Pull to refresh

Хакеры рассказали, что проникли на SFTP-сервер TransUnion South Africa с помощью пароля «password»

Information Security *IT-companies


По информации Bleeping Computer, хакеры взломали один из серверов африканского подразделения финансовой и страховой компании TransUnion South Africa с помощью пароля «password». «Взломали» — громкое слово, скорее, просто зашли. После этого они скачали незашифрованную базу с данными 54 млн. клиентов и потребовали выкуп.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Views 6.3K
Comments 3

NordPass: самым популярным паролем в 2022 году стал «password»

Information Security *Research and forecasts in IT *

Компания-диспетчер паролей NordPass выпустила отчёт, в котором говорится, что слово «password» стало самым популярным паролем в 2022 году. Компания проанализировала пароли в 30 странах.

Читать далее
Total votes 6: ↑6 and ↓0 +6
Views 2.8K
Comments 29

Шифруемся по полной

Website development *
passs

Ко многим из администраторов крупных и не очень сайтов иногда обращаются пользователи с жалобами что их аккаунты взломали. А все потому что в качестве пароля они выбирают простые пароли вроде даты рождения или фамилии. Но мы можем зарубить эту проблему на корню, с помощью замечательной библиотеки «Password Meter».
Читать дальше
Total votes 28: ↑19 and ↓9 +10
Views 885
Comments 73

Храним пароли открыто

Information Security *
logo
Наткнулся на один очень интересный сервис от швейцарской компании Savernova, занимающейся вопросами безопасности. Он генерирует так называемую карту паролей, password card. С помощью нее очень легко выбрать себе сложный пароль, легко им пользоваться впоследствии и, самое главное, хранить такую карту можно хоть прилепив к монитору. Никто и никогда не сможет понять какой пароль был использован. Карту можно использовать для создания десятков различных комбинаций паролей. Ниже приведен механизм их выбора.
Читать дальше →
Total votes 62: ↑56 and ↓6 +50
Views 15K
Comments 95

Пароль root'а в Ubuntu

Configuring Linux *


Статья для тех кто не знает.

Разработчики Ubuntu решили что системе пользователь root не нужен. Вместо этого нужно использовать sudo с паролем к текущему акаунту.
Из-за этого решения, чтобы использовать команду su, в консоли необходимо набрать:
sudo passwd
и задать пароль для пользователя root, тогда этот пароль можно использовать и для su

UPD (спасибо meako): А можно sudo su и получить терминал рута, с паролем текущего пользователя.
UPD (спасибо zloe_zlo): А можно написать sudo -i и стать суперюзером без su.
Total votes 31: ↑13 and ↓18 -5
Views 219K
Comments 26

Google восстанавливает пароли по SMS

IT-companies
Google вчера объявила о внедрении новой опции по восстановлению паролей от своих сервисов. Теперь все желающие могут привязать к аккаунту номер своего мобильного телефона. При запросе восстановления пароля на указанный телефон приходит SMS с 7-значным секретным кодом, который необходимо вводить на странице верификации аккаунта. Соответственно, если все введено корректно, то пользователь попадает на форму создания нового пароля к своей учетной записи.

Выглядит это вот так:
image

Сервис, как видно по скриншоту, работает в том числе и с российскими сотовыми операторами (ура), вводить номер необходимо в формате из 10 цифр (без +7). Подтверждать сам номер не требуется.
Total votes 10: ↑6 and ↓4 +2
Views 2.4K
Comments 8

Как написать слово в поле для пароля так, что бы его было видно?

Website development *
Написать эту статью меня натолкнуло общение с администратором сайта одного из футбольных клубов российской Премьер-лиги. Надеюсь, что он ее прочитает и воцарит сие в жизнь.

Сейчас стало очень модно делать формы, в которых заголовок поля для ввода написан в самом поле. Например так:


Но как в таком случае быть с полем для ввода пароля? Ведь он заменяет дефолтное значение на звездочки.
В этом посте я решил рассмотреть несколько вариантов, как сделать поле для пароля со звездочками, но что бы слово «пароль» было видно.
Читать дальше →
Total votes 49: ↑25 and ↓24 +1
Views 3.5K
Comments 29

Мой парольный менеджер с шахматами и поэтессами. И синхронизацией

Information Security *
Привет!

Хочу рассказать о своем небольшом проекте, который втихаря делал последние пару месяцев.

Предыстория


Когда-то давно, примерно год назад, мне понадобилось как-то запомнить или записать довольно большой объем конфиденциальной информации: логины, пароли, всякие ключи и прочее. Из имеющихся решений меня более-менее удовлетворят keepass, но у него был один большой минус — он не может синхронизировать базы между установками. А мне требовалась возможность скидывать пароли на телефон и смотреть их уже оттуда.
В итоге все пришло просто к текстовому файлу с паролями :)
Но можно ведь сделать что-то и свое…
Начнем
Total votes 36: ↑35 and ↓1 +34
Views 2.5K
Comments 63

Снятие пароля с Phoenix BIOS и HDD

Lumber room
Предисловие

Люди не машины и им свойственно забывать, и иногда наша забывчивость стоит очень дорого, но как известно безвыходных ситуаций не бывает. Случилось так, что мой друг забыл пароль на BIOS(phoenix) и обратился за помощью ко мне, я человек отзывчивый и решил помочь ему, найдя решение проблемы, решил написать статью.
Читать дальше →
Total votes 16: ↑8 and ↓8 0
Views 11K
Comments 13

Как мы отдаём свои имейлы и пароли

Lumber room
Статья не претендует на полное руководство по безопасности в сети, но возможно поможет некоторым начинающим (и не очень) бораздёрам просторов интернета сохранить в тайне от недоброжелателей их нехитрые пароли. И не судите строго, это первый хабропост.

Для хорошего анализа давайте разберёмся как же человек получает свой первый пароль и что делает потом, когда ему надо зарегистрироваться?
Читать дальше →
Total votes 28: ↑12 and ↓16 -4
Views 4.7K
Comments 21

#Dharok или Не стоит ставить пароль равный логину

Social networks and communities
Доброго всем утра, сограждане Хабра!
Сегодня примерно в час ночи были взломаны многие аккаунты на всеми нами любимом твиттере:

Dharok search

Хакеры не сделали ничего плохого, только писали от имени взломанного один твит:
I love #Dharok!
или
All your base are belong to #Dharok
(Как подсказал andoriyu это известный мем: All_your_base_are_belong_to_us)

Твиттеряне уже начинают поднимать панику, но способ взлома, как мне кажется, тривиален.
image

#dharok You are hacked because of the same login and password! Change it ASAP!

Несмотря на широко развернувшуюся в Сети и на Хабре в частности пропаганду правильных паролей, большинство пользователей такого сервиса как Твиттер, не прислушиваются к советам и не соблюдают элементарную политику безопасности.
Вывод: методы пропаганды не работают!
Все-таки, пожалуйста, напомните окружающим о том, что простой пароль принесет кучу проблем. Особенно совпадающий с логином.
И проверьте свой пароль на Хабре ;-)
Total votes 79: ↑61 and ↓18 +43
Views 567
Comments 54

Обязательные поля при регистрации

Web design *
Разрабатывая интерфейс для очередного сайта, основной аудиторией которого будут люди не очень продвинутые технически, я задумался над вопросом об обязательных для регистрации полях и минимизации их количества.

В голову пришли следующие варианты:

0 полей: при загрузке страницы незалогиненный пользователь получает сгенеренный аккаунт, который ему предлагают использовать, вот еще один пример такого подхода.
— удобно для узкоспециализированных задач и мне не подходит. По функционалу уже недалеко от куки, если бы не привязанность последних к конкретному хранилищу в браузере или по :)

1 поле: email
Пользователь оставляет email, id создается автоматически, на email он получает пароль, авторизация либо по ID либо по email, username задается пользователем уже в профиле

+ Черт, это все таки одно поле! По умолчанию может быть сгенерен устойчивый к перебору пароль.
± username свободно меняются, и могут оставаться пустыми. Учитывать пользователей по айдишникам мне не хочется
— ЧПУ приобретают вид ufosite.nl/users/18567, скорее всего пользователь захочет сменить свой пароль. При ЧПУ вида ufosite.nl/users/customusername наступает ад для поисковиков. Строить ЧПУ на основе email, который, к тому же, далеко не все захотят публиковать — это подарок спамерам и ЧПУ становятся не совсем ЧПУ.

Читать дальше →
Total votes 39: ↑23 and ↓16 +7
Views 6.3K
Comments 82

Сложный пароль в запоминании не нуждается

Information Security *
Все пароли для разных ресурсов должны быть длинными, сложными, личными и не похожими.

image

Но как придумать такое количество разнообразных паролей? Предположим мы нашли на бескрайних просторах Интернета нужную нам программу, генерирующую нужное нам количество знакосимволов. Но как запомнить всё это буйство букв, цифр, знаков препинания, и, не побоюсь произнести эту фразу, вообще не понятных символов в виде смайликов, стрелочек, домиков и китайских иероглифов? А как не перепутать какая «нечитаемость» от какого сайта?

Я запомнить точно не смогу. Я даже четырёхзначные PIN-коды пластиковых карт забываю на следующий день. Можно пароли записать и в самый нужный момент потерять всё, что копилось многие годы. А если у Вас паранойя? Вам же придётся Ваш шифроблокнот положить в банковскую ячейку. Но ведь Вы забудете очередную парольку от очередной бронированной дверки почти сразу.

А что если есть способ, позволяющий не придумывать, не запоминать и не записывать ключи от наших тайн? Я предлагаю способ придумывания таких паролей.

Нам понадобятся всего три вещи.
1. «Волшебная» табличка (о ней дальше) с помощью которой мы и будем создавать пароли,
2. Индивидуальная ключевая фраза,
3. Название ресурса для которого мы будем создавать пароль.

И больше ничего. Заинтригованы?

Читать дальше →
Total votes 149: ↑88 and ↓61 +27
Views 48K
Comments 101

Возможно, был взломан LastPass

Information Security *
Translation
image

В LastPass, мультиплатформенном онлайн-менеджере паролей, был зафиксирован аномальный сетевой трафик, возможно, это стало следствием хакерской атаки. Так что, лучше бы пользователям сервиса сменить свои пароли.

LastPass, позиционирующий себя как «единственный пароль, который Вам нужно запомнить», является расширением для всех популярных браузеров. Он автоматически заполняет формы сохранёнными ранее данными и одним нажатием кнопки синхронизирует личные данные на разных компьютерах, которые Вы используете.

В блоге компании говорится, что аномальный трафик был зафиксирован на некритическом сервере. Сотрудники исследовали эту аномалию, но так и не смогли установить её причину. Затем был замечен поток исходящего трафика от одной из закрытых баз данных. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ»
Читать дальше →
Total votes 86: ↑75 and ↓11 +64
Views 14K
Comments 106

Восстановление пароля на маршрутизаторах Cisco

Cisco *
Sandbox
Практически любой начинающий Cisco-вод рано или поздно оказывается в ситуации, когда на руках имеется маршрутизатор с напрочь забытым или неизвестным, чужим паролем. Лично я, будучи преподавателем курсов Cisco, встречаюсь с этой ситуацией очень часто после лабораторных работ. Ученики строят топологию, настраивают пароли на доступ, играются с сеткой и… забывают стереть файл конфигурации перед уходом. Само собой, до следующей лабораторной работы все успешно забывают свои пароли. По непонятной мне причине, Cisco не уделяет этой теме достаточно внимание в своём учебном материале, а документация на офф-сайте зачастую пугает новичков. Этот недостаток я и хотел бы сегодня устранить.

Читать дальше →
Total votes 68: ↑50 and ↓18 +32
Views 135K
Comments 48

Безопасное хранение паролей

Information Security *Emacs *
Recovery mode
Sandbox
imageИнтернет прочно вошёл в нашу жизнь. Все мы, даже совсем неблизкие к IT люди, пользуемся большим количеством самых разнообразных сервисов, начиная от почты и заканчивая социальными сетями. Практически все сервисы требуют регистрации. Но для обеспечения безопасности использовать нужно разные пароли, состоящие из многих символов. Ну большинство людей, пользующихся интернетом, знают о требованиях к безопасным паролям. Но тут возникает одна небольшая проблема: как запомнить все эти множества паролей?
Читать дальше →
Total votes 53: ↑33 and ↓20 +13
Views 43K
Comments 59

Популярные менеджеры паролей в сравнении

Information Security *
imageБезопасное хранение паролей — тема очень актуальная в любое время, тем более после недавних громких взломов крупных сайтов. После того как один из моих паролей утек в Сеть после взлома биржи MtGox, я озаботился переходом на серьезные методы защиты.

Самыe важные пункты, которыми пренебрегают многие пользователи, хранящие пароли в голове или на бумажке — использование на каждом сервисе отдельных паролей, и отказ от простых, легко запоминаемых паролей. Чтобы сделать это возможным, существует немалое количество софта разного качества, изучением которого я и занялся. Сейчас я хотел бы поделиться результатами своих изысканий.

Итак, программы, попавшие под мой выбор, следующие: KeePass, eWallet, LastPass, 1Password, RoboForm. Кому интересно — добро пожаловать под кат.

Читать дальше →
Total votes 82: ↑78 and ↓4 +74
Views 341K
Comments 122

Консольное приложение PassKeep

Python *
Sandbox
Здравствуйте, Хабражители!

А как Вы храните свои пароли? Или у Вас один пароль на все случаи жизни? Раньше у меня было именно так! Ну то есть почти так. У меня их было два — идентификационный код и хитро мудрая анаграмма, составленная из моего мобильного телефона.

Если Вы один из таких как я, то прошу под кат.
Читать дальше →
Total votes 15: ↑5 and ↓10 -5
Views 6.9K
Comments 20

Угон аккаунтов Yahoo, AOL, Hotmail

Information Security *
В популярных почтовых сервисах Yahoo, AOL и Hotmail недавно были найдены уязвимости, позволяющие получить доступ к чужим аккаунтам.

Суть уязвимостей везде одинаковая: использовалась логическая ошибка при восстановлении пароля, в результате которой можно было задать новый пароль в обход проверки легитимности пользователя (ответа на контрольный вопрос и т.д.)

Видео демонстрация для Hotmail:


Читать дальше →
Total votes 31: ↑29 and ↓2 +27
Views 2.4K
Comments 10
1