Comments 105
Комментов нет, а уже линк недоступен от хабрэффекта
Оказывается, «пока гром не грянет-мужик не перекрестится»- не только русская пословица. Сегодня даже технически подкованный школьник знает, что хранение паролей в открытом виде- зло. Не думал, что остались компании, тем более такие крупные, хранящие пароли открыто.
ну рутрекер тоже похоже хранит в открытом, ибо в письме после регистрации присылается пароль)
Прислать пароль после регистрации в незашифрованном виде очень легко. Позвольте на баше изобразить, суть должна быть понятна:
read p
echo «Ваш пароль — $p» | mail -s root@somewhere
echo -n $p | md5sum > somewhile
read p
echo «Ваш пароль — $p» | mail -s root@somewhere
echo -n $p | md5sum > somewhile
1.Вы не правильно понимаете суть этого скрипта
2. md5 хэш математически нельзя привести к исходному паролю
2. md5 хэш математически нельзя привести к исходному паролю
или это на правах шутки? Сначала послать, потом шифровать :-)
я думаю, человек просто хотел сказать, что можно сначала отправить пароль, а потом в зашифрованном виде положить его в базу. рутрекер не отправляет же вам ваш пароль по запросу о забытом пароле.
Послали в открытом виде, в базу записали в зашифрованном. Чего тут не понимать-то )?
>2. md5 хэш математически нельзя привести к исходному паролю
вы не поверите, но это и не нужно, для логина достаточно совпадения md5 введенной строки с md5 из базы
вы не поверите, но это и не нужно, для логина достаточно совпадения md5 введенной строки с md5 из базы
Тем более это доступ как минимум разработчиков к твоему паролю, который, вероятно, используется не только на yahoo.
Я не согласен, что хранение не шифрованного пароля, — зло. Очень юзерфрендли получить свой пароль, когда ты его забыл на мыло. А не выполнять 100500 действий, что б объяснить кто ты, указать новый, который не совпадает с 10 предыдущими. А если у вас увели бд юзеров, то у вас есть куда более важные проблемы:)
Существует принцип разумной достаточности. В сфере информационной безопасности любой специалист пытается его соблюдать, проводя анализ рисков и другие мероприятия, позволяющие спрогнозировать актуальные угрозы и способы их экранирования.
В современных условиях у вас есть 2 выхода, чтобы сохранить свои данные- либо шифровать всё и вся, либо использовать уникальные пароли для каждого ресурса (желательно вообще т.н. одноразовый блокнот).
В случае с гигантской корпорацией, ИМХО, шифрование необходимо.
В современных условиях у вас есть 2 выхода, чтобы сохранить свои данные- либо шифровать всё и вся, либо использовать уникальные пароли для каждого ресурса (желательно вообще т.н. одноразовый блокнот).
В случае с гигантской корпорацией, ИМХО, шифрование необходимо.
Все верно. И безопасность должна эволюционировать вместе с проектом. Для развивающегося проекта не нужны хеши и соли лучше быть более юзер френдли. А когда уже стал жирным проектом никто не мешает перехешировать все пароли. Наглядный пример gmail, когда он только появился прокатывали любые пароли и регистрация была максимально простая. Сейчас гуглакаунт это большче, чем просто логин и пароль от почты, Соответсвено и степень защиты у них возрасла и усложнилась намного.
по ссылке не открывается, вот альтернативная yahoo-disclosure.txt.bz2 http://www.mediafire.com/?769gk65ix183vbd
А вот торрент.
Т.е. если у меня почта на yahoo.com, то беспокоиться пока не о чём? Особенно, если я скачал файлик с базой и не нашёл там своего мыла.
И как быть, если я нашёл там мыла на gmail.com и другие? Я не знаком с сервисами yahoo, скажите, они просто используют почтовый адрес как логин, пароль при этом может быть любым? Стоит ли включать режим параноика сейчас или можно отложить пока?
И как быть, если я нашёл там мыла на gmail.com и другие? Я не знаком с сервисами yahoo, скажите, они просто используют почтовый адрес как логин, пароль при этом может быть любым? Стоит ли включать режим параноика сейчас или можно отложить пока?
Логин может быть любой почтой, пароль произвольный. Режим параноика нужно включать только если вы используете один пароль на разных сайтах.
Хотя для безопасности было бы неплохо указать номер телефона и/или email для восстановления, т. к. гугл при доступе из другой страны будет подозревать тогда во взломе, и спрашивать номер телефона, и тогда логина и пароля будет недостаточно. Ну и совсем безопасно — включить двухфакторную авторизацию.
Хотя для безопасности было бы неплохо указать номер телефона и/или email для восстановления, т. к. гугл при доступе из другой страны будет подозревать тогда во взломе, и спрашивать номер телефона, и тогда логина и пароля будет недостаточно. Ну и совсем безопасно — включить двухфакторную авторизацию.
Жесть, заходишь под чужим аккаунтом, говорит «мы советуем вам поменять пароль», ну прям второй шаг визарда по уводу почтового ящика :) Хотя как иначе делать — не понятно, если сами поменяют — куда слать-то?
А вообще кретины знатные — не захэшировать после волны взломов 2012.
А вообще кретины знатные — не захэшировать после волны взломов 2012.
Да и люди после волны взломов не очень зашевелились- большинство паролей вполне осмысленны, некоторые-комбинации имени и цифр, или даже просто цифры, одним словом-простые. Хотя в данном случае им бы и сильный пароль не помог. Удивительная беспечность корпорации.
Кстати, от нечего делать сделал частотный анализ паролей на предмет вхождения разных популярных слов.
В плане пошлостей как обычно лидирует Sex- 1118 вхождений, за ним следуют F*ck — 768 вхождений, D*ck — 373, и B*tch — 269 вхождений.
Любвеобильные пользователи также использовали пароль, скомбинированный из слов Love -7400 вхождений, Family -710 вхождений и Friend -390 вхождений.
Не мог обойти сферу IT- слово Computer встречается 305 раз, hacker 133 раза, а password -1501,passw0rd -83, p@ssword — 11, p@$$w0rd -6. Слово cat входит в пароли 4362 раза, а dog 2863.
В плане пошлостей как обычно лидирует Sex- 1118 вхождений, за ним следуют F*ck — 768 вхождений, D*ck — 373, и B*tch — 269 вхождений.
Любвеобильные пользователи также использовали пароль, скомбинированный из слов Love -7400 вхождений, Family -710 вхождений и Friend -390 вхождений.
Не мог обойти сферу IT- слово Computer встречается 305 раз, hacker 133 раза, а password -1501,passw0rd -83, p@ssword — 11, p@$$w0rd -6. Слово cat входит в пароли 4362 раза, а dog 2863.
Опять в незашифрованном виде???!!!
Кого берут на работу в такие корпорации?!
Вот придумываешь себе хитрый пароль с символами, числами, чтоб обязательно был не менее 8 знаков, а они хранятся без хеша и соли.
Кого берут на работу в такие корпорации?!
Вот придумываешь себе хитрый пароль с символами, числами, чтоб обязательно был не менее 8 знаков, а они хранятся без хеша и соли.
Видимо систему проектировали в далекие бородатые года, когда хешировать было «не модно». Ну а потом забыли об этом, если работает, зачем трогать?
мм… по-моему, здесь не впороса «модно» быть не должно. это недостаток самой архитектуры (если она вообще в данном случае может быть).
это эквивалентно, если бы клент-банк работал без шифрования.
>Ну а потом забыли об этом, если работает, зачем трогать?
я бы не сказал что это именно тот случай gold code. здесь идет прямо-таки сокрытие дефекта.
это эквивалентно, если бы клент-банк работал без шифрования.
>Ну а потом забыли об этом, если работает, зачем трогать?
я бы не сказал что это именно тот случай gold code. здесь идет прямо-таки сокрытие дефекта.
если работает, зачем трогать?
Вот в этом контексте это плохо. А с другой стороны — «Не лезь в работающий механизм» совсем не плохой совет. Где-то есть грань, но как ее найти?
Задним умом оно понятно, что «надо было», а как понять, что надо будет?
Просто. Всё что несекьюрно надо чинить до того как писать что-либо ещё.
8? Я давно уже ругаюсь на сервисы у которых есть всякие глупые ограничения вида «Аааа… Да вы что, пароля больше 20 символов не бывает!». Выставил в Keepass генерацию 40 символьников.
просто хоть 40, хоть 140 символов, без шифрования — не поможет) обычно 6 символов через брутфорс на gpu можно за 2-е суток подобрать, но вот 8 и более — становится сложно.
Ну если мне без разницы, то почему бы не держать пароли по 40 символов, уникальные для каждого сервиса. Анноит запускать генератор с другими параметрами, просто.
Моя относительно устаревшая GeForce 9800 GTX+ молотит 600 миллионов md5 в секунду, мой старый стандартный 8-значник (перебирались только восьмизначные цифры + буквы) нашёлся за полтора часа (на самом деле меньше, полтора часа был прогноз на все варианты). Ну, часа 4 выйдет перебрать все варианты цифробуквенных от 1 символа. А вот топовые ATI молотят уже 3.6 МИЛЛИАРДА/b> md5 в секунду! В 6 раз быстрее. Проверял у друга. Делайте выводы.
P.S. Использовался HashCat.
P.S. Использовался HashCat.
И опять пол миллиона паролей. У хакеров видимо лимит :)
Наконец вспомню, какой пароль был у меня на yahoo.
Нашел свой аккаунт в списке, заодно вспомнил пароль от yahoo :)
Жесть, у них пароли не только от yahoo, но и от gmail (как я понимаю те кто используют одинаковые пароли под угрозой)
Хм… а че-то не подходит ничего
вернул свой старый аккаунт на яху, круто
Если такие огромные компании не хешируют пароли, капец!
gmail.com, aim.com, umn.edu, charter.net, comcast.net, pemtel.net, gmx.de и другие. Помимо личных данных — данные различных предприятий. Как такое могло попасть в паблик, и что теперь будет ребятам с D33D?
Одних admin@*.* — 666 штук.
А кто сказал, что пароли хранились в открытом виде? Я не вижу в базе очень сложных паролей типа 20-значных случайных наборов. Возможно, то что есть в файле это то, что удалось расшифровать?
Кстати в базе есть заголовок «user_id: user_name: clear_passwd: passwd» в то время как 4-я колонка отсутствует, возможно там были хеши до расшифровки.
Кстати в базе есть заголовок «user_id: user_name: clear_passwd: passwd» в то время как 4-я колонка отсутствует, возможно там были хеши до расшифровки.
Что-то не один логин-пароль не подходит, попробовал штук 10 разных
не нашёл своего логина/пароля от яху, весьма негодую по этому поводу
ТОП-30
123456 — 1667
password — 780
welcome — 437
ninja — 333
abc123 — 250
123456789 — 222
12345678 — 208
sunshine — 205
princess — 202
qwerty — 172
writer — 164
monkey — 162
freedom — 161
111111 — 160
michael — 160
iloveyou — 140
password1 — 139
shadow — 134
baseball — 133
tigger — 132
1a1a1a1b — 131
success — 126
blackhatworld — 121
jordan — 111
whatever — 110
michelle — 109
dragon — 107
1234567 — 106
superman — 106
123456 — 1667
password — 780
welcome — 437
ninja — 333
abc123 — 250
123456789 — 222
12345678 — 208
sunshine — 205
princess — 202
qwerty — 172
writer — 164
monkey — 162
freedom — 161
111111 — 160
michael — 160
iloveyou — 140
password1 — 139
shadow — 134
baseball — 133
tigger — 132
1a1a1a1b — 131
success — 126
blackhatworld — 121
jordan — 111
whatever — 110
michelle — 109
dragon — 107
1234567 — 106
superman — 106
Самое печальное, что это логин-пароль подходят не только для взломанного Yahoo сервиса, а и к собственно почте.
Взял три попавшихся случайных акка — два из них подошли и к почте
Взял три попавшихся случайных акка — два из них подошли и к почте
В том-то и соль… мой комментарий к аналогичному случаю недавно, очень кстати:
habrahabr.ru/post/147593/
У сервиса Formspring “увели” 420 тысяч паролей
пользователей:
Пароли, которые у многих одни на все сайты, сам сайт не нужен.
пользователей:
Пароли, которые у многих одни на все сайты, сам сайт не нужен.
Ну что за невезуха, уже который большой взлом, а в списке нет моего логина или почты.
Закрадываются подозрения, что это все фейковые аккаунты, созданные самими хакерами.
Закрадываются подозрения, что это все фейковые аккаунты, созданные самими хакерами.
2012 год — год отркытых паролей.
п.с. скоро получим и от яндекса, только со вкусом банана.
п.с. скоро получим и от яндекса, только со вкусом банана.
Не, ну так же нельзя. Люди выкладывают 17-ти метровые текстовые файлы в Интернет незаархивировав, а потом сами же небойсь удивляются чего программы занимают так много места на диске/в памяти или требуют мощных процессоров :)
Архивом: rghost.net/39169203
Архивом: rghost.net/39169203
Вам не приходило в голову, что это было сделано намеренно и представляет из себя открытый список паролей.
Те кто жалуются — явно не из этой переписки и вряд ли знают именно об этом файле.
Те кто жалуются — явно не из этой переписки и вряд ли знают именно об этом файле.
Просто я не привык зря тратить ресурсы любого типа, поэтому предложил архивировать данные, выкладываемые для скачивания, и особенно, если эти данные хорошо сжимаются.
Состояние заархивированости на открытость сильно не повлияет, мало у кого нету архиваторов (я тут использовал bz2, но тот же zip скорее всего могли бы открыть все). И что-то мне подсказывает, что большинство людей будут именно скачивать файл и смотреть в редакторе, а не дожидаться его загрузки в браузере и использовать его встроенный поиск, что бы найти свой email.
В крайнем случае можно было выложить и архивом и просто файл.
Состояние заархивированости на открытость сильно не повлияет, мало у кого нету архиваторов (я тут использовал bz2, но тот же zip скорее всего могли бы открыть все). И что-то мне подсказывает, что большинство людей будут именно скачивать файл и смотреть в редакторе, а не дожидаться его загрузки в браузере и использовать его встроенный поиск, что бы найти свой email.
В крайнем случае можно было выложить и архивом и просто файл.
Если что, выше уже есть и архивом и так — за долго до вашего комментария.
С учетом этого и был дан вам мой ответ.
С учетом этого и был дан вам мой ответ.
Моего аккаунта там почему-то нет. Создавал его года 2 назад, чтобы пользоваться шарингом файлов в flickr на телефоне Nokia N900.
Возможно, утекли аккаунты только какой-нибудь ноды.
Возможно, утекли аккаунты только какой-нибудь ноды.
Говорят, что взломали VOICE — вы там были зареганы?
Моих два тоже нет.
Эхх… Вроде бы компании с большой буквы…
У них что-то вроде
«SELECT * FROM TBL T WHERE T.A = „+$a+ “ AND T.B = „+$b;
вместо
“SELECT * FROM TBL T WHERE T.A =? AND T.B = ?»;
Написано наверняка было? Я, к сожалению, не большой эксперт в SQL Инъекциях…
У них что-то вроде
«SELECT * FROM TBL T WHERE T.A = „+$a+ “ AND T.B = „+$b;
вместо
“SELECT * FROM TBL T WHERE T.A =? AND T.B = ?»;
Написано наверняка было? Я, к сожалению, не большой эксперт в SQL Инъекциях…
Получается, что единственная защита от подобных фейлов для конечного пользователя — разные пароли для всех сервисов по какому-нибудь шаблону?
Ещё лучше рандомные, но запоминать их дело весёлое: )
Кстати, интересно, сколько ещё сервисов должны взломать и выложить акки в сеть, чтобы все крупные сервисы начали шифровать пароли с солью?
Ещё лучше рандомные, но запоминать их дело весёлое: )
Кстати, интересно, сколько ещё сервисов должны взломать и выложить акки в сеть, чтобы все крупные сервисы начали шифровать пароли с солью?
Апофеозом всего этого безобразия должны стать утекшие пароли от аккаунтов Google.
Как давний (и недовольный) пользователь Yahoo Mail, абсолютно не удивлён. Ублюдочная компания с дерьмовым качеством сервисов.
Я не пользовался и требую пояснений.
Ну, от кошмарного интерфейса ещё никто не умирал. Убогий спамфильтр — ладно, люди ведь даже мейлру пользуются. Постоянно стучащиеся в проклятый неубираемый яхумессенджер спамботы — даже такое можно потерпеть. Но когда меня при отправке письма человеку, с которым я уже неоднократно переписывался, банят на моей собственной почте на час за «спам» (кириллица, видать, насторожила) — это уже непростительно, за такое в приличной компании морду бьют. А попытавшись уйти с этой говнопочты, я обнаружил, что пересылка возможна только за деньги. Так и приходится кактус жрать.
У Yahoo есть IMAP4. Перекачайте всю почто на тот же Gmail через IMAP4, отошлите всем адресатам адресной книги новую почту, периодически проверяйте Yahoo почту через Thunderbird/Outlook.
IMAP server: imap-ssl.mail.yahoo.com SSL/993
SMTP server: smtp.mail.yahoo.com SSL/465
user name: your full Yahoo email address (xxxxxxxxxxxxx@yahoo.com)
Крoме этого, в некоторых случаях можно сделать бесплатный форвардинг (или POP3 access, что практически одно и то же — через POP3 можно собирать почту). Вот инструкция (работает далеко не во всех случаях и только со старыми аккаунтами):
dimus.livejournal.com/13689.html
IMAP server: imap-ssl.mail.yahoo.com SSL/993
SMTP server: smtp.mail.yahoo.com SSL/465
user name: your full Yahoo email address (xxxxxxxxxxxxx@yahoo.com)
Крoме этого, в некоторых случаях можно сделать бесплатный форвардинг (или POP3 access, что практически одно и то же — через POP3 можно собирать почту). Вот инструкция (работает далеко не во всех случаях и только со старыми аккаунтами):
dimus.livejournal.com/13689.html
Moжно и так:
Устанавливаешь Ypops: ypopsemail.com/
Получаешь POP3 доступ через email client
Создаешь фильтр: for each incoming message received on xxxxxx@yahoo.com account forward to xxxxxx@gmail.com
Вроде все
Устанавливаешь Ypops: ypopsemail.com/
Получаешь POP3 доступ через email client
Создаешь фильтр: for each incoming message received on xxxxxx@yahoo.com account forward to xxxxxx@gmail.com
Вроде все
Спасибо!
Увы, версии под Mac и Linux давно заброшены.
Увы, версии под Mac и Linux давно заброшены.
Сoчувствую. Я в свое время успел воспользоваться дырой в Yahoo и смог определить себе Pop3/Forwarding
Попробой webmail.mozdev.org — webmail плагин для Thinderbird
Попробой webmail.mozdev.org — webmail плагин для Thinderbird
Попробуй в настройках поставить страну Сингапур. Должна появиться возможность бесплатной пересылки почты. Если не прикрыли, конечно
Перевел диаграмку из статьи с анализом по данной теме —
«Что общего между Sony и Yahoo? Пароли!» (на английском).
Приехали. После такого Яху должен совершить харакири.
У меня вопрос. Если будут украдены «соленые» пароли, сама соль и алгоритм ее работы, насколько легко будет получить пароли?
Опять же, все зависит от самих паролей (с простыми- просто). В классической криптографии, в асимметричном шифровании, существует постулат, что нахождение зашифрованного параметра- вычислительно легко, а вот обратные преобразования без известных секретных данных- вычислительно сложны. Таким образом, гораздо проще будет атаковать ящик, используя такую уязвимость как коллизии в хэшах, чем вычислять сам пароль.
Любопытно, а возможно ли создать психологический портрет людей на основе данной информации, чтобы составить пароль (хотя бы приблизительно) для другого подобного имени (логина), но на других сайтах…
Ох, кому-то отбиваться предстоит…
webmaster@thatsastar.com
admin@crtfox.com
admin@healthyuprising.com
и пр. пр. пр.
webmaster@thatsastar.com
admin@crtfox.com
admin@healthyuprising.com
и пр. пр. пр.
Sign up to leave a comment.
В сеть утекли пароли Yahoo