Pull to refresh

Comments 82

Пароль пассврод, имя Джек… «Люди как люди, только квартирный вопрос их испортил»
Можно еще как то понять, еслиб такую комбинацию — логин+пароль использовали в какой нибудь компашке никому не интересной и не известной. Но это не простительно и не поддается никакому обьяснению, когда в проект вложенно несколько десятков миллионов, за которые они отвечают перед инвесторами и вот так вот беззаботно относиться к вопросам о безопасности. Пароли и логины должны быть сложными и меняться чуть ли не каждый день.
UFO just landed and posted this here
А Вы не используете пароль от публичного (в данном случае ГМейловского) почтового ящика еще в других службах (однокласнники, вКонтакте и пр.)??
Тогда достаточно, чтобы один раз оттуда было прислано напоминание пароля.
Часто и при регистрации welcome mail содержит пароль.
Так что неудивительно, что у него пароль оказался в почте…
В идеале рекомендуется на разные службы разный пароль, но мало кто так делает.
И ходить со шпорой, где до 30–40 ресурсов и паролей… А потом в один день всё потерять.

Вывод: ничего идеального не существует.
Есть спец программы типа onepassword и тп.
Их зачастую нельзя ставить на работе, и уж точно их не будет в интернет-кафе или сотовом телефоне, с которого я, возможно, захочу зайти на сервис…
Есть достаточно легких способов запомнить 10-12 паролей, а больше, уже не понадобится… А кому лень, те отговорку всегда найдут!
Напишите топик на Хабре «Легкие способы запоминания сложных паролей», я с удовольствием прокомментирую.
Сам я, к сожалению, могу запомнить не больше 5-ти масок, которыми пользуюсь для генерации паролей, но вспомнить точно на каком ресурсе какая маска (система) использовалась — практически невозможно, если не логиниться каждый день…
используйте метод «пароль+название ресурса».

passwordhabrahabrru
passwordmailru
и тд в различных комбинациях
наверное astenix очень хитрый и пустил вас по ложному следу
Если будут различные комбинации, то они и забудутся. А если будут такие как вы привели, то после того, как злоумышленник увидит каким-либо образом passwordhabrahabrru, он сразу догадается какие должны быть другие пароли.
можно по разному смешивать пароль и сайт.
Например:
puarsrsbwaohradrbah для приведенного вами.
pmaoscslwioarmdg для passwordgmail.com.

вариатнов смешивающей функции удобной для человека, но трудно обратимых — множество.
Извините, но я увидел только перетасованные буквы. Я как-то не очень понял, как выучить этот пароль :)

Надеюсь, что не надо будет его записывать на бумажке и потом тасовать буквы по хитрым формулам, чтобы сообразить какой же он на самом деле.

При этом, если смешивание будет простым, то злоумышленник, который видит пароль, сможет попробовать перебрать разные варианты смешивания для другого ресурса (у него цель взломать, можно и попыхтеть), а если смешивание будет сложным, то слишком много усилий требуется на ввод пароля, что опять же ни к чему хорошему не приведёт.
Не написал принцип:
буквы пароля идут в прямом порядке:
password
буквы сайта в обратном
mocliamg -[gmailcom]
смешение: буква из пароля, буква из сайта:
p m a o… итд.

Варианов масса.
можно пропускать буквы из сайта, смешивая с чистом букв в названии сайта.тогда можно и прямой порядок использовать.

p g s l s…

Вобщем много вариантов. Но конечно, к финансовым и ключевым сайтам пароли должны быть уникальными и длинными.

Теперь понял. Но уже в данном варианте без бумажки для выстраивания пароля не обойтись, а это уже не очень хороший вариант для пароля.
если кто-то узнает что у тебя пароль на gmail — «passwordgmail.com», то несложно догадаться какой пароль у тебя к хабру…
Парни, не так топорно :)

Я указал только алгоритм. Комбинация может быть любой, но суть только в том, чтобы в пароле как-то применялось название ресурса.

Между «password» и «habrahabrru» из моего примера, перед ними или до них можно писать много всяких разных символов.

Можно комбинировать регистр.

Большинство людей, которых я знаю, вообще не заморачиваются по поводу сложности паролей, и пишут какие-то фразы на русском в латинской раскладке.

Я предпочитаю использовать какие-то почти осмысленные для произношения куски фраз. Например, «вромашкахспрятал» — строчка из «В ромашках спрятались».

Чаще всего комбинирую такие строки с номерами телефонов.
ну почему же. есть KeePass. его можно носить на флешке. его можно поставить на телефон…
я уже давно пользую KeePass. Раньше носил на флешке, а теперь он у меня в DropBox.
очень доволен.
осталось подобрать пароль к дропбоксу.
или спереть флешку
вернее подобрать пароль к дропбоксу, в котором больше 10 символов, а потом пароль к базе кипэсс, в котором тоже больше 10 символов.
а если сопрёте флешку — снова останется всего лишь подобрать пароль к базе кипэсс.
подбирать пароль придется в любом случае :)
а DropBox, да, нужная вещь. периодически складываю на него бекапы :)
ибо флешки это такое создание — малонадежное. она может затеряться, упасть, попасть под случайную статику от свитера :) а так — в случае чего — всегда можно слить актуальный (ну, или почти актуальный) бекап.
пользоваться постоянно DropBox`ом вместо флешки может получиться не у каждого. в большинстве корпоративных сетей политика безопасности не позволяет устанавливать лишнее ПО. в таких случаях приходится носить копию базы на флешке.

p.s. насчет «упасть». была у меня флешка. и на асфальт падала. и в воде купалась. и usb-выход сгибался под 90 градусов. хоть бы что. но однажды она упала с 50 см на мягкий ковер. и не выжила :-(
а еще есть онлайн сервисы синхронизации приватной информации
Взлом которых приведёт сразу ко всей «самой важной» приватной информации. :)
В подобных системах используется более чем один пароль.
Взлом сервиса ведет к утечке шифрованной информации.

Вам только кажется, что вы умный.
Их можно и нужно ставить на работе
Правда там должны быть пароли только от работы, а не от жж с одноклассниками
У меня все пароли на всех сайтах различные. Помогает roboform и его чудесная кнопка «Генерировать пароль»
Я не использую. У меня пароль на гмайл состоит из 15 символов. Такая комбинация символов нигде у меня больше не повторяется и хранится только в голове. Почта это ключ ко многим важным данным и глупо не заботиться о ее безопасности.
«Вы» было использовано чисто собирательно.
Понятно, что есть и те, кто адекватно относится к безопасности в сети. Это очевидно также, как и то, что есть и другая крайность.
Проблема только заключается в том, что для компании достаточно иметь одного сотрудника с таким вот небрежным отношением к защите, чтобы ВСЯ система защиты была скомпрометирована человеческим фактором.
Интересно, а сколько 15-символьных паролей Вы можете помнить? У меня несколько сотен паролей…
Ну я помню в районе 10 паролей, которые приходится часто использовать. Остальные не самые критичные записаны в спец проге.
В смысле того, что если у вас действительно 100+ паролей, то их невозможно запомнить все, даже если они все трехсимвольные, и в этом случае нужно пользоваться спец. программой, т.е. написали (глупость) не по делу.
Глупость написали Вы. Я же не писал, что все пароли запоминаю.
в том смысле что «У меня несколько сотен паролей… » и все эти пароли от различных служб которыми вы пользуетесь?? что-то сомневаюсь… или вы что-то вроде торговца icq номерами?
(поправте если не так)
а что тут такого? у меня 600+ паролей в 1password
200 уникальных паролей, что тут необычного? У любого специалиста по компьютерам будет много, представьте человека, который обслуживает 1000 серверов по всему миру — у него будет 1000 разных паролей.
Зачем 1000 паролей, достаточного одного, к рса ключу, а логинится по ссш через рса ключ
и рутовый пароль не надо помнить?
может, именно поэтому нельзя располагать почту на площадках того, кто владеет информацией?

не чистой ли, концентрированной глупостью есть важный корпоративный почтовый ящик на GMail?
UFO just landed and posted this here
UFO just landed and posted this here
ну не так он себя и раскрутил) да взломал тви, да его имя стало известным… есть у парня смекалка и находчивость… что дальше? думаю мало кто всерьёз заинтересуется парнем который «хакнул» что-то таким образом…
а стиль действительно красивый =)
Удивляюсь отношению к безопасностью некоторых ресурсов :) Хорошо что пароли не раздали школьникам с античата (это я про квип и блог инфа)…
UFO just landed and posted this here
Возможно, ну если Майкрософт и Аппл используют virus videos для пиара, почему бы и такую акцию не провести?
Да-да, везде заговоры и пиар.
> Дело в том, что в качестве резервного был указан уже закрытый ящик на Hotmail. HC просто зарегистрировал его, заказал письмо и щёлкнул по ссылке, которая генерирует новый пароль. Так он зашёл в Gmail.

никуя себе хотмейл, от это дырища… аж свистит, выдавать новым юзерам заэкспайренные логины.
Очень старая тема. И это не дыра хотмейла. Просто как и многие другие сервисы они удаляют ящики, которыми давно не пользовались. Раньше точно таким же образом очень легко получали доступ к «красивым номерам асек».
А лично меня смущает правдоподобность вот этот действия:
«HC получил доступ к почтовому ящику Gmail одного из сотрудников Twitter, воспользовавшись функцией восстановления пароля на резервный адрес электронной почты....»

Гул не рассказывает какой резервный емайл указан в профиле.
https://www.google.com/accounts/ForgotPasswd?service=mail&fpOnly=1
— Откуда HC тогда узнал какой резервный емайл у пользоателя?
Наверное из социальных сетей?
UFO just landed and posted this here
Всегда удаляю из почтового ящика письма с присланными паролями.
А я никогда не использую ни в каком другом месте, где я даю свой е-мейл, тот же пароль, который используется в работе с почтовым ящиком. И даже не похожий. Поэтому я письма не удаляю, мне просто лень их вылавливать из всех переадресаций и прочего. Но согласен, Ваш метод действеннее!!! :)
Смешно читать
«а я, а я....» давайте еще длинной пароля меряться.
Странно… у меня есть аккаунт на hotmail, зарегистрированный лет 7 назад. Сейчас вспомнил пароль, зашел. Без проблем. Аккаунт существует и активен.
Я на yahoo! длительное время не заходил — заблокировали.
я не просто так написал. Перечитайте пункт 2 исходной статьи.
Хотите узнать как именно был осуществлён взлом?
Всё очень просто: утюг + паяльник!
Хакеры уже не те…
UFO just landed and posted this here
UFO just landed and posted this here
Вот чего я не понял — как хакер узнал, что у пользователя использовался ящик на hotmail, и как он узнал КАКОЙ ящик?
Например, нашёл древнее сообщение от данного человека на форуме вида: Превед, диффчонки, я Вася Пупкин, пишите на pupkin@hotmail.com, познакомимся. Как вариант просто попробовал vasiliy.pupkin@hotmail.com в разных комбинациях, вариантов много. Главное собрать побольше сведений о данном человеке, а там можно и уже попытки подбора пробовать.
Ага, тоже вариант. Спасибо за ответ.
Ничего, что в хуизах твиттера и не пахнет GoDaddy?
что автоматически ставит под сомнение и остальные пункты.
А какая связь должна быть между хуизами и регистратором домена?
В хуизе домена twitter.com указана информация о его регистраторе.

Оп, скушался комментарий

Registrar: NETWORK SOLUTIONS, LLC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
«HC начал поиск в архиве писем, чтобы найти указания на то, какой был раньше пароль к Gmail. Ему удалось найти эту информацию, и он поменял пароль на старый, чтобы владелец почтового ящика не догадался о взломе.»

это как?? где там такое может храниться?
Как вариант, отправил запрос на напоминание пароля к одноклассникам (условно) и ещё чему-нибудь. Убедился что пароль используется одинаковый, и наверняка такой же был и на gmail. Потом сменил всё и удалил эти оповещения.
ICANN Registrar: NETWORK SOLUTIONS, LLC.

с каких пор godaddy стало называться network solutions, llc.?
HC начал поиск в архиве писем, чтобы найти указания на то, какой был раньше пароль к Gmail. Ему удалось найти эту информацию, и он поменял пароль на старый, чтобы владелец почтового ящика не догадался о взломе.
_

Гугло не присылает пароль. это страно очень
POP с удалением всех писем с сервера рулит. У меня чуть не увели мой проект вместе с хостингом, только потому что я указал на хостинге адрес на мэйл.ру (за глупость поплатился). Каким образом был подобрал 12-символьный пароль к ящику — понятия не имею — возможно вообще была утечка из мэйл.ру. Судя по IP камрад был из Украины, но даже после того как он поменял все пароли, в т.ч. и на ящике, он не убрал письма с запросами паролей (в которых были новые пароли) от хостинга и VDS. Ящик на мэйл.ру вернул через контрольный вопрос, ну а остальное — дело не хитрое. А вот если бы тот лох заюзал клиент и получил письма через POP с удалением с сервера — увел бы точно.

Так что почтовики со снятой галочкой «оставлять письма на сервере» рулят, ибо в почте вообще нельзя хранить конфиденциальную и рабочую информацию. Лучше сохранить аттачи и тексты и носить на флешке.
Twitter -херня. Много шуму из ничего. Думаю, многие из мыслящих хабралюдей со мной согласятся.
Однако на Диком Западе и Востоке (Япония) им пользуются миллионы.
Sign up to leave a comment.

Articles