорошее против всего плохого". Ему всегда плевать на других. А когда начинают плевать на него, раздается визг "аменязащо".
Ну надо сказать, что исторически "борцы за свободу" все такие и есть. У них всегда "лес рубят щепки летят", "неизбежный побочный ущерб", "разбитые яйцы" и так далее, просто обычно неминуемость страданий посторонних людей ради некой высокой цели оформляется более возвышенно, а не "да нам плевать".
Тхить Куанг Дык смотрит на тебя как на... впрочем он, конечно, просто не заметил бы.
Нет, это просто четкий признак п-са. В самом плохом смысле.За шва6одку он борется или сдает врагов товарищмайору - совершенно на это не влияет. Бывают любого сорта.
Если человек ИДИOТ и ставит такие пароли, то он обязан страдать и мне его ничуть не жалко. Без лоxа жизнь плоха. Но ты зачем-то сюда приплёл политику.
Это они еще про bugmenot не слышали. там, представьте, люди САМИ палят свои пароли.
или дефолтный логин:пароль юзеров башорга
он неюзабелен - они уже давно добровольно закрывают логины на сайты, которые их вежливо попросили.
> он неюзабелен - они уже давно добровольно закрывают логины на сайты, которые
> их вежливо попросили.Ну да, он стал неюзабелен как только им стали массово пользоваться и админы сайтов стали его замечать. Ну и логини вида bugmenot не стоило использовать конечно...
ну не совсем свои, конечно
> ну не совсем свои, конечноНу, специально созданные для бросовых аккаунтов, нужных только чтобы скачать несколько бесплатных файлов, чаще всего. Все помним дурацкую манеру некоторых товарищей требовать создавать аккаунт даже для доступа к бесплатному продухту.
Хух! Моего password123 тут нет.
И моего password@123
И не говори, даже мой passwo123rd не смогли сломать.
ох еп а вот это было близко...
Я со своим 1qaz@WSX вообще в шоколаде!
Я так смотрю, один из паролей у нас на работе некоторые для разработки используют
Я не понял, а чем Admin@123 провинился? Сто лет использую, обрывов не было.
А "test"? Где "test"? Почему "test" нету? Как же без "test"?
Потому что в продакшене не test'ируют
Самый интересный вопрос — а зачем тогда в этих случаях пароли? Может тогда нужно думать о других методах защиты? А этот сделать по желанию?
Я как-то видел один человек тут очень печально писал про идею логинится при доступе к интернет. С одной стороны пока я не вижу чтоб с технической стороны это было возможно, поэтому сразу успокою — не волнуйтесь. С другой стороны это охрененная возможность замены SSO, я бы с удовольствием пользовался и внедрял такую возможность по желанию на сайтах. Один раз ввел и не паришься.
... пароль по отпечатку пальца (ну или ещё чего) или сетчатке глаза и вообще ничего запоминать не нужно
Ага, а потом данные сетчатки утекают в открытый доступ, а поменять ты ее во-первых не можешь, во-вторых тебя еще по этим сливам можно будет от рождения проследить, будут прям целые фермы которые будут эти данные продавать на сторону (фактически уже есть, но сейчас им тяжелее пользователя идентифицировать).
Да, большие данные это зло. Их анализ может дать весьма печальные результаты. Меня на одном собеседовании в компанию SAS тим-лид старался впечатлить и указал на то что у них данные о 3 млрд. людей, это почти треть человечества, если это не преувеличение. Ну для таких данных и пароля в общем-то порой не нужно, а популярность.
Погоди, "может дать" или таки "даёт"? Это две большие разницы.
> данные сетчатки утекают в открытый доступ, а поменять ты ее во-первых не можешь,давно уже придуманы контактные линзы с напечатанной сетчаткой
_ты_ поменять не сможешь. А те, другие васяны - да, напечатают себе линзы.
Спасибо, поднял настроение!
> _ты_ поменять не сможешь. А те, другие васяны - да, напечатают себе
> линзы.а мне не нужна сетчатка других васянов, я напечатаю сетчатку трампа и сниму на кассе в пятерочке все деньги с его счета в сбере.
> давно уже придуманы контактные линзы с напечатанной сетчаткойВот преступники ими и воспользуются, а вот почему ты в напечатанных линзах ходишь это вызовет много вопросов, в тч и после обновления системы безопасности когда твои напечатанные линзы перестанут проходить из-за новой дополнительной проверки на линзы.
>> давно уже придуманы контактные линзы с напечатанной сетчаткой
> Вот преступники ими и воспользуются, а вот почему ты в напечатанных линзах
> ходишь это вызовет много вопросов,зрение плохое.
> в тч и после обновления системы безопасности когда твои напечатанные линзы перестанут проходить из-за новой дополнительной проверки на линзы.
"проверка на линзы" есть и сейчас, её никто не использует как единственный фактор запрещающий доступ. сегодня человек в линзах, завтра давление подскочило и линзы уже носить нельзя а только очки. а на работу ходить нужно.
а некоторые люди носят и линзы и очки _одновременно_.
> зрение плохое.Не объясняет почему у тебя напечатанные линзы, а не обычные прозрачные из аптеки для зрения.
> "проверка на линзы" есть и сейчас, её никто не использует как
> единственный фактор запрещающий доступ. сегодня человек в линзах, завтра давление
> подскочило и линзы уже носить нельзя а только очки. а на
> работу ходить нужно.Ну пока можете прикладывать пальцы и сдавать мочу на анализ, но уже в следующем месяце без вживленного в мозг чипа пропускать не будем. У нас же презентабельная компания, мы должны заботиться о вашей безопасности. Спасибо за понимание.
>> зрение плохое.
> Не объясняет почему у тебя напечатанные линзы, а не обычные прозрачные
> из аптеки для зрения.Ты способен отличить обычную линзу от напечатанной, без применения спецоборудования? Ну-ну.
> Спасибо за понимание.
> Ты способен отличить обычную линзу от напечатанной, без применения спецоборудования? Ну-ну.А я то тут причем? Это будут делать сканеры глазных яблок на входе. Сначала на работу в особо охраняемых зданиях, потом в банках, потом в каждой шаражке, а потом "для борьбы с инакомыслием" в каждой столовой.
И пальцы накладные придуманы, продаются в Японии в каждой аптеке. Так что лучше не по сетчатке регистрируйся, а по отпечатку.
А нет других методов.gpg ключи, ssl сертификаты и прочие токены пользователи почему-то не хотят носить на каждом устройстве
биометрия это зло, потому что не меняется и едина для всего
Смс-коды/пуши на телефон не безопасно и не конфицендиально, да и не все пользуются телефонами
Third party авторизация вроде OpenID все равно должна основываться на чем-то другомЕсть рабочая схема с ссылками по емейл, но почему-то (конечно менее удобна чем пароль, но не намного менее удобна чем OpenID например) она используется только для сбросов паролей и подтверждения емейлов (впрочем емейл тоже как-то нужно защитить)
Есть надежда что авторизация через блокчейны (вроде LNURL-auth) это поправит, но явно не в ближайшем будущем (опять же придется с собой таскать кошелек)
Ну почему нет? Я от стараюсь убирать администрирование в локальную сеть работодателя, которая как правило защищена более сложными паролями. А там, в продукте они чуть ли не на 100% будут использовать лёгкие пароли пока не начнутся проблемы. И вот подключение из дома к локальной сети требует ключей и сертификатов. А для иностранных специалистов нужно или другую локальную сеть делать или выводить в общедоступный интернет, где потом и получают те же проблемы.Биометрия может и зло, потому что не меняется, тем не менее положи детский треугольник на сканер вместе с ключом от ящика — вот небольшая художественная композиция вполне такой себе пароль. Если фантазия есть, то на эту тему можно всякого придумать. Уже и QR код можно картинкой генерировать.
Пока фантазия всего мира ничего кроме знания (паролей и их вариаций) и работы (PoW, но непонятно как ее можно было бы применить для аутентификации) не придумало.
Некоторые большие и известные западные компании ещё используют аппаратные ключи — карточку с чипом вставляешь в ноутбук и после этого вводишь пароль. Просто с сетью не соедитесь без карты. Вроде безопасно. И смс — много раз слышал что можно взломать, но не видел таких специалистов и не понимаю как это возможно. Их наверно мало, поэтому это относительно тоже безопасно.
> Некоторые большие и известные западные компании ещё используют аппаратные ключиАха, те самые у которых "супер надежные" 1024 бит секрет и которым криптят "лакомку" чтоб хранить на удаленке
А разве они перепрошиваемые? По моему они не перепрошиваемые на аппаратном уровне. Выглядят как бейджик и конечно, там есть RFID, но он только для перемещения, сам ключ — отдельный чип. Можете поделиться ссылкой о такой новости?
Как правило у таких компаний существуют другие дыры в безопасности. Например использование TeamViewer или ещё какого полезного и порой бесплатно софта.
> Может тогда нужно думать о других методах защиты?Да гугл уже подсуетился, про Passkey не слышали?
> А этот сделать по желанию?
Ну уж нет, а как же идентифицировать через юзер девайс, который по самое нехочу, - не твой
Он ваш и идентифицирован с момента покупки.
Толи дело мой пароль: *L1nux4Tr@sh,W1nd0ws4el1te!)Никогда его не забуду.
Вполне себе словарный пароль...
Так себе.
Для пользователя домашнего компьютера пароль приемлемый. На нем нет секретных данных, всё и так в открытом виде - полный opensource. Представляю удивление какеров, которые подбирали пароль к компьютеру в изолированной сети на одно устройство, а там исходники открытых проектов, да немногочисленные патчи с helloworld.
Чел, домашние компы в 99.9999% случаев без паролей вообще!
> а там исходники открытых проектов, да немногочисленные патчи с helloworld.вот и отлично, ща мы от твоего имени что-нить в шитхаб и закомитим!
> el1te!Сразу видно 1337-го.
Когда будет умирать сам Линус Торвальдс, на смертном одре он должен расскрыть пароль от своего ссш ключа - так провидение даст нам истину, каким паролем надо пользоваться.
Этот пароль у него давно уже жена выбила - так, на всякий случай.
Спортсменка как никак
Чемпионка!
Комсомолка?
И просто красавица... Наверное. Если это она...https://scontent-hel3-1.xx.fbcdn.net/v/t1.18169-9/10401157_4...
Какая-то "мисс Клювдия" :))
Delete all files Simba! Delete all files!
> Когда будет умирать сам Линус Торвальдс, на смертном одре он должен расскрыть пароль от своего ссш ключа - так провидение даст нам истину, каким паролем надо пользоваться.Пароль передается только наследникам престола.
Обычно я пользуюсь:pwgen -s 24
ИЛИ
head -c 16 /dev/urandom | openssl enc -base64
+ KeePassXC
Какой оверинжигиринг.
KeePassXC это умеет без всяких random
> + KeePassXCС паролем admin.
Причем, в отличие от настоящих паролей - тут нет ни алертов о том что кто-то уже целый третий раз пытается войти с Admin, ни блокировки акаунта после четвертой такой попытки.
Сп-дил файлик и подбирай спокойно у себя месяцами, годами, параллель на миллионные фабрики - никто не мешает. Да и подсмотреть не особая проблема, ты ж его вводить миллион раз на дню. Всегда один и тот же.
Как удобно, все суперсложные пароли от всего сложены кучкой и прикрыты тряпочкой.
То ли дело компании типа LastPass заботливо оповещают пользователей посредством пересылки электронной почты в сети Интернет об инциденте со взломом инфраструктуры и вероятном сливе данных.К слову о брутфорсе. Настройте кол-во итераций так, чтобы база полчаса расшифровывалась. Результат от перебора гарантирую.
> PasswordСлишком вычурно на мой вкус, нужно скромнее - password
эт автозамену лезть выключать надо?
> эт автозамену лезть выключать надо?Ах да, я всё забывают что пишу из времён мифологических уже, конечно сейчас большинство настраивает сервера да роутеры со смартфонов. Интересное наблюдение, спасибо.
Она забыли добавить, что в большинстве случаев это внутренние пароли, чтобы ввести которые надо до сервера физически добраться. А это задачка по сложности совсем другого уровня.
> ОнаОни
Оне
Оно
Толерантней надо быть!
Вспомнилась статья, где у американских военных код (пароль) чуть ли не на запуск ядерных ракет - 1234. Почему же код? Потому, что законодатели сказали, что обязательно должен быть код. Почему 1234? Потому, что военные сказали, что если кто-то добрался до терминала, с которого можно запустить ядерные ракеты, то уже никакой код не поможет и не имеет значения его сложность.
Паяльник взломает любой пароль даже быстрее утюга.
Ставь пароль на паяльник.
Торговцы распространяют вредоносное ПО через видеоролики YouTube или рекламу Google с мошенническим контентом. На администраторов может быть нацелена реклама инструментов ИТ-администратора, которая перенаправит их на другой сайт. Затем эти мошеннические сайты будут связывать вредоносное ПО с законным программным обеспечением, чтобы избежать обнаружения.Traffers spread malware through YouTube videos or Google ads to fraudulent content. Administrators may be targeted with ads for IT administrator tools that will redirect them to another site. These rogue sites will then bundle the malware with legitimate software to avoid detection.
они рассказывают "как мы узнали ваши пароли":В зависимости от приложения может быть несложно обойти механизм шифрования, чтобы получить доступ к открытым текстовым паролям для пользовательских приложений. Например, в Google Chrome вредоносная программа от имени жертвы отправляет запрос инструменту шифрования браузера для расшифровки информации, хранящейся на вашем компьютере.
Оттуда пароль попадет на торговую площадку, где он будет продан тому, кто предложит самую высокую цену, кто затем сможет использовать его при захвате учетной записи или атаках с использованием учетных данных.
Depending on the application, it can be simple to overcome the encryption mechanism to uncover the plaintext passwords for the user’s applications. For example, in Google Chrome, the malware puts in a request, on the victim’s behalf, to the browser’s encryption tool to decrypt information stored on your computer.
From there, the password will make its way to a marketplace where it will be sold to the highest bidder who can then use it in account takeover or credential stuffing attacks.
> они рассказывают "как мы узнали ваши пароли":Вы намекаете что они могли сдать пароли нужным людям в оправдание той информации которой они получили? Звучит разумно и красиво — они не при чем.
>> они рассказывают "как мы узнали ваши пароли":
> Вы намекаете что они могли сдать пароли нужным людям в оправдание той
> информации которой они получили? Звучит разумно и красиво — они не
> при чем.судя по списку _рекомендуемых_ ими "антивирусов" - очень даже при чем.
ну, не знаю - у меня восемь звездочек. до сих пор никто не вальнул.
> demoПфф, "взломали" какие-то не представляющие важности ресурсы и раздули сенсацию. Я на многих сайтах для своих аккаунтов тоже ставлю пароли типа 1234, если аккаунт одноразовый какой нибудь и через неделю я всё равно уже забуду о его существовании, уведут ли его мне не важно. Я уверен так поступают многие. Не нравится? Так не вынуждайте регистрироваться по пустякам.
> Я на многих сайтах для своих аккаунтов тоже ставлю пароли типа 1234, если аккаунт одноразовыйну нееет, так не пойдет. Чтобы купить нашу зубочистку, тебе понадобится пароль не менее 12 символов, буквы, в разном регис...неееет, наш валидатор пропускает только латинницу, спецсимвол ой, только не @, #, %, * и не скобку - наш валидатор...ну ты понял, и не менее трех цифр. Разных!
Вот, теперь подтверди email, набери шесть последних цифр номера телефона который тебе только что позвонил и можешь убедиться что заказ не работает - вооон там в самом углу есть телефон, где живой человек у тебя его примет. (зато в спаме ты теперь - утонешь)
А это вот в списке - _админские_ пароли. Я блин админ, или где?! Будет мне еще всякая железяка указывать, какие пароли правильные а какие нет! Я сказал - 1234567890!
Я не админ, но я использовал ненадёжный пароль. Он был установлен до меня. При попытке его изменить и перевести всех на надёжно-сгенерированный пароль я получил нагоняй и указание вернуть всё взад потому что сотрудникам видите-ли его трудно помнить.
поменяешь перед увольнением
> 01031974Диды-ровестники сишки мину подложили!
А как же 1password и 12password?
Как и Неуловимый Джо.Его давно никто не видел, т.к. сам не заходил, а остальным не нужен.
Часто это сервисы, у которых нулевая ценность.
ADMIN:ADMIN - привет от Supermicro )
если бы
теперь надо искать пароль на наклейке материнки :-(
Испортили жизнь невозможностью использования коротких паролей,но ысе равно это никого не спасает. Хеш вместо мд5 также пустышка. ЭКачаем паленый Кипас и радуемся жизни.
Заказная статейка под которую теперь будут впаривать дичь вроде MFA и ключи в железе.
Заказная статейка недавно про уязвимости в DDR4 появилась. Срочно беги всё меняй.
Список паролей вируса Морриса
"academia", "aerobics", "airplane", "albany",
"albatross", "albert", "alex", "alexander",
"algebra", "aliases", "alphabet", "amorphous",
"analog", "anchor", "andromache", "animals",
"answer", "anthropogenic", "anvils", "anything",
"aria", "ariadne", "arrow", "arthur",
"athena", "atmosphere", "aztecs", "azure",
"bacchus", "bailey", "banana", "bananas",
"bandit", "banks", "barber", "baritone",
"bass", "bassoon", "batman", "beater",
"beauty", "beethoven", "beloved", "benz",
"beowulf", "berkeley", "berliner", "beryl",
"beverly", "bicameral", "brenda", "brian",
"bridget", "broadway", "bumbling", "burgess",
"campanile", "cantor", "cardinal", "carmen",
"carolina", "caroline", "cascades", "castle",
"cayuga", "celtics", "cerulean", "change",
"charles", "charming", "charon", "chester",
"cigar", "classic", "clusters", "coffee",
"coke", "collins", "commrades", "computer",
"condo", "cookie", "cooper", "cornelius",
"couscous", "creation", "creosote", "cretin",
"daemon", "dancer", "daniel", "danny",
"dave", "december", "defoe", "deluge",
"desperate", "develop", "dieter", "digital",
"discovery", "disney", "drought", "duncan",
"eager", "easier", "edges", "edinburgh",
"edwin", "edwina", "egghead", "eiderdown",
"eileen", "einstein", "elephant", "elizabeth",
"ellen", "emerald", "engine", "engineer",
"enterprise", "enzyme", "ersatz", "establish",
"estate", "euclid", "evelyn", "extension",
"fairway", "felicia", "fender", "fermat",
"fidelity", "finite", "fishers", "flakes",
"float", "flower", "flowers", "foolproof",
"football", "foresight", "format", "forsythe",
"fourier", "fred", "friend", "frighten",
"fungible", "gabriel", "gardner", "garfield",
"gauss", "george", "gertrude", "ginger",
"glacier", "golfer", "gorgeous", "gorges",
"gosling", "gouge", "graham", "gryphon",
"guest", "guitar", "gumption", "guntis",
"hacker", "hamlet", "handily", "happening",
"harmony", "harold", "harvey", "hebrides",
"heinlein", "hello", "help", "herbert",
"hiawatha", "hibernia", "honey", "horse",
"horus", "hutchins", "imbroglio", "imperial",
"include", "ingres", "inna", "innocuous",
"irishman", "isis", "japan", "jessica",
"jester", "jixian", "johnny", "joseph",
"joshua", "judith", "juggle", "julia",
"kathleen", "kermit", "kernel", "kirkland",
"knight", "ladle", "lambda", "lamination",
"larkin", "larry", "lazarus", "lebesgue",
"leland", "leroy", "lewis", "light",
"lisa", "louis", "lynne", "macintosh",
"mack", "maggot", "magic", "malcolm",
"mark", "markus", "marty", "marvin",
"master", "maurice", "mellon", "merlin",
"mets", "michael", "michelle", "mike",
"minimum", "minsky", "moguls", "moose",
"morley", "mozart", "nancy", "napoleon",
"nepenthe", "ness", "network", "newton",
"next", "noxious", "nutrition", "nyquist",
"oceanography", "ocelot", "olivetti", "olivia",
"oracle", "orca", "orwell", "osiris",
"outlaw", "oxford", "pacific", "painless",
"pakistan", "papers", "password", "patricia",
"penguin", "peoria", "percolate", "persimmon",
"persona", "pete", "peter", "philip",
"phoenix", "pierre", "pizza", "plover",
"plymouth", "polynomial", "pondering", "pork",
"poster", "praise", "precious", "prelude",
"prince", "princeton", "protect", "protozoa",
"pumpkin", "puneet", "puppet", "rabbit",
"rachmaninoff", "rainbow", "raindrop", "raleigh",
"random", "rascal", "really", "rebecca",
"remote", "rick", "ripple", "robotics",
"rochester", "rolex", "romano", "ronald",
"rosebud", "rosemary", "roses", "ruben",
"rules", "ruth", "saxon", "scamper",
"scheme", "scott", "scotty", "secret",
"sensor", "serenity", "sharks", "sharon",
"sheffield", "sheldon", "shiva", "shivers",
"shuttle", "signature", "simon", "simple",
"singer", "single", "smile", "smiles",
"smooch", "smother", "snatch", "snoopy",
"soap", "socrates", "sossina", "sparrows",
"spit", "spring", "springer", "squires",
"strangle", "stratford", "stuttgart", "subway",
"success", "summer", "super", "superstage",
"support", "supported", "surfer", "suzanne",
"swearer", "symmetry", "tangerine", "tape",
"target", "tarragon", "taylor", "telephone",
"temptation", "thailand", "tiger", "toggle",
"tomato", "topography", "tortoise", "toyota",
"trails", "trivial", "trombone", "tubas",
"tuttle", "umesh", "unhappy", "unicorn",
"unknown", "urchin", "utility", "vasant",
"vertigo", "vicky", "village", "virginia",
"warren", "water", "weenie", "whatnot",
"whiting", "whitney", "will", "william",
"williamsburg", "willie", "winston", "wisconsin",
"wizard", "wombat", "woodwind", "wormwood",
"yacov", "yang", "yellowstone", "yosemite",
"zimmerman",
Отметим - никакого admin никакого demo ,дево-псы таки деградируют ....
тогда паролем было всё то-же что и сейчас - страдания по женской письке и персонажи мультфильмов.
> Отметим - никакого admin...
> дево-псы таки деградируют ....Они теперь поди и не разумеют - что такое admin. 😃
— Не понимаю, как они смогли взломать пароль у меня на ноуте?
— А что у тебя за пароль был?
— Год канонизации святого Доминика папой Григорием IХ.
— А это какой год?
— 1234.
Доктор, а откуда у Вас это? С какой целью Вы это демонстрируете?
Можно рейтинг надёжных паролей посмотреть?
Ииииии... в итоге пароли никто не поменяет.
Мой любимый сюда не попал
Qwe!23Проще не получается, так как система требует обязательного наличия строчных и прописных букв, цифр и специальных символов.
"Британские" учёные ВНЕЗАПНО! выяснили, что админы (точно так же, как и все остальные пользователи) на всяких мусорных и ненужных ресурсах (которые считают себя пупом земли и ТРЕБУЮТ зарегистрироваться) вводят простейшие пароли, потому что никогда в жизни больше не собираются сюда возвращаться? А даже если и соберуться, проще новый акк зарегать, такой же одноразовый как и раньше.
С паролями я поступаю проще (под оффтопиком, извините): ставлю AutoHotKey и на нумпаде программирую цифру на ввод этого (сложного) пароля. И когда нужно регаться на всяких говнобложиках, автоматом туда ввожу этот пароль. И запоминать ничего не нужно, и вводить "как два байта переслать".
Точно так же можно постоянно открытую базу KeePass(DX) держать. Расширение в браузере и это считай логин в одно нажатие.
