Pull to refresh

Пользователи «Одноклассников» смогут восстановить профиль с помощью функции распознавания лиц и жестов

Artificial Intelligence Social networks and communities
imageФото: tjournal.ru

«Одноклассники» запустили технологию на ИИ, которая распознает лица и жесты пользователей, что позволит им восстанавливать свои профили без заполнения заявки в службу поддержки.
Читать дальше →
Total votes 6: ↑6 and ↓0 +6
Views 1.8K
Comments 9

Проект L0phtCrack открыл исходные коды в версии 7.2.0

Open source *Git *

Разработчики открыли исходный код инструментария L0phtCrack, предназначенного для восстановления паролей по хешам. Код версии 7.2.0 доступен на GitLab. Последняя загрузка Win64 с открытым исходным кодом находится здесь.

Читать далее
Total votes 11: ↑10 and ↓1 +9
Views 2.1K
Comments 1

«Замечательный» суппорт jabber.ru

Lumber room
Поведаю историю о замечательном суппорте портала jabber.ru
Все началось еще давно когда только открылся этот портал, я прочитал про технологию jabber, не скрою она привлекла мое внимание, сходил зарегался, но дело в том что тогда еще не развито было у нас это дело, да и транспортов было мало, откровенно говоря я на это дело забил…
Читать дальше →
Total votes 16: ↑8 and ↓8 0
Views 276
Comments 21

Как правильно свести пользователя с ума?

Interfaces *
… очень просто:
  • Пришлите письмо с временным паролем длиной от 10 до 20 символов. Ни в коем случае не делайте пароль удобочитаемым! Добавьте пробел после пароля так, чтобы распространённые почтовые агенты выделили этот пробел при щелчке на слове.
  • Разрешите вводить пробелы в поле «пароль» на вашем сайте. Ни в коем случае не пытайтесь обрезать пробелы в начале или конце пароля автоматически!

Любовь пользователей — обеспечена.
Total votes 45: ↑22 and ↓23 -1
Views 461
Comments 9

«Секретные» вопросы — пародия на безопасность

Information Security *
В последнее время было осуществлено несколько громких взломов (в том числе взлом почтового ящика Сары Пэйлин) с помощью подбора правильного ответа на «секретный» вопрос. Слово «секретный» здесь в кавычках неспроста, потому что на самом деле эти вопросы совершенно не выполняют свою функцию надёжной аутентификации пользователя. Чтобы доказать это, исследователи из университета Карнеги-Меллона провели небольшое исследование, результаты которого огласили на недавнем сипозиуме IEEE по безопасности.

Оказалось, что в 28% случаев «секретные» ответы участников исследования могут легко подобрать их друзья, родственники или другие люди, которым они доверяют. А в 17% случаев «секретный» ответы успешно подбирают даже люди, которым участники исследования не доверяют, то есть практически незнакомцы. Таким образом, надёжность этого «способа защиты» не превышает 72-83%.

Известный специалист по безопасности Брюс Шнайер много лет назад говорил, что это просто идиотизм, когда система восстановления пароля менее безопасна, чем сам пароль. С тех пор ситуация абсолютно не изменилась.

via Slashdot
Total votes 53: ↑50 and ↓3 +47
Views 13K
Comments 55

Восстановление пароля к сайту

QIWI corporate blog
QIWI Кошелек — это электронные деньги, с помощью которых легко оплатить тысячи различных товаров и услуг или принимать платежи за свои услуги через терминалы QIWI.

К нам поступало много вопросов и пожеланий по поводу восстановления пароля. Не все хотели писать в тех. поддержку или звонить куда-либо. Теперь же процедура восстановления пароля к сайту QIWI Кошелька стала очень простой и удобной для пользователей. По сути ввести свой номер сотового, к которому привязан ваш QIWI Кошелек:
image

Напомню, что ранее нужно было поступить следующим образом:
Если Вы забыли пароль, восстановите его, отправив SMS с текстом MP (латиницей) на короткий номер 4443 (услуга платная, стоимость 0,15 у.е. без НДС), или обратитесь в службу поддержки «QIWI Кошелёк» по телефону 8-800-333-00-59

Ввести данное изменение очень помог ЖЖ и Твиттер, где было много комментариев на эту тему. Данные замечания перевесили аргументы противников нововведения.

Спасибо.
Total votes 14: ↑7 and ↓7 0
Views 14K
Comments 38

Восстановление сохраненного пароля pppoe сессии из маршрутизатора

Configuring Linux *
Sandbox
Бывает ситуация, когда вы уже пару лет пользуетесь интернетом через свой роутер и, что естественно, забыли или потеряли пароль. Тут в голову приходит мысль приобрести новый девайс, вы сломя голову идете в магазин, покупаете, приносите домой и… понимаете что пароля нигде нет. Но как любой мыслящий человек вы понимаете что маршрутизатор все помнит, осталось только его убедить рассказать его. Можно было бы проверить его в настройках роутера, но, к сожалению, этот способ подходит не для всех моделей. Я вам расскажу об универсальном способе узнать пароль.

Вам понадобятся:
1) Ваш маршрутизатор
2) Патч-корд (обычный, не кросс)
3) Компьютер с Linux на борту.

Читать дальше →
Total votes 57: ↑54 and ↓3 +51
Views 31K
Comments 57

Пользователям Яндекс.Денег на заметку

Lumber room
Когда то давно, года три-четыре назад зарегистрировал счет на Яндекс.Деньги.
Посмотрел и забыл.

Сейчас решил начать пользоваться этим счетом, но пароль, естественно, не помню. Захожу в кошелек, тыкаю «восстановить пароль», мне приходит письмо со ссылкой — нажимаю и обалдеваю.

Оказывается, чтобы сменить платежный пароль, нужно ввести секретный код из 5 цифр, который задавал вместе с паролем. Вот так. Чтобы восстановить один пароль — нужно помнить другой.

Конечно, восстановить доступ не вышло. Пишу письмо в службу поддержки.
Читать дальше →
Total votes 36: ↑22 and ↓14 +8
Views 967
Comments 44

Чёрная полоса Sony продолжается, новая вспышка взломов

Information Security *
Не успела компания Sony восстановить PlayStation Network и оправиться от взлома, как хакеры не упустили возможность снова потрепать нервы руководству Sony, воспользовавшись неудачно подготовленной системой смены паролей. Компания предложила пользователям изменить свои пароли после глобального взлома, но предложила это сделать крайне «оригинально» — для сброса паролей требуется только адрес электронной почты и дата рождения. Эти данные были уведены хакерами ещё во время прошлого взлома. Едва появилась эта возможность «восстановления», как началась волна несанкционированных сбросов, после чего сервера PSN то ли снова легли от напора пользователей, то ли были выведены из строя ещё одной атакой, то ли, по утверждениям Sony, были отключены во избежание новой волны взломов пользовательских аккаунтов. На данный момент авторизация через сайт не работает, тогда как через консоли проходит.
UPD: Тем временем, Sony отрицает циркулирующие слухи о взломе, убеждая, что всё же это профилактические работы, исправляющие уязвимости.
Источник: ZDNet и Geek.com
Total votes 63: ↑60 and ↓3 +57
Views 2K
Comments 93

Заметки о безопасности. Восстановление пароля

Information Security *IT systems testing *Programming *
Хотелось бы немного рассказать о подходе повествования в данном посте. Всё описанное имеет реальные случаи произошедшие из моей личной практики, в большинстве своём это популярные проекты, поэтому в тексте буду их упоминать. Главное на что я хотел бы обратить внимание — эта статья может показаться не интересной специалистам ИБ, т.к. она не содержит никаких новых векторов атаки и супер крутых подходов. Вся информация ориентирована на разработчиков и проект-менеджеров.
Проводя заказы на аудит целью ставится аналитика максимального ущерба при минимальных действиях и знаниях злоумышленника. Как показывает практика в суровых условиях производства ПО такие нюансы продумывают единицы проектов.



Одной из популярных проблем является восстановление пароля и получение доступа к учётным записям пользователей. Сейчас наверное не существует ни одного сайта где бы не была функция восстановления пароля. Я их поделил на несколько типов, чтобы рассмотреть каждый из них:

Конечно это только часть большого айсберга. Существуют проблемы и в других подходах, например OAuth, но об этом уже много писали и там всё же технические нюансы, а меня больше интересует бизнес-логика.

И так, рассмотрим слабые места каждого из пунктов выше.
Читать дальше →
Total votes 51: ↑48 and ↓3 +45
Views 40K
Comments 21

LG Smart World: Враг не пройдет

Monitors and TV
LG No Password Пару месяцев назад приобрел телевизор LG Smart TV. Естественно, сразу зарегистрировался на LG Smart World, подключился через телевизор и благополучно установил несколько приложений. Поигравшись с новой игрушкой, перешел к штатному использованию.

С тех пор вышло несколько обновлений прошивки, о чем меня телевизор любезно предупреждал, и я всегда соглашался на обновление. После одного из них слетела авторизация в Smart World. Попытавшись подключиться снова я понял, что пароль от аккаунта канул в Лету. Не беда — подумалось мне, ведь есть восстановление пароля. Но все оказалось не так просто.
Читать дальше →
Total votes 49: ↑28 and ↓21 +7
Views 42K
Comments 50

Почему я не могу сбросить пароль?

Django *
Такой вопрос пришел сегодня в техподдержку. Пользователь заходит на страницу восстановления пароля, вводит свой email, нажимает кнопку «Восстановить». Система радостно сообщает, что email отправлен. Пользователь заходит в почтовый ящик, пользователь не видит письма, пользователь недоволен.
Делаем пользователя довольным
Total votes 56: ↑36 and ↓20 +16
Views 24K
Comments 13

Ошибка в системе безопасности Steam: восстановление пароля без ввода проверочного кода

Positive Technologies corporate blog Information Security *
В системе безопасности крупнейшей игровой платформы Steam, разработанной компанией Valve, обнаружена серьезная уязвимость— 25 июля на YouTube была загружена видеодемонстрация эксплуатации ошибки. Проблема широко обсуждается пользователями ресурса Reddit.



Согласно данным, представленным на видео, злоумышленник может скромпрометировать учетную запись пользователя Steam благодаря некорректной работе функции восстановления пароля — система принимала в качестве верного кода даже пустое значение. В результате взломщик получал возможность сброса пароля учетной записи.
Читать дальше →
Total votes 28: ↑24 and ↓4 +20
Views 57K
Comments 16

Расшифровка сохранённых паролей в MS SQL Server

Information Security *Microsoft SQL Server *Database Administration *
Translation
Давным-давно, в далёкой галактике, пред-предыдущий администратор вашего SQL Server задал в нём linked server, используя специально для этой цели созданный аккаунт со сгенерированным паролем. Теперь вам с этим линком нужно что-то сделать, например перенести его на другой SQL Server; но просто так это не сделать, потому что никто не знает пароля от того аккаунта. Знакомая ситуация?

Хотя MSSQL не хранит пароли для своих аккаунтов, а хранит только их хэши, — с linked server-ами так не получится, потому что для успешной аутентикации перед внешним сервером нужно обладать паролем в открытом виде. Пароли для linked server-ов хранятся в зашифрованном виде в таблице master.sys.syslnklgns:



Но не всё так просто.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 24K
Comments 8

Восстановление пароля и первичное хранилище в облаке, или Что нового в Zimbra 8.8.9

Zextras corporate blog
Буквально на днях Zimbra Collaboration Suite обновилась до версии 8.8.9. Помимо минорных багфиксов и улучшений, связанных со стабильностью работы Zimbra, в новом релизе содержится масса действительно значимых улучшений и новых функций. Самым значительным изменением, по сравнению с предыдущим релизом, стало добавление бета-версии системы Восстановления доступа, которая дает возможность для забывшего свой пароль пользователя получить доступ к почте без необходимости обращения к администратору.
image
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 4.8K
Comments 1

Почему я отказался от 18 тысяч долларов по баунти-программе Apple

Information Security *Cryptography *Reverse engineering *
Translation

Эта статья посвящена тому, как я обнаружил уязвимость в конечной точке восстановления пароля Apple, которая позволила мне захватить аккаунт iCloud. Уязвимость полностью пропатчена отделом безопасности Apple и больше не работает. В рамках баунти-программы Apple Security Team вознаградила меня 18 тысячами долларов, но я отказался их получать. В статье я расскажу о том, почему отказался от вознаграждения.

После обнаружения уязвимости захвата аккаунта Instagram я осознал, что многие другие сервисы подвержены брутфорсу на основе условий гонки. Поэтому я продолжил сообщать о подобных проблемах других поставщиков услуг, подверженных уязвимости, например Microsoft, Apple и некоторых других.

Многие люди путают эту уязвимость с обычной атакой брутфорсом, но это не так. В ней мы отправляем множество параллельных запросов серверу, чтобы воспользоваться уязвимостью условий гонки, присутствующей в ограничениях частоты запросов, позволяющих обойти защиту.

Теперь я расскажу о том, что обнаружил у Apple.
Читать дальше →
Total votes 108: ↑103 and ↓5 +98
Views 44K
Comments 62