Comments 105
Комментов нет, а уже линк недоступен от хабрэффекта
+2
Оказывается, «пока гром не грянет-мужик не перекрестится»- не только русская пословица. Сегодня даже технически подкованный школьник знает, что хранение паролей в открытом виде- зло. Не думал, что остались компании, тем более такие крупные, хранящие пароли открыто.
+13
ну рутрекер тоже похоже хранит в открытом, ибо в письме после регистрации присылается пароль)
-4
Прислать пароль после регистрации в незашифрованном виде очень легко. Позвольте на баше изобразить, суть должна быть понятна:
read p
echo «Ваш пароль — $p» | mail -s root@somewhere
echo -n $p | md5sum > somewhile
read p
echo «Ваш пароль — $p» | mail -s root@somewhere
echo -n $p | md5sum > somewhile
+6
1.Вы не правильно понимаете суть этого скрипта
2. md5 хэш математически нельзя привести к исходному паролю
2. md5 хэш математически нельзя привести к исходному паролю
-17
или это на правах шутки? Сначала послать, потом шифровать :-)
-6
я думаю, человек просто хотел сказать, что можно сначала отправить пароль, а потом в зашифрованном виде положить его в базу. рутрекер не отправляет же вам ваш пароль по запросу о забытом пароле.
+5
Послали в открытом виде, в базу записали в зашифрованном. Чего тут не понимать-то )?
+8
>2. md5 хэш математически нельзя привести к исходному паролю
вы не поверите, но это и не нужно, для логина достаточно совпадения md5 введенной строки с md5 из базы
вы не поверите, но это и не нужно, для логина достаточно совпадения md5 введенной строки с md5 из базы
-1
Тем более это доступ как минимум разработчиков к твоему паролю, который, вероятно, используется не только на yahoo.
0
Я не согласен, что хранение не шифрованного пароля, — зло. Очень юзерфрендли получить свой пароль, когда ты его забыл на мыло. А не выполнять 100500 действий, что б объяснить кто ты, указать новый, который не совпадает с 10 предыдущими. А если у вас увели бд юзеров, то у вас есть куда более важные проблемы:)
-1
Существует принцип разумной достаточности. В сфере информационной безопасности любой специалист пытается его соблюдать, проводя анализ рисков и другие мероприятия, позволяющие спрогнозировать актуальные угрозы и способы их экранирования.
В современных условиях у вас есть 2 выхода, чтобы сохранить свои данные- либо шифровать всё и вся, либо использовать уникальные пароли для каждого ресурса (желательно вообще т.н. одноразовый блокнот).
В случае с гигантской корпорацией, ИМХО, шифрование необходимо.
В современных условиях у вас есть 2 выхода, чтобы сохранить свои данные- либо шифровать всё и вся, либо использовать уникальные пароли для каждого ресурса (желательно вообще т.н. одноразовый блокнот).
В случае с гигантской корпорацией, ИМХО, шифрование необходимо.
+1
Все верно. И безопасность должна эволюционировать вместе с проектом. Для развивающегося проекта не нужны хеши и соли лучше быть более юзер френдли. А когда уже стал жирным проектом никто не мешает перехешировать все пароли. Наглядный пример gmail, когда он только появился прокатывали любые пароли и регистрация была максимально простая. Сейчас гуглакаунт это большче, чем просто логин и пароль от почты, Соответсвено и степень защиты у них возрасла и усложнилась намного.
-1
по ссылке не открывается, вот альтернативная yahoo-disclosure.txt.bz2 http://www.mediafire.com/?769gk65ix183vbd
+7
Т.е. если у меня почта на yahoo.com, то беспокоиться пока не о чём? Особенно, если я скачал файлик с базой и не нашёл там своего мыла.
И как быть, если я нашёл там мыла на gmail.com и другие? Я не знаком с сервисами yahoo, скажите, они просто используют почтовый адрес как логин, пароль при этом может быть любым? Стоит ли включать режим параноика сейчас или можно отложить пока?
И как быть, если я нашёл там мыла на gmail.com и другие? Я не знаком с сервисами yahoo, скажите, они просто используют почтовый адрес как логин, пароль при этом может быть любым? Стоит ли включать режим параноика сейчас или можно отложить пока?
+1
Логин может быть любой почтой, пароль произвольный. Режим параноика нужно включать только если вы используете один пароль на разных сайтах.
Хотя для безопасности было бы неплохо указать номер телефона и/или email для восстановления, т. к. гугл при доступе из другой страны будет подозревать тогда во взломе, и спрашивать номер телефона, и тогда логина и пароля будет недостаточно. Ну и совсем безопасно — включить двухфакторную авторизацию.
Хотя для безопасности было бы неплохо указать номер телефона и/или email для восстановления, т. к. гугл при доступе из другой страны будет подозревать тогда во взломе, и спрашивать номер телефона, и тогда логина и пароля будет недостаточно. Ну и совсем безопасно — включить двухфакторную авторизацию.
0
Жесть, заходишь под чужим аккаунтом, говорит «мы советуем вам поменять пароль», ну прям второй шаг визарда по уводу почтового ящика :) Хотя как иначе делать — не понятно, если сами поменяют — куда слать-то?
А вообще кретины знатные — не захэшировать после волны взломов 2012.
А вообще кретины знатные — не захэшировать после волны взломов 2012.
+8
Да и люди после волны взломов не очень зашевелились- большинство паролей вполне осмысленны, некоторые-комбинации имени и цифр, или даже просто цифры, одним словом-простые. Хотя в данном случае им бы и сильный пароль не помог. Удивительная беспечность корпорации.
0
Кстати, от нечего делать сделал частотный анализ паролей на предмет вхождения разных популярных слов.
В плане пошлостей как обычно лидирует Sex- 1118 вхождений, за ним следуют F*ck — 768 вхождений, D*ck — 373, и B*tch — 269 вхождений.
Любвеобильные пользователи также использовали пароль, скомбинированный из слов Love -7400 вхождений, Family -710 вхождений и Friend -390 вхождений.
Не мог обойти сферу IT- слово Computer встречается 305 раз, hacker 133 раза, а password -1501,passw0rd -83, p@ssword — 11, p@$$w0rd -6. Слово cat входит в пароли 4362 раза, а dog 2863.
В плане пошлостей как обычно лидирует Sex- 1118 вхождений, за ним следуют F*ck — 768 вхождений, D*ck — 373, и B*tch — 269 вхождений.
Любвеобильные пользователи также использовали пароль, скомбинированный из слов Love -7400 вхождений, Family -710 вхождений и Friend -390 вхождений.
Не мог обойти сферу IT- слово Computer встречается 305 раз, hacker 133 раза, а password -1501,passw0rd -83, p@ssword — 11, p@$$w0rd -6. Слово cat входит в пароли 4362 раза, а dog 2863.
+7
Опять в незашифрованном виде???!!!
Кого берут на работу в такие корпорации?!
Вот придумываешь себе хитрый пароль с символами, числами, чтоб обязательно был не менее 8 знаков, а они хранятся без хеша и соли.
Кого берут на работу в такие корпорации?!
Вот придумываешь себе хитрый пароль с символами, числами, чтоб обязательно был не менее 8 знаков, а они хранятся без хеша и соли.
+10
Видимо систему проектировали в далекие бородатые года, когда хешировать было «не модно». Ну а потом забыли об этом, если работает, зачем трогать?
+1
мм… по-моему, здесь не впороса «модно» быть не должно. это недостаток самой архитектуры (если она вообще в данном случае может быть).
это эквивалентно, если бы клент-банк работал без шифрования.
>Ну а потом забыли об этом, если работает, зачем трогать?
я бы не сказал что это именно тот случай gold code. здесь идет прямо-таки сокрытие дефекта.
это эквивалентно, если бы клент-банк работал без шифрования.
>Ну а потом забыли об этом, если работает, зачем трогать?
я бы не сказал что это именно тот случай gold code. здесь идет прямо-таки сокрытие дефекта.
+1
если работает, зачем трогать?
Вот в этом контексте это плохо. А с другой стороны — «Не лезь в работающий механизм» совсем не плохой совет. Где-то есть грань, но как ее найти?
Задним умом оно понятно, что «надо было», а как понять, что надо будет?
+1
Просто. Всё что несекьюрно надо чинить до того как писать что-либо ещё.
0
А несекьюрно это как? Вот md5 с солью это уже несекьюрно? А что секьюрно? Это же не постоянная величина, не абсолют. Есть более безопасные вещи, есть мене безопасные. Абсолютно безопасных нет, это вопрос времени, так как его измерять?
0
8? Я давно уже ругаюсь на сервисы у которых есть всякие глупые ограничения вида «Аааа… Да вы что, пароля больше 20 символов не бывает!». Выставил в Keepass генерацию 40 символьников.
0
просто хоть 40, хоть 140 символов, без шифрования — не поможет) обычно 6 символов через брутфорс на gpu можно за 2-е суток подобрать, но вот 8 и более — становится сложно.
0
Ну если мне без разницы, то почему бы не держать пароли по 40 символов, уникальные для каждого сервиса. Анноит запускать генератор с другими параметрами, просто.
0
Моя относительно устаревшая GeForce 9800 GTX+ молотит 600 миллионов md5 в секунду, мой старый стандартный 8-значник (перебирались только восьмизначные цифры + буквы) нашёлся за полтора часа (на самом деле меньше, полтора часа был прогноз на все варианты). Ну, часа 4 выйдет перебрать все варианты цифробуквенных от 1 символа. А вот топовые ATI молотят уже 3.6 МИЛЛИАРДА/b> md5 в секунду! В 6 раз быстрее. Проверял у друга. Делайте выводы.
P.S. Использовался HashCat.
P.S. Использовался HashCat.
0
И опять пол миллиона паролей. У хакеров видимо лимит :)
+11
Наконец вспомню, какой пароль был у меня на yahoo.
+29
Нашел свой аккаунт в списке, заодно вспомнил пароль от yahoo :)
+6
Жесть, у них пароли не только от yahoo, но и от gmail (как я понимаю те кто используют одинаковые пароли под угрозой)
0
Хм… а че-то не подходит ничего
+3
вернул свой старый аккаунт на яху, круто
+2
Если такие огромные компании не хешируют пароли, капец!
+10
gmail.com, aim.com, umn.edu, charter.net, comcast.net, pemtel.net, gmx.de и другие. Помимо личных данных — данные различных предприятий. Как такое могло попасть в паблик, и что теперь будет ребятам с D33D?
0
Одних admin@*.* — 666 штук.
+5
А кто сказал, что пароли хранились в открытом виде? Я не вижу в базе очень сложных паролей типа 20-значных случайных наборов. Возможно, то что есть в файле это то, что удалось расшифровать?
Кстати в базе есть заголовок «user_id: user_name: clear_passwd: passwd» в то время как 4-я колонка отсутствует, возможно там были хеши до расшифровки.
Кстати в базе есть заголовок «user_id: user_name: clear_passwd: passwd» в то время как 4-я колонка отсутствует, возможно там были хеши до расшифровки.
+1
Что-то не один логин-пароль не подходит, попробовал штук 10 разных
-1
не нашёл своего логина/пароля от яху, весьма негодую по этому поводу
+4
ТОП-30
123456 — 1667
password — 780
welcome — 437
ninja — 333
abc123 — 250
123456789 — 222
12345678 — 208
sunshine — 205
princess — 202
qwerty — 172
writer — 164
monkey — 162
freedom — 161
111111 — 160
michael — 160
iloveyou — 140
password1 — 139
shadow — 134
baseball — 133
tigger — 132
1a1a1a1b — 131
success — 126
blackhatworld — 121
jordan — 111
whatever — 110
michelle — 109
dragon — 107
1234567 — 106
superman — 106
123456 — 1667
password — 780
welcome — 437
ninja — 333
abc123 — 250
123456789 — 222
12345678 — 208
sunshine — 205
princess — 202
qwerty — 172
writer — 164
monkey — 162
freedom — 161
111111 — 160
michael — 160
iloveyou — 140
password1 — 139
shadow — 134
baseball — 133
tigger — 132
1a1a1a1b — 131
success — 126
blackhatworld — 121
jordan — 111
whatever — 110
michelle — 109
dragon — 107
1234567 — 106
superman — 106
+4
Самое печальное, что это логин-пароль подходят не только для взломанного Yahoo сервиса, а и к собственно почте.
Взял три попавшихся случайных акка — два из них подошли и к почте
Взял три попавшихся случайных акка — два из них подошли и к почте
0
В том-то и соль… мой комментарий к аналогичному случаю недавно, очень кстати:
habrahabr.ru/post/147593/
У сервиса Formspring “увели” 420 тысяч паролей
пользователей:
Пароли, которые у многих одни на все сайты, сам сайт не нужен.
пользователей:
Пароли, которые у многих одни на все сайты, сам сайт не нужен.
0
Ну что за невезуха, уже который большой взлом, а в списке нет моего логина или почты.
Закрадываются подозрения, что это все фейковые аккаунты, созданные самими хакерами.
Закрадываются подозрения, что это все фейковые аккаунты, созданные самими хакерами.
0
2012 год — год отркытых паролей.
п.с. скоро получим и от яндекса, только со вкусом банана.
п.с. скоро получим и от яндекса, только со вкусом банана.
0
Не, ну так же нельзя. Люди выкладывают 17-ти метровые текстовые файлы в Интернет незаархивировав, а потом сами же небойсь удивляются чего программы занимают так много места на диске/в памяти или требуют мощных процессоров :)
Архивом: rghost.net/39169203
Архивом: rghost.net/39169203
+4
Вам не приходило в голову, что это было сделано намеренно и представляет из себя открытый список паролей.
Те кто жалуются — явно не из этой переписки и вряд ли знают именно об этом файле.
Те кто жалуются — явно не из этой переписки и вряд ли знают именно об этом файле.
0
Просто я не привык зря тратить ресурсы любого типа, поэтому предложил архивировать данные, выкладываемые для скачивания, и особенно, если эти данные хорошо сжимаются.
Состояние заархивированости на открытость сильно не повлияет, мало у кого нету архиваторов (я тут использовал bz2, но тот же zip скорее всего могли бы открыть все). И что-то мне подсказывает, что большинство людей будут именно скачивать файл и смотреть в редакторе, а не дожидаться его загрузки в браузере и использовать его встроенный поиск, что бы найти свой email.
В крайнем случае можно было выложить и архивом и просто файл.
Состояние заархивированости на открытость сильно не повлияет, мало у кого нету архиваторов (я тут использовал bz2, но тот же zip скорее всего могли бы открыть все). И что-то мне подсказывает, что большинство людей будут именно скачивать файл и смотреть в редакторе, а не дожидаться его загрузки в браузере и использовать его встроенный поиск, что бы найти свой email.
В крайнем случае можно было выложить и архивом и просто файл.
+1
Если что, выше уже есть и архивом и так — за долго до вашего комментария.
С учетом этого и был дан вам мой ответ.
С учетом этого и был дан вам мой ответ.
0
Моего аккаунта там почему-то нет. Создавал его года 2 назад, чтобы пользоваться шарингом файлов в flickr на телефоне Nokia N900.
Возможно, утекли аккаунты только какой-нибудь ноды.
Возможно, утекли аккаунты только какой-нибудь ноды.
0
Говорят, что взломали VOICE — вы там были зареганы?
+1
Моих два тоже нет.
0
Эхх… Вроде бы компании с большой буквы…
У них что-то вроде
«SELECT * FROM TBL T WHERE T.A = „+$a+ “ AND T.B = „+$b;
вместо
“SELECT * FROM TBL T WHERE T.A =? AND T.B = ?»;
Написано наверняка было? Я, к сожалению, не большой эксперт в SQL Инъекциях…
У них что-то вроде
«SELECT * FROM TBL T WHERE T.A = „+$a+ “ AND T.B = „+$b;
вместо
“SELECT * FROM TBL T WHERE T.A =? AND T.B = ?»;
Написано наверняка было? Я, к сожалению, не большой эксперт в SQL Инъекциях…
0
Получается, что единственная защита от подобных фейлов для конечного пользователя — разные пароли для всех сервисов по какому-нибудь шаблону?
Ещё лучше рандомные, но запоминать их дело весёлое: )
Кстати, интересно, сколько ещё сервисов должны взломать и выложить акки в сеть, чтобы все крупные сервисы начали шифровать пароли с солью?
Ещё лучше рандомные, но запоминать их дело весёлое: )
Кстати, интересно, сколько ещё сервисов должны взломать и выложить акки в сеть, чтобы все крупные сервисы начали шифровать пароли с солью?
0
Апофеозом всего этого безобразия должны стать утекшие пароли от аккаунтов Google.
+1
Как давний (и недовольный) пользователь Yahoo Mail, абсолютно не удивлён. Ублюдочная компания с дерьмовым качеством сервисов.
+1
Я не пользовался и требую пояснений.
+1
Ну, от кошмарного интерфейса ещё никто не умирал. Убогий спамфильтр — ладно, люди ведь даже мейлру пользуются. Постоянно стучащиеся в проклятый неубираемый яхумессенджер спамботы — даже такое можно потерпеть. Но когда меня при отправке письма человеку, с которым я уже неоднократно переписывался, банят на моей собственной почте на час за «спам» (кириллица, видать, насторожила) — это уже непростительно, за такое в приличной компании морду бьют. А попытавшись уйти с этой говнопочты, я обнаружил, что пересылка возможна только за деньги. Так и приходится кактус жрать.
0
У Yahoo есть IMAP4. Перекачайте всю почто на тот же Gmail через IMAP4, отошлите всем адресатам адресной книги новую почту, периодически проверяйте Yahoo почту через Thunderbird/Outlook.
IMAP server: imap-ssl.mail.yahoo.com SSL/993
SMTP server: smtp.mail.yahoo.com SSL/465
user name: your full Yahoo email address (xxxxxxxxxxxxx@yahoo.com)
Крoме этого, в некоторых случаях можно сделать бесплатный форвардинг (или POP3 access, что практически одно и то же — через POP3 можно собирать почту). Вот инструкция (работает далеко не во всех случаях и только со старыми аккаунтами):
dimus.livejournal.com/13689.html
IMAP server: imap-ssl.mail.yahoo.com SSL/993
SMTP server: smtp.mail.yahoo.com SSL/465
user name: your full Yahoo email address (xxxxxxxxxxxxx@yahoo.com)
Крoме этого, в некоторых случаях можно сделать бесплатный форвардинг (или POP3 access, что практически одно и то же — через POP3 можно собирать почту). Вот инструкция (работает далеко не во всех случаях и только со старыми аккаунтами):
dimus.livejournal.com/13689.html
+1
Moжно и так:
Устанавливаешь Ypops: ypopsemail.com/
Получаешь POP3 доступ через email client
Создаешь фильтр: for each incoming message received on xxxxxx@yahoo.com account forward to xxxxxx@gmail.com
Вроде все
Устанавливаешь Ypops: ypopsemail.com/
Получаешь POP3 доступ через email client
Создаешь фильтр: for each incoming message received on xxxxxx@yahoo.com account forward to xxxxxx@gmail.com
Вроде все
+1
Спасибо!
Увы, версии под Mac и Linux давно заброшены.
Увы, версии под Mac и Linux давно заброшены.
0
Сoчувствую. Я в свое время успел воспользоваться дырой в Yahoo и смог определить себе Pop3/Forwarding
Попробой webmail.mozdev.org — webmail плагин для Thinderbird
Попробой webmail.mozdev.org — webmail плагин для Thinderbird
+1
Попробуй в настройках поставить страну Сингапур. Должна появиться возможность бесплатной пересылки почты. Если не прикрыли, конечно
+1
Перевел диаграмку из статьи с анализом по данной теме —
«Что общего между Sony и Yahoo? Пароли!» (на английском).
-1
Приехали. После такого Яху должен совершить харакири.
+1
У меня вопрос. Если будут украдены «соленые» пароли, сама соль и алгоритм ее работы, насколько легко будет получить пароли?
0
Опять же, все зависит от самих паролей (с простыми- просто). В классической криптографии, в асимметричном шифровании, существует постулат, что нахождение зашифрованного параметра- вычислительно легко, а вот обратные преобразования без известных секретных данных- вычислительно сложны. Таким образом, гораздо проще будет атаковать ящик, используя такую уязвимость как коллизии в хэшах, чем вычислять сам пароль.
+1
Любопытно, а возможно ли создать психологический портрет людей на основе данной информации, чтобы составить пароль (хотя бы приблизительно) для другого подобного имени (логина), но на других сайтах…
0
Ох, кому-то отбиваться предстоит…
webmaster@thatsastar.com
admin@crtfox.com
admin@healthyuprising.com
и пр. пр. пр.
webmaster@thatsastar.com
admin@crtfox.com
admin@healthyuprising.com
и пр. пр. пр.
0
Sign up to leave a comment.
В сеть утекли пароли Yahoo