The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"На GitHub обрушилась крупнейшая атака по подбору паролей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от opennews (??) on 20-Ноя-13, 19:11 
Разработчики хостинга открытого кода GitHub сообщили (https://github.com/blog/1698-weak-passwords-brute-forced) о выявлении массовой атаки по подбору паролей пользователей сервиса. Для обхода действующих ограничений по интенсивности попыток аутентификации в атаку было вовлечено более 40 тысяч уникальных IP-адресов. В результате атаки были определены параметры входа для некоторых аккаунтов, использующих типовые пароли или пароли, используемые на других сайтах.


Администраторы сервиса оперативно проанализировали вредоносную активность и заблокировали аккаунты, которые были явно скомпрометированы, использовали слабые пароли или для которых зафиксирована подозрительная активность (например, если вход был осуществлён с IP, для которого зафиксированы множественные неудачные попытки входа в другие аккаунты). Всем  пользователям рекомендуется проанализировать последние подключения к GitHub  на данной странице (https://github.com/settings/security) и усилить защиту через включение в настройках аккаунта двухфакторной аутентификации (https://www.opennet.ru/opennews/art.shtml?num=37815) с использованием SMS.


Не исключается, что успешность атаки объясняется использованием для подбора паролей информация о сходных аккаунтах, полученной в результате недавних атак на Adobe (https://www.opennet.ru/opennews/art.shtml?num=38077), MacRumors и vBulletin (https://www.opennet.ru/opennews/art.shtml?num=38463).

URL: http://arstechnica.com/security/2013/11/github-resets-user-p.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=38480

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 19:11 
зачем?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +4 +/
Сообщение от танки в париже on 20-Ноя-13, 19:15 
и вправду у меня  4 неудавшихся подключений с левых айпи два-три дня назад
фиг вам
контра не пройдет
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 19:21 
У меня такое же
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

51. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 04:10 
Аж целых 6 раз ломились)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

54. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 08:36 
Ко мне 29 раз влезть пытались =)
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

20. "На GitHub обрушилась крупнейшая атака по подбору паролей"  –3 +/
Сообщение от Аноним (??) on 20-Ноя-13, 20:50 
Мне больше интересно откуда GitHub знает что такие же пароли как у них используются и на других сайтах

>> были определены параметры входа для некоторых аккаунтов, использующих типовые пароли или пароли, используемые на других сайтах

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

39. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +3 +/
Сообщение от Pilat (ok) on 21-Ноя-13, 00:04 
если к аккаунту после нескольких попыток подбирается несловарный пароль, это значит что либо клиент пьян, либо пробуются его пароли на других ресурсах.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +9 +/
Сообщение от ананим on 20-Ноя-13, 21:25 
Зачем?
Чтобы все предоставили свои телефоны.
>усилить защиту через включение в настройках аккаунта двухфакторной аутентификации с использованием SMS.

.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

45. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 02:14 
А зачем предоставлять телефон для RFC6238?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

50. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Crazy Alex (ok) on 21-Ноя-13, 03:10 
Тут людям главное повозмущаться, наличие варианта с RFC6238 они стараются не замечать :-)
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

2. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 19:14 
a day ago user.failed_login: Originated from 111.221.1.110
2 days ago user.failed_login: Originated from 180.180.121.101
2 days ago user.failed_login: Originated from 115.124.78.82
3 days ago user.failed_login: Originated from 186.91.110.236
3 days ago user.failed_login: Originated from 188.2.183.104
Такие дела.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от танки в париже on 20-Ноя-13, 19:17 

user.login: Originated from 95.220.23.220
2 days ago user.failed_login: Originated from 190.203.209.98
2 days ago user.failed_login: Originated from 81.25.172.105
3 days ago user.failed_login: Originated from 201.209.185.94
3 days ago user.failed_login: Originated from 186.91.233.140

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от pavlinux (ok) on 20-Ноя-13, 22:10 
2 days ago user.failed_login: Originated from 61.164.101.16
2 days ago user.failed_login: Originated from 190.36.170.11
2 days ago user.failed_login: Originated from 180.166.69.1
3 days ago user.failed_login: Originated from 190.39.84.229
3 days ago user.failed_login: Originated from 186.90.220.141
3 days ago user.failed_login: Originated from 190.78.185.134
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

44. "На GitHub обрушилась крупнейшая атака по подбору паролей"  +/
Сообщение от Сталин on 21-Ноя-13, 01:37 
user.failed_login: Originated from 190.37.233.250
user.failed_login: Originated from 190.78.158.174
user.failed_login: Originated from 190.73.174.116
user.failed_login: Originated from 41.46.201.119
user.failed_login: Originated from 201.242.150.143
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

6. "На GitHub обрушилась крупная атака по подбору паролей"  +17 +/
Сообщение от A.Stahl on 20-Ноя-13, 19:23 
>с использованием SMS.

Чего только не придумают лишь бы номер телефона узнать...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 20:44 
предложите дугой эффективный способ аутентификации?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "На GitHub обрушилась крупная атака по подбору паролей"  +6 +/
Сообщение от Куяврик on 20-Ноя-13, 22:33 
Ключ, не?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

52. "На GitHub обрушилась крупная атака по подбору паролей"  –3 +/
Сообщение от Аноним (??) on 21-Ноя-13, 04:11 
Дороговато
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

66. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от Xaionaro (ok) on 21-Ноя-13, 14:57 
Что дороговато? Сгенерировать RSA-/ECDSA-ключ?
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

75. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Куяврик on 23-Ноя-13, 12:01 
> Что дороговато? Сгенерировать RSA-/ECDSA-ключ?

ну может ему дорогова-то. может он по объявлению специалиста приглашает для этого, откуда мы знаем.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

31. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от Crazy Alex (ok) on 20-Ноя-13, 22:32 
Они также умеют TOTP. Абсолютно стандартный, поддерживаемый кучей железок и приложений на все мыслимые смартфоны и операционки. Так что никаких проблем не давать номер телефона.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

34. "На GitHub обрушилась крупная атака по подбору паролей"  +9 +/
Сообщение от hitode (ok) on 20-Ноя-13, 22:35 
Заведи вторую симку... и вторую мобилу.. и купи их в другом городе на липовый паспорт
И помни - никаких билетов, никакого автостопа - ножками по лесу.
Не светись перед камерами и спутниками (действуй только во время дождя ибо зонт слабое место спутников).
Ещё лучше если всё это сделает за тебя неизвествестный чел. Вы не должны видеть друг друга.
Плати биткоинами.
Удачи!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "На GitHub обрушилась крупная атака по подбору паролей"  +4 +/
Сообщение от Аноним (??) on 21-Ноя-13, 02:27 
> и купи их в другом городе

А смысл? Сеть все-равно знает где ваш мобильный ошейник находится. Уж с точностью пятака в 500 метров вокруг соты - по любому. Так что, топай, бычок, и звени своим колокольцем. Чтоб пастухи были в курсе где ты.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

61. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от Аноним такой аноним on 21-Ноя-13, 11:37 
> на липовый паспорт
> ваш мобильный ошейник

чей "ваш"?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

72. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Гость on 22-Ноя-13, 22:56 
>> на липовый паспорт
>> ваш мобильный ошейник
> чей "ваш"?

Твой. Так понятней?

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

60. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от noname 001 on 21-Ноя-13, 10:55 
сопоставление одновременного пребывания 2-х телефонов в одинаковых местах в даст возможность опознать реального владельца.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

63. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 12:03 
Омерике два небоскреба сожгла для поставить крест на частной жизни и развязать войну, а ты такие советы делаеш
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

59. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от noname 001 on 21-Ноя-13, 10:40 
дал им свой телефон, sms они не смогли отправить телефон конечно в формате +7... видать что то с их шлюзом нетого...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от iZEN (ok) on 20-Ноя-13, 19:33 
Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные для автоматизированного подбора, а самим владельцам запоминать их трудно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Слушатель on 20-Ноя-13, 19:36 
Владельцам запоминать их необязательно. Для этого существуют менеджеры паролей.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 20:03 
Здравствуй хабрачеловек!
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

27. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от pavlinux (ok) on 20-Ноя-13, 22:12 
> Владельцам запоминать их необязательно. Для этого существуют менеджеры паролей.

Ага, пускай АНБ запоминает.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

78. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от омоним on 25-Ноя-13, 08:38 
В конце концов, за что "мы" "им" деньги платим!?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

15. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от тоже Аноним email(ok) on 20-Ноя-13, 20:08 
Последние лет тридцать широко известны методики придумывания мнемонических паролей, которые трудно подобрать и легко запомнить.
Давно пора не лениться придумать себе хоть один нормальный пароль, а не писать "SAMSUNG" по надписи на мониторе.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от rshadow (ok) on 20-Ноя-13, 20:15 
> методики придумывания мнемонических паролей

apg?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от iZEN (ok) on 20-Ноя-13, 20:24 
> Последние лет тридцать широко известны методики придумывания мнемонических паролей, которые
> трудно подобрать и легко запомнить.
> Давно пора не лениться придумать себе хоть один нормальный пароль, а не
> писать "SAMSUNG" по надписи на мониторе.

Легко сказать и сделать это, когда число запоминаемых паролей не превышает десяти. А если каждый второй сайт требует авторизации, чтобы была возможность пользоваться его услугами и не быть пассивным зрителем? Придумать хороший и устойчивый к взлому пароль, запомнить его — не велика задача. Проблема держать в голове несколько десятков, а то и сотен таких паролей. И дело тут не в лени, а в элементарной неспособности человека к запоминанию ничего незначащего "мусора", с которым работа алгоритмов подбора существенно затруднена.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

36. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от angra (ok) on 20-Ноя-13, 22:39 
В свое время не особо напрягаясь за пару недель натренировал себя на длительное(месяцы и годы) запоминание произвольной парольной комбинации из 10 символов с одного прочтения или диктовки. Так что не надо про неспособность человека к таким вещам. Другое дело, что большинству, включая и меня сейчас, лень таким заниматься.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

37. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 23:51 
К поступлению в шпионсую школу готовился?
Для такого надо значительно изнасиловать свои мозги, в частности вызывать стресс при запоминании. Да и все равно не верю, что даже через месяц ты их вспомнишь если заучил несколько и не повторял.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

71. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от неаноним on 22-Ноя-13, 05:24 
Абсолютно верно, даже странно, что кто-то еще реально этим интересуется. Не обязательно стресс, можно просто нечто очень необычное ассоциировать.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

38. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 20-Ноя-13, 23:53 
> Легко сказать и сделать это, когда число запоминаемых паролей не превышает десяти.

пишешь в английской раскладке что-то вроде о1п2е3н4н5е6т7о8ч9к0и_"твоя парольная фраза для неважных сайтов из многознаков со спецсимволами" но так как набирать это влом, менеджеры паролей рулят (под мастер паролем естественно).


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

55. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от тоже Аноним email(ok) on 21-Ноя-13, 08:50 
Если вам действительно требуется сотня РАЗНЫХ паролей - прибегайте к помощи компьютера.
Мне, например, хватает трех: пароль для сайтов, которые я админю, пароль для сайтов, взлом которых будет для меня неприятным и пароль для всех остальных сайтов.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

64. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от iZEN (ok) on 21-Ноя-13, 12:24 
> Мне, например, хватает трех: пароль для сайтов, которые я админю, пароль для
> сайтов, взлом которых будет для меня неприятным и пароль для всех
> остальных сайтов.

https://www.opennet.ru/openforum/vsluhforumID3/92754.html#62
(2-й коммент)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

65. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от тоже Аноним email(ok) on 21-Ноя-13, 12:48 
На практике это угрожает только третьему паролю.
Потому что сайты, на которых хранится действительно ценная информация, крайне редко позволяют засветить нетривиальный пароль даже при сливе базы.
В той атаке, о которой говорит эта новость, например, никто из пользователей с нетривиальным и не засвеченным ранее паролем не пострадал.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

21. "На GitHub обрушилась крупная атака по подбору паролей"  –2 +/
Сообщение от XoRe (ok) on 20-Ноя-13, 20:53 
> Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные
> для автоматизированного подбора, а самим владельцам запоминать их трудно.

Зачем их запоминать?
http://lastpass.com
Если не доверяете облакам, программа keepass.
И можно генерировать пароли из 16/24/32 символа, содержащие A-Za-z0-9 + всякие $%^&.
Автоматизированный подбор по словарю и брутфорсом отметаются сразу.
Остаются всякие коллизии и радужные таблицы, которые по сложности выбиваются из общего ряда.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

28. "На GitHub обрушилась крупная атака по подбору паролей"  –5 +/
Сообщение от pavlinux (ok) on 20-Ноя-13, 22:13 
>> Давно пора пользоваться электронными ключами. Сложные пароли оказывается не такие сложные
>> для автоматизированного подбора, а самим владельцам запоминать их трудно.
> Зачем их запоминать?
> http://lastpass.com
> Если не доверяете облакам, программа keepass.

У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "На GitHub обрушилась крупная атака по подбору паролей"  +2 +/
Сообщение от myhand (ok) on 20-Ноя-13, 22:32 
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?

Молчел-к слыхал о резервном копировании информации?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

40. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от pavlinux (ok) on 21-Ноя-13, 00:07 
Да, работает система "Omnia mea mecum porto".
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

69. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от myhand (ok) on 21-Ноя-13, 15:26 
Это зависит о того, хотите ли вы всегда иметь возможность восстановить все "прям щас", или готовы потерпеть часок.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

35. "На GitHub обрушилась крупная атака по подбору паролей"  –2 +/
Сообщение от Куяврик on 20-Ноя-13, 22:36 
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?

а git это такая модная фишка, которой павлин троллит bsd. у меня вот профиль в git, ы?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

41. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от pavlinux (ok) on 21-Ноя-13, 00:11 
>> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?
> а git это такая модная фишка, которой павлин троллит bsd. у меня
> вот профиль в git, ы?

Пяздить не мешки ворочать! Хотя,... онанизм вроде ещё не запрещали.  
И чё, git push канешна по ключу, все это дело привязано к fanotify,
и при работе создаётся адский оверхед, ... Надеюсь репа на другом компе,
с тремя уровнями бэкапа?! И Мan-in-the-middle не пролезет! А ключи раз
в 180 дней пересоздаешь?  А на сервер ключей экспортируешь? А отзываешь просроченные?
А сколиоз не мучает, а девок голых ваще видел, а то с таким конфигом кушать наверно некогда
:-P

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Crazy Alex (ok) on 21-Ноя-13, 00:50 
Ну если самому себе мороку хочется - то можно и так, конечно. А если нужен результат - то раз в сутки по крону сваял и готово. результат (можно дополнительно зашифрованный, но зачем?) в гуглодрайв и дропбокс закинул (с открытым доступом для всех, понятно) - и готово. Скрипт пишется минут за 15 и работает потом абсолютно молча.

У меня, правда, немного по-другому - без гита, grive + encfs + таки inotifywait, а в dropbox и еще в пару мест уже принудительно бекапится по крону. Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

74. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от Куяврик on 23-Ноя-13, 12:00 
> Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.

для паролей отдельная репа. внёс пароль - коммит на сервак. с описаловом. на серваке и репа и копия. руками описалово. некоторые записи - пояснения к ним только в описалове, или вообще понятны только мне, да. на случай попадания списка в чужие лапы: от чего что понятно будет в 10..30% случаев. ну и некоторое из того, что будет понятно - _нужно_, чтобы было понятно ;)


Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

81. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от pavlinux (ok) on 27-Ноя-13, 01:19 
>> Но я там далеко не только пароли держу, поэтому просто бекапа раз в сутки маловато. А для паролей - ни малейших проблем.
> для паролей отдельная репа. внёс пароль - коммит на сервак. с описаловом.
> на серваке и репа и копия. руками описалово. некоторые записи -
> пояснения к ним только в описалове, или вообще понятны только мне,
> да. на случай попадания списка в чужие лапы: от чего что
> понятно будет в 10..30% случаев. ну и некоторое из того, что
> будет понятно - _нужно_, чтобы было понятно ;)

Вот поциент, жертва жита бэкапа https://www.opennet.ru/openforum/vsluhforumID9/9787.html

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

82. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Куяврик on 29-Ноя-13, 05:29 
> Вот поциент, жертва жита бэкапа https://www.opennet.ru/openforum/vsluhforumID9/9787.html

(пожимает плечами)

ай-ай-ай....

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

76. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от XoRe (ok) on 24-Ноя-13, 02:46 
> У тя чё, ниразу Хром иль Фокс не накрывались со стиранием профиля?

Вы не поверите)
Кстати, пароли в профиле хранятся без шифрования.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

47. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 02:28 
> Давно пора пользоваться электронными ключами.

Ну да, парсить на автомате вывод кейлогеров - головняк. Вот готовый ключ спереть - это да. Проверено фрибсдшниками :).

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "На GitHub обрушилась крупная атака по подбору паролей"  +10 +/
Сообщение от Аноним (??) on 20-Ноя-13, 19:38 
Скоро роботы будут ломать репозитарии и улучшать в них код.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от Аноним (??) on 20-Ноя-13, 19:48 
При чем именно фиксить баги, исправлять уязвимости :) Ты сделал мой день, бро!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

22. "На GitHub обрушилась крупная атака по подбору паролей"  +3 +/
Сообщение от XoRe (ok) on 20-Ноя-13, 20:54 
> При чем именно фиксить баги, исправлять уязвимости :) Ты сделал мой день,
> бро!

Делать полезное дело - менять слабые пароли на сильные :)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

48. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 02:29 
> Делать полезное дело - менять слабые пароли на сильные :)

Ну а что, некоторые боты ботнетов вломившись в систему патчат дырку. Чтобы конкурентам не досталось.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

10. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Alatar (ok) on 20-Ноя-13, 19:42 
Хм...
>> Администраторы сервиса <...> заблокировали аккаунты, которые <...> использовали слабые пароли

Они что, устроили локальный брутфорс по своей базе паролей? Интересно, сколько вычислительной мощи для этого требуется.
Или они хранят атрибут "стойкость пароля", генерируемый в момент задания пароля?..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от антон (??) on 20-Ноя-13, 19:51 
> Хм...
>>> Администраторы сервиса <...> заблокировали аккаунты, которые <...> использовали слабые пароли
> Они что, устроили локальный брутфорс по своей базе паролей? Интересно, сколько вычислительной
> мощи для этого требуется.
> Или они хранят атрибут "стойкость пароля", генерируемый в момент задания пароля?..

Скорее второе.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от Аноним (??) on 20-Ноя-13, 20:07 
Сделать банальный поиск по словарю много мощностей не надо.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

67. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Xaionaro (ok) on 21-Ноя-13, 14:59 
> Сделать банальный поиск по словарю много мощностей не надо.

В нормальных проектах, пароли обычно хешируют. Во много раундов (зачаствую в нестандартное число round-ов, типа "1238"), с солью, а иногда и со смещением (на каждый round)... Каким-нибудь хорошим алгоритмом, типа SHA2.

Даже всего один жалкий хеш будете ломать очень долго ;)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "На GitHub обрушилась крупная атака по подбору паролей"  +1 +/
Сообщение от тоже Аноним email(ok) on 20-Ноя-13, 20:11 
> Они что, устроили локальный брутфорс по своей базе паролей?

Нет, они просто посмотрели по логам, на каких аккаунтах атака была успешной.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

23. "На GitHub обрушилась крупная атака по подбору паролей"  –1 +/
Сообщение от XoRe (ok) on 20-Ноя-13, 20:57 
> Интересно, сколько вычислительной мощи для этого требуется.

Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
Мне кажется, они взяли словари типа адобовского и хранят атрибут "номер слова в словаре".

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

49. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 02:31 
> Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.

Или мощь мозгов или просто наглость: расхакать 40К машин автоматически и отправить их воевать с покемонами. Единственное что при этом реально надо - умение прятаться, поскольку за такое искать будут и достаточно серьезно, скорее всего. И если найдут - таки дадут в чайник криминальныи законами.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

70. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от XoRe (ok) on 21-Ноя-13, 20:21 
>> Для этого надо мощь бабла - заказать 40 тыс ботов с разных ip адресов.
> Или мощь мозгов или просто наглость: расхакать 40К машин автоматически

Расскажете, как хакать автоматически?)

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

43. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 01:21 
Гугл после нескольких неправильных паролей начинает показывать капчу, т.е. 2-3 неправильно ввел и все, брут форс останавливается. У этих неумех похоже такой элементарной защиты не было, если на какие-то аккаунты брут-форс все же сработал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 12:02 
> Гугл после нескольких неправильных паролей начинает показывать капчу,

Капча уже давно не помогает, её успешно ломают с использованием биороботов, посещающих порносайты - перед показом чего-либо предлагают ввести оттранслированную капчу.

> У этих неумех похоже такой элементарной защиты не было,

Их форсили по имеющейся базе паролей, т.е. сопоставляли аккаунты на GitHub с аккаунтами в сворованных базах, вероятность что это один и тот же пользователь и, что он использует одинаковый пароль на разных ресурсах достаточно велика.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

77. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 24-Ноя-13, 04:07 
> Капча уже давно не помогает, её успешно ломают с использованием биороботов, посещающих
> порносайты - перед показом чего-либо предлагают ввести оттранслированную капчу.

Первый раз в жизни слышу про подобные веб-станицы. Главное, зачем, если ресурсов, не требующих подобные действия, более, чем достаточно? Да ни один крупный сайт, наверняка... Не попросит о подобном. Это даже звучит глупо.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

53. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Аноним (??) on 21-Ноя-13, 05:41 
значит ли это что они ранее взломали и нашли хоть один из моих паролей?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Fracta1L (ok) on 21-Ноя-13, 09:22 
Фигасе, 29 попыток подключения. Кому мой полупустой аккаунт сдался?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

57. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от Fracta1L (ok) on 21-Ноя-13, 09:22 
> 29 попыток подключения

Логина, то есть.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

58. "На GitHub обрушилась крупная атака по подбору паролей"  +/
Сообщение от darkshvein (ok) on 21-Ноя-13, 10:19 
Это только для фото
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру