Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 42
Пошел проверять почту.
Я всё равно на всякий случай сменил.
Надо значит пароль иметь такой, чтобы хеш не подобрали, тогда менять не придётся :)
Не факт, иногда бывает достаточно хеша.
Да ещё и с солью.
Значит надо почту с двухфакторной аутентификацией.
Во-первых, неизвестно, какой тип хранения использует сервис, может открытым текстом (вспомните недавний скандал).
Во-вторых, пароли у меня достаточно сложные, но так приятно от мысли, если всё-таки база была утянута, а взломщик долго и муторно брутил хеш… наконец ценой нечеловеческих усилий нашел пароль (или коллизию), попытался залогиниться… и обломался, ибо всё давно было поменяно.
Во-вторых, пароли у меня достаточно сложные, но так приятно от мысли, если всё-таки база была утянута, а взломщик долго и муторно брутил хеш… наконец ценой нечеловеческих усилий нашел пароль (или коллизию), попытался залогиниться… и обломался, ибо всё давно было поменяно.
я тоже и увидел письмо счастья: li.tl/v/PAu
Интересно то, что буквально вчера вечером приходил запрос на сброс пароля от Твиттера.
(не сообщение что зросили, а именно как-будто кто-то нажал кнопку восстановить пароль)
На всякий случай сразу скачал бэкап твитов + включил запрос личной информации на восстановлении пароля.
(не сообщение что зросили, а именно как-будто кто-то нажал кнопку восстановить пароль)
На всякий случай сразу скачал бэкап твитов + включил запрос личной информации на восстановлении пароля.
Надеюсь, основная часть этих аккаунтов — боты нашистов.
Пожалуйста, идите в ж… с вашей политикой из неполитических топиков.
Здесь проблема известная: ботов достаточно много (тысячи, постоянно регистрируются всё новые спам-аккаунты) и неповоротливость техподдержки в подобных вопросах (особенно если ты не представляешь какую-то крупную компанию).
Я нажимаю, когда не лень, не помогает :) Мне интересно видеть актуальные теги, а не зафорсенные #НавальныйПлохой, #АмериканцыЕдятДетей и т.п. бред, поднимаемый еще и на бюджетные деньги, то есть наши налоги.
А есть инфа по поводу сбоя вечером 31 января?
Это не благодаря Flight — новый js-фреймворк от Twitter? Может совпадение.
Открывая на почте ежедневку с названием «Do you know what happened on Twitter today?» ожидал, что всё письмо будет посвящено взлому! :D А там опять только лучшие твиты из фида…
> «На этой неделе мы обнаружили необычные схемы доступа, которые позволили нам обнаружить попытки несанкционированного доступа к данным пользователей Twitter. Мы обнаружили атаку и смогли закрыть её в процессе мгновение спустя»
Если обнаруживать, обнаруживая, то обнаружить.
Если обнаруживать, обнаруживая, то обнаружить.
250k это песчинка
компания автоматически сбросит пароли, и необходимо запросить новые для доступа к сервису
Ну и какого чёрта?
Если у меня надёжный пароль, и мне глубоко пофиг на получение хэшей злоумышленниками (там не MD5, ведь правда?), то с какого перепуга Твиттер заставляет меня выдумывать новый пароль? Голову на отсечение даю, 99% юзеров припишет к старому паролю единичку или вообще вернёт старый пароль, если разрешат. В результате этот сброс не нужен ни гикам (у которых правильные пароли), ни домохозяйкам (которые новый пароль сгенерируют на основе старого).
ну не факт что будут подбирать пароли «с единичками». У меня например другой алгоритм генерации новых паролей (когда сервисы задалбывают поменяй, да поменяй).
Да и юзеры тоже могут разнообразить, к примеру двоечку добавить.
Что касается взлома хэша, так могут и кого=то персонально брутить по хэшу. Откуда твиттеру знать кого будут брутить а кого нет?
Сброс пароля это уже на уровне инстинктов…
Да и юзеры тоже могут разнообразить, к примеру двоечку добавить.
Что касается взлома хэша, так могут и кого=то персонально брутить по хэшу. Откуда твиттеру знать кого будут брутить а кого нет?
Сброс пароля это уже на уровне инстинктов…
Многие ведь используют один пароль везде. Считай, получил доступ к хэшам паролей, значит эти хэши можно подобрать, если они, конечно же, без соли и угнать почту. Вот у меня самая офигенная, на мой взгляд, схема работы с почтой, которая гарантирует, что мой почтовый ящик не угонят) Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
Кстати, кто знает точно, в твиттере хэши с солью или без?
Кстати, кто знает точно, в твиттере хэши с солью или без?
а как насчет разных методов хеширования?
Я везде указываю адрес почтового ящика на своём домене, который только для почты и нужен, который редиректит мне всю почту уже на нормальный ящик. Ну получит он адрес той почты, ну подберёт даже пароль к аккаунту в твиттере, но на этом всё, даже если я использую почти везде один и тот же пароль)
Кстати, кто знает точно, в твиттере хэши с солью или без?
Что-то я недопонял, не могли бы пояснить? Если Вы указываете везде «промежуточный» ящик, и его же используете для входа — то почему у злоумышленника не получится имея ваш пароль (тем или иным способом «восстановленный» из хеша) и адрес почты, на который Вы всегда все регистрируете, заиметь другие ваши аккаунты?
Доступ к известной почте злоумышленник не получит, поскольку там в принципе может и не быть пароля как такового, а все настройки идут из панели хостинга (у меня у самого есть пару таких переадресаций, хоть для других целей), ну а пароль на хостинг люди обычно делают надежнее чем на разных сайтах.
Ну а к той почте которой он пользуется и где пароль может быть и совпадает (что глупо, ведь почта это последний оплот безопасности, у меня лично на главной почте самый крепкий пароль), то тут просто неизвестен логин.
Идея конечно забавная но слабая. Конечный адрес можно узнать хуманинжинирингом, просто напросившись на ответ. А на почте куда приходят пароли обязательно нужно иметь другой пароль.
ПЫСЫ: лично у меня на неважных сайтах идет одинаковый пароль + соль зависимая от собственно сайта. Т.о. в принципе на каждом сайте разные пароли, но даже попав на сайт на котором я и не помню как регистрировался я пароль вспомню.
Ну а к той почте которой он пользуется и где пароль может быть и совпадает (что глупо, ведь почта это последний оплот безопасности, у меня лично на главной почте самый крепкий пароль), то тут просто неизвестен логин.
Идея конечно забавная но слабая. Конечный адрес можно узнать хуманинжинирингом, просто напросившись на ответ. А на почте куда приходят пароли обязательно нужно иметь другой пароль.
ПЫСЫ: лично у меня на неважных сайтах идет одинаковый пароль + соль зависимая от собственно сайта. Т.о. в принципе на каждом сайте разные пароли, но даже попав на сайт на котором я и не помню как регистрировался я пароль вспомню.
А на почте куда приходят пароли обязательно нужно иметь другой пароль.
Ну это понятно, однако зачем злоумышленнику вообще восстановление паролей на почту, если
даже если я использую почти везде один и тот же пароль
? :)
Злоумышленник пароль будет восстанавливать не на почту, а на аккаунт в твиттере, это во-первых. Во-вторых, часто бывает так, что человеку лень запоминать кучу паролей и он использует везде один-два пароля. Если злоумышленник восстановит пароль к твиитер акканту, при условии, что он помимо логинов и хешей получил ещё и мыло, а он его получил, то получить доступ к почте можно вообще легко.
И, наконец, в-третьих, самый банальный, применительно ко мне. Имея доступ к мылу можно угнать аккаунт от стиме. Угнав аккаунт от стима, не знаю как у большинства гиков здесь, но у меня можно купить кучу игр за мой счёт и подарить их другим аккаунтам. Или вообще на всегда потерять доступ к аккаунту в стиме.
Да много чего можно сделать имея доступ к почте. Всё зависит от того чем вы пользуетесь.
И, наконец, в-третьих, самый банальный, применительно ко мне. Имея доступ к мылу можно угнать аккаунт от стиме. Угнав аккаунт от стима, не знаю как у большинства гиков здесь, но у меня можно купить кучу игр за мой счёт и подарить их другим аккаунтам. Или вообще на всегда потерять доступ к аккаунту в стиме.
Да много чего можно сделать имея доступ к почте. Всё зависит от того чем вы пользуетесь.
что он помимо логинов и хешей получил ещё и мыло
Ну вот я о том и говорю, что если он получил дамп с хешами и почтовыми адресами, а Вы используете везде один и тот же пароль, то зачем ему вообще что-то куда-то восстанавливать, если у него уже есть и почта, на которую Вы вероятно регистрировали всё (или адрес вида %название_сервиса%@yourdomain.com), и Ваш восстановленный из хеша пароль?
Является признаком хорошего тона запрашивать подтверждения критичных изменений в биллинге на почту/смс и т.п. К примеру смена кошельков для вывода из партнерок. Я на многие партнерки по несколько месяцев не захожу, а вот прочитать сообщение об изменении кошелька или о неожиданном выводе средств — это обязательно.
Мало ли какие могут быть причины?
Правильная безопасность всегда перестраховочна.
Невозможно предсказать все ситуации… но можно подстелить соломку в каждом узком месте.
Мало ли какие могут быть причины?
Правильная безопасность всегда перестраховочна.
Невозможно предсказать все ситуации… но можно подстелить соломку в каждом узком месте.
Зашел недавно в твитер.
Из под моего аккаунта в декабре бот сделал 260 твитов.
Либо я где-то пароль потерял, что маловероятно, либо это не единственный случай взлома.
Из под моего аккаунта в декабре бот сделал 260 твитов.
Либо я где-то пароль потерял, что маловероятно, либо это не единственный случай взлома.
Я надеюсь, у них только хеши паролей были в базе?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Твиттер взломан. 250k аккаунтов под угрозой