Автор |
Сообщение |
Maximus ®
Вольный стрелок Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5082
Ratio: 25.179
Поблагодарили: 13237
100%
|
В свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета. Вероятность взлома при помощи этого файла тем выше, чем чаще конкретный пользователь использует один и тот же пароль в разных сервисах.
Утечка тысячелетия Хакеры выложили в открытый доступ файл с более чем 8 млрд паролей. По информации профильного портала CyberNews, документ имеет объем около 100 ГБ и содержит свыше 8,459 млрд строчек, каждая из которых – это отдельный пароль. Это крупнейшая утечка паролей в истории человечества.
Распространение файла началось с неназванного хакерского форума. В Сеть его выложил пользователь под псевдонимом RockYou2021, и сам файл называется так же. Возможно, это отсылка к утечке RockYou, произошедшей в 2009 г.
12 лет назад файл RockYou тоже содержал скомпрометированные пароли, но их в нем было приблизительно в 262 раза меньше. Он насчитывал 32 млн строк.
По заявлениям самого RockYou2021, в одноименном файле содержатся 8,2 млрд паролей. Тем не менее, специалисты CyberNews, получившие к нему доступ, заявляют о наличии именно 8,459 млрд записей. В их числе простые и сложные пароли длиной от 6 до 20 символов, включая сложные комбинации букв, цифр и символов. По данным портала Worldometer, население Земли на момент публикации материала превышало 7,87 млрд человек. Таким образом, количество утекших паролей превышает суммарное число жителей планеты.
Согласно подсчетам CyberNews, количество интернет-пользователей во всем мире находится в пределах 4,9 млрд человек. Исходя из этого, вероятность обнаружить пароль в списке высока.
Появление в свободном доступе файла RockYou2021 может нанести значительный ущерб приватности пользователей. Киберпреступники, к примеру, могут комбинировать 8,4 млрд уникальных вариантов паролей из этого файла другими данными из подобных баз, утекших ранее. Это могут быть, к примеру, базы с адресами электронной почты. Также этот файл может быть использован для создания так называемых «словарей паролей», упрощающих проведение брутфорс-атак (взлом аккаунтов при помощи специального ПО методом перебора паролей.
Вероятность стать жертвой взлома, при осуществлении которого использовался файл RockYou2021 в ряде случаев может быть высокой. В зоне повышенного риска пользователи, использующие один и тот же пароль для самых разных сервисов. По оценке CyberNews, с несанкционированным доступом к профилям могут столкнуться миллиарды пользователей. Снизить вероятность взлома аккаунтов после утечки RockYou2021 можно в первую очередь путем смены паролей. Лучше всего использовать сложные комбинации, применять разные пароли для разных сервисов и хранить их в офлайновом менеджере паролей.
Специалисты CyberNews также рекомендуют использовать двухфакторную авторизацию во всех сервисах, где она доступна. Как правило, владельцы веб-сервисов реализуют ее в виде кода подтверждения, отправляемого на заранее указанные электронную почту или номер телефона. CNews |
_________________ «Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
|
Коля3Д79
RG Soft
Стаж: 9 лет 5 мес.
Сообщений: 1454
Ratio: 1.824
Поблагодарили: 25605
31.03%
Откуда: Tortuga
|
МихаилСпасибо |
|
|
|
mmaxcad
Стаж: 12 лет 2 мес.
Сообщений: 1964
Ratio: 1.993
0.89%
|
vvmvv писал(а): | У адекватных людей менеджер паролей есть, если у них куча сайтов. Например, keepass. Который им генерирует эти пароли и хранит в своей базе. |
Выше я рассказал про аппаратный менджер паролей. У этого устройства возможностей куда больше и он не зависит от программного обеспечения. Его можно носить с собой в кармане и он подойдет не только к компьютерам но и к любому планшету, телефону с поддержкой OTG. Так же у него предусмотрено самоуничтожение в случае если 15 раз неверно набрали пинкод. А расковырять пароли отверткой с паяльником невозможно. |
|
|
|
Фонарь1
Стаж: 9 лет
Сообщений: 227
Ratio: 4.033
21.24%
|
igorofficial1 писал(а): | Mousesports писал(а): | qwerty123 не канает больше? :DD |
откуда ты знаешь мой пароль ? уже скачал базу ? |
Мой это пароль |
|
|
|
zz13
Стаж: 12 лет 2 мес.
Сообщений: 2067
Ratio: 3.365
30.02%
|
mmaxcad писал(а): | ищите аппаратный менеджер паролей. Например вот такой. Эта штука может хранить в себе пароли любой сложности и вводит их так как будто это клавиатура. Или представьте себе клавиатуру размером с флешку и она сама нажимает кнопки. На рисунке выше показано такое устройство. Пароли выбираются кнопками на экранчике этой флешки и она сама их вводит. |
один уже запечатал свой кошелёк с биткоинами на такой штуке и забыл пароль к ней ) теперь волосы на жопе рвёт, там биткоинов на сотни миллионов, а успешных попыток осталось две, потом все данные удалятся ) |
|
|
|
mmaxcad
Стаж: 12 лет 2 мес.
Сообщений: 1964
Ratio: 1.993
0.89%
|
zz13 писал(а): | один уже запечатал свой кошелёк с биткоинами на такой штуке и забыл пароль к ней ) теперь волосы на жопе рвёт, там биткоинов на сотни миллионов, а успешных попыток осталось две, потом все данные удалятся ) |
С таким же успехом ты можешь записать пароль на бумажку а потом забыть выложить ее из кармана перед стиркой одежды. Способов потерять пароль бесконечное множество. Любая система хранения требует соблюдения определенных правил. А еще для этого свистка сначала надо делать базу данных на компе. Это значит при утере устройства пароли не потеряются навсегда. Они всегда будут в этой базе. То-есть чел забыл 4 цифры и потерял комп одновременно? |
|
|
|
infernos13
Стаж: 13 лет 9 мес.
Сообщений: 180
Ratio: 3.482
38.84%
|
Serg538419 писал(а): | Хитрые какие. какую подставу замутили. Сечас народ ломанётся качать файл. Сделают все свои пароли не как в файле. И тут их ломанут. Вы скажете количество вариантов всё равно высокое. Это так и не так. Будут выбирать варианты запоминающиеся, а это не так много. Подозреваю мегаподставу. |
Надеюсь это сарказм)))потому что если нет то это пиздец))) |
|
|
|
breadandbutter
Стаж: 13 лет 6 мес.
Сообщений: 768
Ratio: 0.999
100%
|
za4em писал(а): | Уведут мастер-пароль - кранты всему. | vvmvv не упомянул, что кроме мастер-пароля есть ещё опция "Ключевой файл" под полем ввода мастер-пароля. Указать можно любой файл от исполняемого до текстового или картинки с библиотекой dll, при этом он может располагаться не на ПК, и необязательно в незашифрованном виде. Так что успехов со взломом мастер-пароля :wink: |
|
|
|
mmaxcad
Стаж: 12 лет 2 мес.
Сообщений: 1964
Ratio: 1.993
0.89%
|
Цитата: | Уведут мастер-пароль - кранты всему. |
А при терморектальном криптоанализе твой пароль пароль даже спрашивать не будут. Сам всё отдашь и сам всё подпишешь. Какой смысл в паролях? |
|
|
|
Михаил
Стаж: 13 лет 3 мес.
Сообщений: 21356
Ratio: 22.972
100%
|
mmaxcad писал(а): | Какой смысл в паролях? |
действительно: ставить два нуля и всех делов )) |
|
|
|
mmaxcad
Стаж: 12 лет 2 мес.
Сообщений: 1964
Ratio: 1.993
0.89%
|
У слишком надежной системы хранения паролей есть один плохой недостаток.
Если вы храните мастер пароль на устройстве и сами его не знаете. То-есть флешку сжёг и доступа к данными не получит никто, даже вы сами.
В этом случае если к вам применят терморектальный криптоанализ, то вам крупно не повезло. Если бы пароль хранился у вас в голове, то у вас еще есть выбор отказаться от этой неприятной процедуры. Но если вам нечего рассказать, то процедура терморектального криптоанализа будет долгой и мучительной вплоть до летального исхода. |
|
|
|
Flint666
Стаж: 10 лет 5 мес.
Сообщений: 134
Ratio: 97.133
100%
Откуда: 127.0.0.1
|
trumpdonald писал(а): | Где ссылка на торрент ? |
magnet:?xt=urn:btih:JEQMEEFTBXT35RJ3GUTGXU7HP3HBU5P6&dn=rockyou2021.txt%20dictionary%20from%20kys234%20on%20RaidForums&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A6969%2Fannounce |
|
|
|
vvmvv
Стаж: 11 лет 8 мес.
Сообщений: 151
Ratio: 5.985
1.64%
|
za4em писал(а): | vvmvv писал(а): | У адекватных людей менеджер паролей есть, если у них куча сайтов. Например, keepass. Который им генерирует эти пароли и хранит в своей базе.
|
Уведут мастер-пароль - кранты всему. Проще придумать алгоритм, который, например, зависит от имени сайта. Например nnmclub.to. За основу берём что-то постоянное, например #$vesna12. И добавляем спереди первую букву домена, сзади - последнюю. Для nnmclub.to получаем пароль n#$vesna12b, для yandex.ru y#$vesna12x. Вероятность 2-х одинаковых паролей очень мала, запоминать хоть в браузере, хоть каком-то совте - не требуется, главное помнить основу и алгоритм. Основ и алгоритмов - великое множество можно придумать. |
Для того, чтобы этот мастер-пароль увести, нужно сначала увести доступ к твоему устройству, как минимум, и установить кейлогер. При физическом доступе к компу это сделать сложно - у меня полнодисковое шифрование. Но если получить доступ к устройству, то можно увести пароли из браузера, кстати, без кейлогера. У меня сейчас в программе 369 учётных записей. Это не много. Их и тысячи могут быть. Насколько хорошо будет работать предложенный тобой алгоритм в данном случае? Нужно держать в голове адреса административных панелей, учёток к серверам, адреса и пароли к сетевым устройствам, адреса и порты от различных проброшенных устройств, список пользователей/паролей в офисах, их учётки к почте и многое другое. А ещё где-то нужно хранить сертификаты от ssh. Короче, то, что ты придумал подходит тем, у кого 10-15 учётных записей. |
|
|
|
|
|
|