| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
альяно
____________
Зарегистрирован: 16.11.2004
Сообщения: 28168
|
 Добавлено: 28.05.2008 17:25 Заголовок сообщения: ВНИМАНИЕ ... в форуме мусор ... |
 |
|
Вскрыты пароли некоторых пользователей ...
и исправлены многие их посты
на мат и оскорбления ...
просьба сообщать администрации о таких постах ...
просьба поменять пароли |
|
| Вернуться к началу |
|
 |
Lenchik
бывалый
Зарегистрирован: 21.04.2006
Сообщения: 2842
Откуда: Урал
|
| Добавлено: 28.05.2008 19:02 Заголовок сообщения: |
|
|
"Доброжелатели" наверное постарались.
_________________
Ищите и обрящете |
|
| Вернуться к началу |
|
|
Aquila
____________
Зарегистрирован: 17.11.2004
Сообщения: 2183
Откуда: Балашиха
|
| Добавлено: 28.05.2008 22:00 Заголовок сообщения: |
|
|
| альяно писал(а): | | Вскрыты пароли некоторых пользователей ... |
Вероятно, пользователи их сами отдали, потому как даже
администрация НЕ ЗНАЕТ паролей пользователей. В БД хранятся
только их хэши...
Смотрим тут: http://www.forum.alyno.ru/phpBB2/viewtopic.php?p=112018#112018
_________________
--= Aquila non captat muscas =-- |
|
| Вернуться к началу |
|
|
archik
бывалый
Зарегистрирован: 02.04.2005
Сообщения: 654
|
| Добавлено: 28.05.2008 23:40 Заголовок сообщения: |
|
|
Скорее всего вскрыты почтовые ящики некоторых пользователей и как следствие изменены пароли
Альяно, может пора движочек форума сменить?
Последний раз редактировалось: archik (29.05.2008 22:07), всего редактировалось 1 раз |
|
| Вернуться к началу |
|
|
strannyks
бывалый
Зарегистрирован: 17.07.2006
Сообщения: 703
Откуда: Амурская Область. Благовещенск.
|
| Добавлено: 29.05.2008 01:41 Заголовок сообщения: |
|
|
archik
Думаю - что именно так.. Я один из пострадавших. Мой ящик вскрыт, а уже с него похоже - вскрыт мой профиль на форуме. И крепко в нем покопались... После чего мой ящик ликвидировали полностью (по крайней мере я к нему добраться не смог), пришлось создавать новый. Хорошо все адреса - в Бате, а не на сайте... Теперь настроил бат на удаление всех писем с сервера, чтобы больше неприятных ситуаций не возникало. Одно странно - на других форумах профили не тронули... А письма с авторизациями в ящике и на них лежали. Сразу поменял все пароли...
_________________
Всей своей жизнью и творчеством А.С. Пушкин нас учит тому, что талантливому человеку всё-таки нужно сначала научиться стрелять! |
|
| Вернуться к началу |
|
|
banderlog
бывалый
Зарегистрирован: 24.02.2006
Сообщения: 331
|
| Добавлено: 29.05.2008 19:19 Заголовок сообщения: |
|
|
Сто раз писали что пароли нужны разные.
Если полетит база форума, угонят или что ещё сделают, то процентов 80 паролей окажутся паролями и от мыл и от асек.
Так что пароли нужно беречь. Не сохранять в браузере в т.ч.
Не запускать странные exe (Обычно маскирую трой Пинч)
Хорошо бы поставить фаервол, чтобы отслеживать новые соединения с интернетом.
И аську на всякий случай привязать к мылу, придумать ответы на контрольные вопросы и держать их в файлике, где нибудь на компе  (хотя это тоже не безопасно, но надо реально смотреть на вещи) |
|
| Вернуться к началу |
|
|
starplus
свой
Зарегистрирован: 31.03.2006
Сообщения: 101
Откуда: N 56"49' E 60"38 Екатеринбург
|
| Добавлено: 30.05.2008 08:32 Заголовок сообщения: |
|
|
Мой профиль на Мой мир на мэйл.ру вскрыли на той неделе. Переименовали меня нецензурно, поменяли пол.
Пришлось все пароли теперь поменять. А то были везде одинаковые 
Хоть и сто раз твердили миру...
Так что это до поры.
Поддерживаю banderlog.
_________________
С уважением, Грабовский Виктор
P4/512,SS2, Супрал 1,2 лежит в кладовке, изготовление подвеса с актюатором в процессе.., GSL-71S;
Супрал 0.9, SM3D22, Хорек 90, GSL-71S, 80E-93.5E (C+Ku) в основном 90E |
|
| Вернуться к началу |
|
|
Ne0
модератор
Зарегистрирован: 02.01.2006
Сообщения: 716
Откуда: Нижний Новгород (56,3°N; 43,9°E)
|
| Добавлено: 30.05.2008 12:53 Заголовок сообщения: |
|
|
Товарищи!
Так хранить пароли как раз небезопасно:
| banderlog писал(а): | | держать их в файлике, где нибудь на компе |
Поэтому советую Вам пользоваться менеджером паролей "Password Agent":
http://www.moonsoftware.com/pwagent.asp
В эту программу Вы "набиваете" все Ваши пароли (у меня на всё ресурсы установлены пароли типа "j%r3hKfD8&4gEl$d", состоящие из 8-16 символов - вскрыть их брутом практически НЕРЕАЛЬНО; для каждого ресурса свой пароль).
Эта программа пишет их в шифрованный файлик, к которому необходимо помнить пароль (на этот файл у меня пароль из 30 символов (только букв), можно сказать - "кодовая фраза").
При доступе к программе достаточно ввести только эту "кодовую фразу" - и Вы сразу получаете доступ ко всем паролям.
То есть Вы сразу "убиваете двух зайцев":
1.) На каждый ресурс установлен свой пароль (при краже одного пароля злоумышленник НЕ получает доступа ко всем Вашим логинам).
2.) Не надо помнить кучу паролей (достаточно помнить лишь один "длинный" пароль).
Короче говоря, сам пользуюсь и всем советую! 
_________________
Gibertini OP125L, Stab HH120, GI-411: Invacom SNH-031+GI-101+A-Telecom SPL-2920 "Классика"
Супрал 0.6, Inverto IDL-40US
SkyStar1 rev1.5, TT-budget S1401; Cavel Sat703B |
|
| Вернуться к началу |
|
|
ddix
бывалый
Зарегистрирован: 25.07.2006
Сообщения: 1148
|
| Добавлено: 30.05.2008 13:24 Заголовок сообщения: |
|
|
Ne0
Если не нужна виста, то тут можно посоветовать SPwd (ключевые слова бесплатно, без инсталляции). Делает все то же самое.
_________________
С уважением, Дмитрий. |
|
| Вернуться к началу |
|
|
banderlog
бывалый
Зарегистрирован: 24.02.2006
Сообщения: 331
|
| Добавлено: 30.05.2008 17:57 Заголовок сообщения: |
|
|
to Ne0
Конечно вы правы, но опять же нужно что-то помнить это раз. Во вторых приходится доверять какой то проге ,хотя она может и безопастна но всё таки.
Да файл на компе это нехорошо, но копию можно сохранить на флеху.
Да и файлик можно так запрятать что врядли его кто-то найдёт.
Ещё раз повторю что так делать не советую, просто высказываю своё мнение. Хотя так же делает Михаил Фленов автор популярных компьютерных книг и статей в журналах |
|
| Вернуться к началу |
|
|
Dimann_89
новый
Зарегистрирован: 01.01.2008
Сообщения: 10
Откуда: Новокузнецк
|
| Добавлено: 03.06.2008 20:35 Заголовок сообщения: |
|
|
пароли в каком формате хранятся MD5 или в не зашифровонном
у мну друг выдрал все пороли пользователей простым Запросом в MySQL на парах стигали над студентами коледжа
поржали
_________________
0.9 (90е+80е+75е)ку + меняю на С(Деполяризатор Альяно )
0.6 56е
0.6 90e(на даче)
OpenBox 820CI+PBI 1000S
Ручной мотор в виде ключа на 13 |
|
| Вернуться к началу |
|
|
banderlog
бывалый
Зарегистрирован: 24.02.2006
Сообщения: 331
|
| Добавлено: 03.06.2008 20:40 Заголовок сообщения: |
|
|
| в md5 там |
|
| Вернуться к началу |
|
|
Ne0
модератор
Зарегистрирован: 02.01.2006
Сообщения: 716
Откуда: Нижний Новгород (56,3°N; 43,9°E)
|
| Добавлено: 03.06.2008 21:25 Заголовок сообщения: |
|
|
MD5 не содержит самого пароля, это только его ХЕШ!
"Выдрать" пароль из MD5-хеша (как и из любого другого хеша) даже теоретически НЕВОЗМОЖНО!
...можно только подобрать "подходящий пароль" под данный MD5-хеш (bruteforce'ом, например)...
...(под фразой "подходящий пароль" понимается как реальный пароль, так и "входные данные", вызывающие коллизию)...
Процитирую wikipedia:
| Цитата: | | В большинстве случаев парольные фразы не хранятся на целевых объектах, хранятся лишь их хэш-значения. Хранить парольные фразы нецелесообразно, так как в случае несанкционированного доступа к файлу с фразами злоумышленник узнает все парольные фразы и сразу сможет ими воспользоваться, а при хранении хэш-значений он узнает лишь хэш-значения, которые не обратимы в исходные данные, в данном случае в парольную фразу. В ходе процедуры аутентификации вычисляется хэш-значение введённой парольной фразы, и сравнивается с сохранённым. |
http://ru.wikipedia.org/wiki/Хеширование#Проверка_парольной_фразы
_________________
Gibertini OP125L, Stab HH120, GI-411: Invacom SNH-031+GI-101+A-Telecom SPL-2920 "Классика"
Супрал 0.6, Inverto IDL-40US
SkyStar1 rev1.5, TT-budget S1401; Cavel Sat703B |
|
| Вернуться к началу |
|
|
banderlog
бывалый
Зарегистрирован: 24.02.2006
Сообщения: 331
|
| Добавлено: 04.06.2008 19:41 Заголовок сообщения: |
|
|
Да это собственно всё понятно.
Был у меня список из 15 штук. За 1-2мин. порядка 7 подобрались брутом. Это были только числовые и только буквенные пароли. Т.е. не сочетание цифр и букв. Те что были с сочетанием может быть и открылись познее бы, но не пробовал. |
|
| Вернуться к началу |
|
|
Scorpio2007
бывалый
Зарегистрирован: 22.08.2007
Сообщения: 1097
Откуда: 57°27'N-45°47'E
|
| Добавлено: 05.06.2008 12:11 Заголовок сообщения: |
|
|
| Ne0 писал(а): | | а при хранении хэш-значений он узнает лишь хэш-значения, которые не обратимы в исходные данные, в данном случае в парольную фразу. В ходе процедуры аутентификации вычисляется хэш-значение введённой парольной фразы, и сравнивается с сохранённым. |
Даже это уже опасно - зная нужный хэш, можно сколь угодно долго спокойно ломать пароль, не вызывая подозрений будущей жертвы.
Как-то наткнулся я на крохотную утилитку unaward3.com, якобы ломающую любые пароли БИОС Award, усмехнулся и запустил её на своем HP Vectra, предвкушая полный её облом на моём 8-значном пароле, сгенерированном самописной прогой случайным образом из цифр, спецсимволов и букв в обоих регистрах. Через полсекунды (!) софтина предложила мне пароль из 3-х цифр (!!!), который .... ПОДОШЁЛ точно также, как и родной администраторский! Просто софтинка считала из CMOS хэш пароля и быстренько подобрала вариант с таким-же значением (их может быть достаточно много - зависит от качества шифрования) |
|
| Вернуться к началу |
|
|
|
Правила
FAQ
Архив
Поиск
Пользователи
Регистрация
Войти и проверить личные сообщения
Вход
