Комментарии 9
для подбора 14% из них (27 млн) мошенникам понадобится не более часа
Простите, а что за сервисы позволяют мошенникам целый час пробовать разные пароли? Мне как добропорядочному пользователю уже на третьей попытке обычно говорят: "что-то не то, пожалуйста, свяжитесь с нами и докажите, что это действительно вы".
Наверное те же сервисы, которые слили эти 193 млн. паролей.
А если серьёзно, то при подборах, запросы идут с разных IP с различными задержками. Это хорошо видно, по логам на vps или домашних nas. Причём, бывает когда пытаются подобрать пароль конкретного пользователя, а бывает просто перебором идут по слитой базе, подставляя разных пользователей.
А вообще, скорее всего рассчёт про "не более часа" подразумевается на локальном взломе. Например, если хакеры получили базу хэшей паролей, а дальше перебором пытаются найти пароль, хэш которого совпадёт с похищеным. А дальше, имея этот пароль, можно пробовать логиниться им во все сервисы подряд, в ожидании, что где-то пользователь использовал одинаковые пароли.
Все так. Я автор статьи. Вот ее полная версия https://securelist.ru/password-brute-force-time/109798/ Просто не все сервисы нормально репостят и ссылок не дают. А так все расписано подробно.
используйте надёжное защитное решение: оно оповестит, если произойдёт утечка, и напомнит о необходимости поменять пароль
вот тут не понял, а что, такое бывает?
Google chrome предупреждает о слитых паролях и предлагает их заменить.
haveibeenpwned и все кто к ним присосались или сделал аналог.
Да бывает, Я уже несколько лет на менеджере паролей от Касперского, у них такое есть. Предупреждают о слабых и скопмроментированных паролях. Кто бы менял их... Держать пароли в гугл аккаунте стрёмно в 2024, не?
«Сложные» пароли тоже утекли в итоге, ведь кроме сложности, нужно ещё уникальность соблюдать и иметь для каждого сервиса индивидуальной пароль.
Как идея использовать нарочно простоватенький уникальный пароль, который точно при утечке базы сбрутфорсится видеокартой. В таком случае будешь знать через кого очередной login:pass утек. Правда, ни один сервис не покажет утекший пароль, тут уж самому выкачивать базы и грепать. Только временная задержка может быть неудовлетворительной. :) Для автоматического уведомления (см выше) все же нужен будет свой домен, чтобы иметь адреса вида name.website@example.com. Ибо name+comment@example.com могут затирать или убогими регулярками вообще упускать из виду (что, в общем-то, тоже приятно).
Это развитие идеи уникальных эл. адресов, чтобы знать, по чьей вине спам пошел.
«Лаборатория Касперского» проверила 193 млн паролей на устойчивость к взлому