Комментарии 143
Регулярно проверяйтесь. Используйте сервис проверки слитых уч. данных внутри вашего парольного менеджера или сервис вроде Have I Been Pwned.
А где гарантия, что эти ребятки потом не сливают все вбитые мейлы куда-то ещё? По уму, спрашивали бы тогда не мейл, а хеш от него.
А толку с почты? Ну в худшем раскладе предложат таблетки для увеличения члена. Вот от комбинации почта+пароль будут проблемы, особенно учитывая что многие используют тот же пароль для разных сервисов.
Не сливают, отсылаю (что редко для меня) к матчасти: заголовок Enabling Anonymous Searches with k-Anonymity
При том, какую ценность предоставляет e-mail? Он и так в каждом третьем сливе светится. Еще есть и китайцы продающие тел. номера покупателей (или утечка на уровне почты, фиг знает).
А где гарантия, что у этих ребят не грузится жопаскрипт, который 127.0.0.1 по открытым портам пробивает, чем обогащает базу для более адресных последующих вливаний пользователю всякого разного?
Кстати не увидел даже новости об этом на хабре. Была она?
Была/не была... Вопрос один: где скачать, чтобы проверить? Всё остальное - стандартный текст ИИ.
Об этом и статья - нигде не скачать. Потому что утечки не было. Ну, или автор не смог найти.
А, объясните чайнику, почему хранить пароли в браузерном менеджере паролей категорически нельзя, но хранить пароли в стороннем менеджере паролей крайне рекомендуется.
почему хранить пароли в браузерном менеджере паролей категорически нельзя, но хранить пароли в стороннем менеджере паролей крайне рекомендуется.
Ну надо ж авторам менеджеров паролей этих слоников как-то продавать?
Браузер сливает данные тем, кому не надо, а менеджер паролей тем кому надо.
Это опенсорнсный менеджер паролей: вы можете развернуть свой инстанс сервера и хранить все там. Можете пользоваться основным инстансом бесплатно, можете за подписочку, фактически оплачивая себе место.
Интересно, когда это менеджерам паролей (например, KeepAss) потребовался отдельный сервер? Когда мы свернули не туда?
Этим инстансом пользуется команда в компании с разделенными правами, бэкапом и прочи - нормальная практика.
Для персонального использования конечно смысла особого нет.
Чтобы иметь доступ с разных устройств, очевидно.
Вы, безусловно, можете постоянно таскать туда-сюда файл-хранилище (и синхронизировать его через всякие облака), но это может быть несколько утомительно. Надо не забывать, где вы сделали последнюю правку, чтобы случайно не перезаписать свежий пароль на одном устройстве бекапом с другого.
Лично мне лень заморачиваться.
На всякий случай подсвечу, что локальное хранилище работает без интернета: сервер нужен для синхронизации.
таскать туда-сюда файл-хранилище (и синхронизировать его через ...
syncthing и не париться. В качестве узла синхронизации, который "всегда" онлайн можно использовать телефон.
Я это решил относительно изящно и легко - положил файл с базой в OneDrive. Благо, он умеет в бинарную синхронизацию, и конфликты если и есть, то только внутри KeePass, когда он работает со старой базой, а в облаке уже лежит новая - конфликт решается встроенной кнопкой синхронизации.
лень
А ещё хочу, чтобы галушки сами в сметану обмакивались и в рот прыгали.
У меня vaultwarden на NAS но если эту железку выключить то bitwarden не может сохранять пароли (но может вводить имеющиеся). Так что полноценно работать в локальном режиме оно не может.
Скажите, больной, что мне продали авторы Bitwarden, если я использую селф-хостед Vaultwarden и приложение/расширение Bitwarden. Что, когда и за какую цену мне продали авторы?
что мне продали авторы Bitwarden, если я использую селф-хостед Vaultwarden и приложение/расширение Bitwarden. Что, когда и за какую цену мне продали авторы?
Они получили с Вас бесплатный инфиз их продукта, конечно же! Целых три!
Слишком многого хотите от нейростатьи.
Да странно, чтобы и Форбс тоже клюнул на нейростатью? Но да, очень изначальная статья полна воды
Я про вашу. Пропало всякое желание ее читать после очевидно сгенерированных нейросетью «ключевых тезисов».
Часть с ключевыми тезисами была сгенерирована, потому что мой мозг ночью поплыл после чтения изначальных статей и не мог нормально выдать информацию тезисно. Вы их читали? Там куча предложений с минимумом смысла, а тем более конкретики. И если ии помог сократить две статьи "знаменитых изданий" в 5 мелких тезиса, годных для анализа, то это win. Я своё время на более нужную часть для Хабра потратил - на поиск более подробных деталей о сливе.
Я пропускаю нейросгенерированные статьи, потому что в них нет ценности. Я таких могу сгенерить по 100 штук в день, если надо, а на хабр захожу за авторским контентом. Копипастить выхлоп нейронки без редактуры в хабраредактор == не уважать своих читателей.
Часть с ключевыми тезисами была сгенерирована
За такое НЛО должно уносить в страну вечной охоты. Генерированный текст это по определению мусор.
мой мозг ночью поплыл после чтения изначальных статей и не мог нормально выдать информацию тезисно.
А что, у вас какой-то пожар и нельзя было дописать статью утром? Самому, без нейрокостылей?
"А что, у вас какой-то пожар и нельзя было дописать статью утром? Самому, без нейрокостылей? "
Мозг ночью же поплыл и не причалил к утру обратно
Вы хотите - пишите абсолютно без нейросетей в бесконечных Recovery mode. Я же буду оптимизировать свои усилия, представляя всё равно качественный контент.
в бесконечных Recovery mode.
Вижу, вы уязвлены в самое сердце.
«Качественный» и «сгенерированный нейросетью» не могут стоять рядом. Это как крестик и панталоны, или-или.
Имхо, сгенерированная и проверенная информация несёт такую же ценность, как и написанная вручную. Я же оставляю вас со своим луддизмом. Можете дальше воевать с ветряными 5G вышками.
Уважаемые зрители, нам представляется уникальная возможность наблюдать формирование секты IT-староверов и борцунов за чистоту интернета. Последователи этих движений считают, что в сгенерированном контексте "нет души", а при обработке нейросетью даже проверенные факты теряют достоверность.
Однако, как и всякое мракобесие, данная система верований не лишена внутреннего противоречия: осуждая авторов за использование LLM для вычитки статей (тем более новостных), адепты не считают зазорным использование автокомплита в собственной работе. Есть, конечно, истинные аскеты, которые огораживают себя от любых контактов с искусственным интеллектом, опасаясь, что от губительного взора машины пострадает самое их естество, но таких единицы.
Спасибо за голос разума! Все же неолудитты среди нас, и странно, что они из IT. Хотя я уже видел врачей, топивших за гомеопатию :(
Всегда будут и те и другие: щито поделать десу.
Хотя я уже видел врачей, топивших за гомеопатию :(
Вы и пациентов их знаете.
считают, что при обработке нейросетью даже проверенные факты теряют достоверность.
«Если к бочке мёда добавить ложку говна и всё тщательно перемешать, то у вас получится бочка говна» ©
Автокомплит либо пишет ровно то, что я и сам бы руками написал, либо же, если мы говорим про автокомплит нейронкой, я все равно его редактирую так, чтобы, опять же, он выглядел будто я его сам написал.
И если кто-то скопипастит бездумно код из нейронки, то я его буду осуждать ровно так же, как и автора новости. Так что лицемерия тут никакого нет.
Учитывая, что другого упоминания новости нет, а весь запад о ней трещит, статья вполне годится.
Вряд ли что-то изменилось, но, на моей памяти, почти любой задрипанный инфостилег мог найти ключ шифрования паролей браузером, расшифровать и своровать их. Больше вот у этих ребят прочитайте
Hу да, типа «браузер хранит ключ шифрования паролей на том же компьютере, где и зашифрованные пароли, в предсказуемом месте». А вот менджер паролей делает всё то же самое, но со стилем!
Далее:
даже если на ваш компьютер проберется зловред-стилер, у него ничего не получится — все пароли надежно зашифрованы.
Ну да, а перехватить ввод с клавиатуры мастер-пароля и спокойно расшифровать — зловреду типа религия не позволит.
Имхо, тут подмена понятий. Сторонний менеджер паролей все же не допускает ошибок встроенного в браузер - он не хранит нигде ключи шифрования и через х минут блокирует базу, стирая и из РАМ. К тому же, использует для хеширования мастер пароля Argon2, тогда как браузерный менеджер - непонятно что, надо лезть в сорцы. А от кейлоггера должен спасти поведенческий анализатор антивируса - это куда более подозрительное поведение, чем чтение директорий.
Сторонний менеджер паролей все же не допускает ошибок встроенного в браузер - он не хранит нигде ключи шифрования
Однако проверить это невозможно (у нас в клубе верят на слово?), потому что надо лезть в сорцы — а они проприетарные.
браузерный менеджер - непонятно что, надо лезть в сорцы
Ну там хоть слазить можно. А коли не понравится увиденное — и форкнуть.
А от кейлоггера должен спасти поведенческий анализатор антивируса
А спасти от Н.Е.Х, которая лезет в конфигурационные файлы браузера, ему религия не позволяет?
Ну Bitwarden open-source - пожалуйста, лезте в сорцы и проверяйте. За вас там уже покопались компании Cure53 и Fracture Labs. А чтение файлов - ну миллионы программ читают файлы, и только малая толика устанавливает хуки или драйвер. Так вот, установка хука или драйвера - это 90% вредоносное действие. А чтение файлов с какой вероятностью может стать вредоносным?
Чтение файлов… с паролями браузера? Да, вредоносное, еще и с большей вероятностью, чем установка драйвера. Наверное, передовой антивирус осилит распознать, какие именно файлы читаются, а не просто сам факт?
А чтение файлов с какой вероятностью может стать вредоносным?
Вот прям интересно, и зачем какой-то программе ВНЕЗАПНО понадобилось читать файлы из хомяка другой программы (причём не какой-то там самописной, а общеизвестного браузера)...
Вы сейчас уходите в детали эвристического анализа. Потом мы с вами вспомним, что это еще зависит от конкретного антивируса и, о боже, операционной системы.
А все потому, что вы сели в лужу с вашим основным тезисом, предполагая, что предлагаемый менеджер паролей проприетарный.
предполагая, что предлагаемый менеджер паролей проприетарный.
Вообще-то ветка началась с заявления дяденьки, который послал почитать, а там обсуждается очень даже проприетарный менеджер Касперского.
Эм, ну это просто статья с исследованием. Вы можете не любить авторов - ваше право, но решение тот же дяденька не от них предлагает, а очень даже опенсорсное.
То есть тот факт, что я цитирую слова из именно той статьи (и, соответственно, именно тем аффтарам оппонирую) несколько прошёл мимо Вас. Ну ничего, это бывает.
Мимо меня не прошёл факт, что вы цепляетесь к единичной статье, которую автор скинул вам, как пример исследования безопасности хранения паролей в браузере. Это не единственная подобная статья, вы можете сами найти похожие.
И это даже не единственный аргумент. Вот другой: я не хочу, чтобы условный Google знал обо всех моих учётках. Не сам пароль, а просто факт, что у меня есть учётка на конкретном ресурсе. Где считаю нужным, я авторизуюсь через сервисы Google, где не нужно - хочу, чтобы мой пароль лежал в другом месте.
Давайте-ка кинем мячик burden-of-proof вы вашу сторону: чем использование внешнего хранилища паролей хуже хранения в браузере?
Подозреваю, что утверждения "использование внешнего хранилища паролей хуже хранения в браузере" здесь не было. Было утверждение "нефиг ругать что-то без пруфов".
утверждения «использование внешнего хранилища паролей хуже хранения в браузере» здесь не было.
Здесь — не было. Ну так я же и не про «здесь» говорю!
Я, собственно, даже начал с цитирования того, про что говорю!
Можно много придумать того что еще могут зловреды, и они, наверное, какие то все это могут, но ИБ это в первую очередь статистика (не нужно бежать быстрее медведя, достаточно быстрее других) вероятность поймать супер-пупер намного ниже и поэтому бесплатный VaultWarden (полностью поддерживающий клиентов BitWarden_а) развернутый на VPS (который сейчас все равно мастхэв из-за трех букв и для других трех букв) дает намного больше вероятности что ВСЕ пароли будут слиты при наступании на какашечку в одном из браузеров одного компа/гаджета. Не настаиваю конечно, сейчас каждый ССЗБ.
ИБ это в первую очередь статистика
Ну так и phishing — это тоже в первую очередь статистика: подкатывают с дебильными заходами ко всем подряд («я майор КГБ, переведите деньги на безопасный счёт» помахивает пальмой первенства), кто повёлся — тот и ССЗБ.
Но мы то не про фишинг, точнее не про то как поймали заразу (лично мой внутренний параноик говорит что она и у меня есть), а про то, что у миллиардов (sic!) хомячков слили креды, и это вряд ли получится сделать из не очень популярного внешнего парольного менеджера.
у миллиардов (sic!) хомячков слили креды
То есть вы хотите сказать, что тот факт, что заявленное число раза в два превышает всё население планеты, Вас нисколько не смутил?
Немножечко. Но обычно всё же у человека больше одного аккаунта. Да и дубликаты в таких базах - не редкость.
Но я проголосовал скептически.
Во первых я указал что так в первоисточнике " (sic!) ", к оторому у меня нет доверяи, мне прислали эту "новость" в тлг много человек. Ну и да, у меня лично сильно более одного девайса, на которых несколько браузеров, в которых могут быть пассы разные, старые, очень старые и т.д., есть привычка более менее регулярно менять. И в базах "утекших" реальных мои тухлые креды встречаются сильно чаще одного меня. )
у меня лично сильно более одного девайса, на которых несколько браузеров, в которых могут быть пассы разные, старые, очень старые и т. д.,
..что никак не помешало Вам написать «у миллиардов (sic!) хомячков слили креды», хотя было бы фактически правильно написать «у значительного количества хомячков слили миллиарды кредов».
(Это к вопросу об аккуратности в формулировках.)
перехватить ввод с клавиатуры мастер-пароля и спокойно расшифровать
Ну вы этим тезисом вообще всю безопасность зарубили. Если считать, что зловред имеет доступ к клавиатуре, можете оставлять пароль 12345678 - всё равно его перехватят, к чему рыпаться?
KeePassXC пароль не хранит, ввожу каждый раз при открытии программы.
Firefox тоже пароль не хранит, требует при каждом открытии программы.
Ну, в данном случае налицо конфликт интересов, так как автор(ка) статьи рекламирует менеджер паролей от касперского.
С каких пор bitwarden от Касперского?
я не знаю что такое bitwarden, а вот словосочетание Kaspersky Password Manager упоминается в статье по ссылке аж 6 раз
я не знаю что такое bitwarden
Он упоминается в статье, под которой мы с вами общаемся. Под той самой, где вы оставили комментарий "А, объясните чайнику, почему хранить пароли в браузерном менеджере...", на который, в свою очередь, вам ответили другой статьёй, из которой вы сделали вывод, что автор оригинальной статьи аффилирован с Касперским.
Видимо, у некоторых людей размер контекста меньше, чем у этих ваших LLM.
из которой вы сделали вывод, что автор оригинальной статьи аффилирован с Касперским
Так это вы сделали вывод, о том что я сделал такой вывод об авторе статьи на Хабре, хотя я сделал такой вывод об авторке статьи на сайте Касперского, на который автор дал ссылку в комментарии, на который я дал ответ)))
Видимо, у некоторых людей размер контекста меньше, чем у этих ваших LLM.
Видмо, некоторые люди ведут один конкретный разговор с количеством человеков, бОльшим, чем эти ващи LLM
О, да. Судя по вашей переписке, вы ведёте столько диалогов, что диву даёшься. Либо под вашей учёткой сидит LLM, которая не способна проигнорировать промт, либо вы настолько дофаминозависимы, что не можете не влезть в каждый тред.
В любом случае, создаётся впечатление, что смысловой нагрузки в ваших комментариях еще меньше, чем от нейросетей, которые вы так не любите.
вы ведёте столько диалогов, что диву даёшься.
Завидуйте молча!
А вообще я существо прямолинейное аки луч света: коли вижу бред — так прямо и говорю.
что смысловой нагрузки в ваших комментариях еще меньше
А у меня как у «Полиграф Полиграфыча»: кое‑где придётся подумать!
кое‑где придётся подумать!
Значит, таки дофамин. Нравится амплуа непонятого Интернет-мудреца (ну да: никто же не читал ни Гоголя ни Булгакова).
Только когда последний раз вы писали что-то полезное, а не иронично-саркастическое?
когда последний раз вы писали что-то полезное
Знания об армфметике указателей — они как, полезные, или ну их нафиг?
Может, и полезные. Я не слежу за вашим "творчеством", особенно в комментариях, поэтому понятия не имею, что вы имеете в виду. Всё, что я могу сказать, на основе тредов, в которых лично я взаимодействовал лично с вами: что добрые две трети это информационный шум, состоящий из случайных отсылок, рождающихся в вашей голове, и прочих загадочных заумствований. Заниматься дешифровкой этого потока сознания, от чего-то абсолютно не хочется: сильно сомневаюсь, что там под слоями иронии меня ждёт какая-то сокровенная мудрость.
А по поводу того, перевешивает ли польза от ваших статей (если вы намекали на них), весь хаос ваших комментариев, я не берусь судить: предлагаю самому порефлексировать. С моей обывательской точки зрения, общение с LLM совокупно полезнее.
Использую KeePassXC. Денег не просит, к интернету не подключается, пока я сам не попрошу, пароли хранит в зашифрованном файле.
Пароли лучше всего хранить в голове)
Эм, и в итоге ты либо будешь их забывать, либо (что более вероятно) у тебя будет один пароль на всё
у тебя будет один пароль на всё
А зачем Вам разные пароли на 100500 форумов с котиками?
Чтобы когда пароль + почта утечет у 723 форума с котиками, потому что они хранили его в открытом виде, злоумышленник случайно не зашел на произвольно взятые форумы с котиками из оставшихся 100499.
Но я в целом, топлю за FIDO2/u2f/passkey
Чтобы когда пароль + почта утечет у 723 форума с котиками, потому что они хранили его в открытом виде, злоумышленник случайно не зашел на произвольно взятые форумы с котиками из оставшихся 100499.
Ну так пускай заходит и хоть обголосуется за котиков от моего имени, мне-то что с того?
Какова вероятность, что этот же пароль где-то в более важном месте использовался?
Какова вероятность, что этот же пароль где-то в более важном месте использовался?
Если у Вас в голове не кю, то нулевая.
В том смысле, что, как я уже писал, на всякие левые сайты, от потери пароля к которым Вы ничего не потеряете (вроде вышеупомянутых голосований за фоточки котиков), можно и один пароль иметь: украдут — ну пусть хоть обголосуются. Вполне естественно, что этот пароль должен использоваться только на маловажных сайтах. А чтобы не ошибиться, можно так в пароле и написать: VsyakayaFignya
Пароли лучше всего хранить в голове)
А как же тогда в неё есть? /s
Ну, везде, где встречал новость, она в виде "у вас молоко убежало!", но как убежало, как вообще могло такое произойти и на столько массово - ноль подробностей.
В серьёзных статьях упоминается либо уязвимость нулевого дня, либо что какая-то БД или API смотрели пятой точкой наружу. Ну, ещё может сотрудник слил базу на жёсткий диск и ушёл домой, что довольно фантастично. Тут же вообще полный ноль, что мол случилось и всё)
Спасибо автору, что решил копнуть поглубже.
TL;DR - Никто не знает или была утечка, но пароли смените на всякий случай
Разве эти взломанные компании могут хранить пароли в таком виде?
Перед авторизацией на любом сайте откройте devtools браузера, а именно вкладку Network. Отправьте форму авторизации.
И Вы увидите свой пароль в виде plaintext. Это хорошо состыкуется с пунктом тезисов "Источник данных".
Тут не совсем так - пароли в plain text могут пересылаться, опираясь на шифрование TLS, но потом на сервере они должны хешироваться. В B2B софте, над которым я работал, мы придумали более надёжную схему - хеширование в браузере с солью 1, пересылка на сервер и хеширование второй раз на сервере с солью 2 (все соли потом хранились в бд), но это уже моя паранойя была, зная, что в корп. среде малых предприятий зачастую забивают на TLS.
все соли потом хранились в бд
Вообще соль должна хранится далеко от БД. Как раз на случай если БД течёт.
Наличие соли никак не поможет злоумышленнику при утечке базы. Смысл соли в том чтобы нельзя было использовать существующие радужные таблицы
Поможет, слабые пароли с солью брутфорсят.
В том софте, что мы с ребятами разработали, что через Web Crypto API мы хешировали пользовательский пароль в браузере PBKDF2-HMAC-SHA512 150к раз с солью 1 (генерит браузер пользователя), потом на сервере ещё раз хешировали PBKDF2-HMAC-SHA512 с солью 2 ещё 150k раз. В итоге получалось 300к итераций, что больше рекомендаций OWASP . Правда я всё равно Argon2 положил в бэклог до лучших времён. А так как получается довольно медленный хеш, то каждый пароль недоброжелатели будут брутить чёрт знает сколько времени.
Уже при проверке пароля, происходило вот такое - взял с другой суоей статьи на Линке (убрал название компании в названии App server)
Уже выше прочитал про хэширование на стороне клиента, за что хотел и похвалить и поблагодарить. Исходя из той же паранойи сделал бы также :) А за схему спасибо, видна расширяемость.
Я надеюсь лишний запрос на отзывчивость формы не влияет? Неудобно под какие-то "особенные" формы каждый раз подгонять auto-type менеджера паролей. Когда ещё после ввода логина сеть или переключение формы чуть подвиснет...
Всегда пожалуйста! Да, вы правы, подвисание доходили до макс 2 секунд. Но принял решение, и ребята поддержали, что в B2B софте - то не критично. Там просто среди клиентов были крупные банки, которые через соломинку мозг выпивали по поводу безопасности, поэтому лучше пусть немного подвисает) Установили вылетающее сообщение типа "Проверяется доступ", чтобы люди думали, что происходит что-то очень и очень важное 😁
Ползунок загрузки ради ползунка! Народ на hackernews как-то долго эту тему обсуждал. Работает на нетерпеливых... :)
Ага, всё верно :) Просто народ в ступоре, когда подвисает логин скрин, но если ему написать, что подвисает он не просто так, то всё ок. Смущало ещё, что многие малые и средние бизнесы просили вырубить TLS по умолчанию (раньше можно было и без шифрования), но потом мы задолбались поддерживать две схемы работы и сделали с TLS только. Корпораты ничего не заметили, а средних и малых инженерам поддержки пришлось учить как работать с сертификатами, мда
Отдельную соль "перцем" прозвали.
Как работает за рамками АРМа клиента понятно.
Однако тезис говорил:
Утверждается, что ... прямо из браузеров и операционной системы зараженного пользователя.
Соответственно весь механизм, описанный в Вашем комментарии ни как не опровергает тезис. И действия, описанные в моем комментарии, подтверждают это.
Если Вы имели ввиду что-то за рамками описанных в статье тезисов,
Например
Разве эти взломанные компании могут хранить пароли в таком виде
Про источники в виде БД не говорилось в тезисе. Поэтому аргумент в моем видении "с потолка".
то прошу указать это. Правда, тезис про источники данных так или иначе не будет опровергнут.
В статье по ссылке описано про БД, согласен.
Однако ни по ссылкам, ни в статье не видно временной промежуток. Также как нигде не написано про то, что это была утечка данных одним инстансом. Про уникальность записей в 16B записях также не говорится.
Поэтому инфоповод в целом больше желтизна. Опираться не на что тут.
В утечке перечислены ну очень разные сервисы. Вероятность что их всех поломали очень небольшая. Я могу еще поверить что ломанули какой то встроенный (а потому массовый) менеджер паролей и оттуда слили все это добро, но что бы все эти компании... PS Пароли все равно регулярно меняю, поменял на критичных, на всякий случай.
Попробуйте nexoic.com зашифрованные заметки без пароля на входе, с е2е шифрованием.
Делал для себя но может кому то ещё понравится. (Систем аналитики на сайте нет и внешние ресурсы не загружаются)
в каждой шутке есть доля шутки....но что мешает ии сгенерить пару тройку не похожих с 99% уникальностью статей посвященных утечке, и писатель на аутсорсе одновременно их постит в нескольких сервисах/изданиях еще и добавив ссылки на друг друга и вуаля новость на ровном месте без явного первоисточника...
Зачем здесь человек? Может это первые попытки ИИ подзаработать себе на датацентр, а за одно пофармить пользовательских кредов?
Да вряд ли. Форбс, конечно, не ангелы, но и не совсем дураки, чтобы в такое влазить. Посмотрим дальше, что эти "исследователи" раскроют. Смотрю, что текст статьи немного изменяется на сайте оригинального источника Cybernews - может уже наконец пруфы дадут.
Важные пароли все равно регулярно менять нужно. А такие статьи - словно напоминалки об этом)
В 2025 году есть более надёжные инструменты, чем пароли. А регулярная смена «важных» мало того что геморрой, так ещё и ничего не гарантирует
В 2025 году есть более надёжные инструменты, чем пароли.
Ну да, типа 2FA по SMS — надёжных, как швейцарские часы. /s
Эм, нет, смс - зло. Хочешь OTP - есть TOTP, нет - есть FIDO2, и фтопку пароли
смс - зло.
Если Вы не в курсе, то /s — это сокращение
фтопку пароли
А потом в телефоне (или токене) батарейка села в самый важный момент — и «здравствуйте, девочки» ©.
Эти гипотетические ситуации, конечно, ужасны, но, скажите на милость, вы куда пароль вводите, если у вас в телефоне батарейка села? Или вы оказавшись перед ПК не найдёте шнур к телефону?
вы куда пароль вводите, если у вас в телефоне батарейка села?
А Вы что, в униховой консоли с телефона работаете? Мсье тонкий извращенец!
Или вы оказавшись перед ПК не найдёте шнур к телефону?
Мсье не в курсе, что шнуры от яблофона не подходят к ведроиду?
Мсье не в курсе, что шнуры от яблофона не подходят к ведроиду?
Мсье настолько отстал от жизни? Всех давно насильно перевели на USB Type-C. Вы там ознакомьтесь с новинками, чтоли. Негоже техническому специалисту жить в тумане столь древних предрассудков.
А даже если у вас старый девайс с lightning, я искренне надеюсь, что вы в состоянии позаботиться о себе и взять злополучный шнурочек туда, где вам предстоит работать в консолях.
Мсье тонкий извращенец!
Не без этого.
Всех давно насильно перевели на USB Type-C.
Интересно, и чего это жена ко мне постоянно за эппловским разъёмом подходит.
(Нет, это не у меня яблофон, это у меня дома склад всевозможных запчастей. Я с собой его не ношу.)
взять злополучный шнурочек туда, где вам предстоит работать в консолях.
А от Вас знакомые никогда не хотят странного, потому что тыжпрограммист? (Из самого странного был текущий сливной бачок в туалете лет 15 назад. Но починил, да. Яжпрограммист.)
или токене
Эмм, ок. Я не буду играть с вами в «что если»
В этой истории мне интересно:
сколько разных первоисточников (тех, кто утверждает, что видел сами данные утечки) сообщили об утечке и кто они ?
какая предыдущая история публикаций в инфобезе была у этих источников (авторов) ? их репутация
наборы от разных провайдеров - их кто-то сначала собрал вместе и только потом у этого держателя сделана утечка ?
смена пароля потребует потребует привязки номера телефона ?
Как раз оригинальная статья на Cybernews обновилась и я обновил эту:
1. Пока говорится о Aras Nazarovas (ресерчер Cybernews), (контрибьютор Cybernews, инфосек. ресерчер, и владелец SecurityDiscovery.com), Vilius Petkauskas (о нём уже писал - редактор Cybernews)
2. Про все сложно сказать, но Bob Diachenko был среди тех, кто отыскал Mother of All Breaches.
3. Как пишут в оригинальной статье - да. Похоже, что этот кто-то допустил мисконфигурацию сервера и так уже эти данные нашли исследователи.
4. Тут не могу сказать - смотря где.
Издание создало специальный сайт, на котором вы можете проверить, утёк ли ваш пароль.
...на котором требуется ввести сам пароль, чтобы узнать утек он или нет. Ловко это они...
Может и совпадение, но сегодня ночью кто-то пытался войти в мою учётную запись мс.
Плюс на тг канале на который я подписан взломали сразу двоих пользователей.
Так что, на всякий случай поменял пароли.
Утечка на 16 миллиардов: крупнейший слив или глобальный кликбейт? (Upd. 1)