Comments
UFO landed and left these words here
Врятли все «люди с такими паролями» — программисты. Наверняка там много обычных пользователей зашедших посмотреть что есть что.
Ну не совсем. На GitHub начали сидеть как ученые, так и писатели. Они через гит книги пишут.
Хорошая реклама. Срочно переходим с md5 на bcrypt (он медленнее шифруется).
Кстати, мне кажется, полезно поставить рандомную паузу с серверной стороны перед ответом о том, что пароль подошёл или нет. Так перебирать придётся дольше.
Эмм, я недопонял, откуда им известны перебираемые пароли, они их что, логируют что ли?
Логируют, наверняка, неудачные попытки аутентификации. Соответственно, увидили всплеск таких попыток, подняли логи и сдедали вывод о брутфорс-атаке.
Все равно это брешь в защите! А что, если я по ошибке/запарке введу пароль от своей почты, а потом эти логи кто-нибудь почитает?
Если Вы параноик, то давно поставили себе 1Password или его аналог и не вводите пароли руками и даже не придумываете их, а генерируете. Брешью в защите это назвать сложно – тут скорее Ваша невнимательность. _Всё_, что Вы отправляете в сеть, навсегда остается здесь. Если не в логах гитхаба, то в логах провайдера или ещё кого-то, помните об этом, нажимая Enter в окне браузера.

И, если по хорошему, Вы представляете себе что такое «почитать логи гитхаба», даже предположив, что у Вас появился чудесным образом доступ к ним?
для случая с поисковиками и поисковой строкой того же github, даже нажатия на enter не потребуется.
Это именно брешь в защите. По сети пароль отправляется в защищённом виде, провайдер его не знает. А наличие в итоге пароля в открытом виде с доступом для чтения кому попало (анализировать его должны же) — огромнейшая уязвимость.

Почитать логи — именно что прекрасно представляю. Руками практически ничего делать не надо — всё анализируется существующими скриптами, в худшем случае — с десяток тысяч строк просмотреть и выбрать наиболее интересное, что уже потом внимательнее изучать.
То есть в логи пишутся непрошедшие пароли?

Миллионы благодарных легальных пользователей, чей длинный сложный пароль отличается лишь числом или символом на конце, очень рады.
UFO landed and left these words here
«От излишней осторожности мы сбросили пароль некоторым пользователям с хорошими паролями, потому что к их учётным записям обращались с IP-адресов, задействованных в инциденте».
UFO landed and left these words here
UFO landed and left these words here
Да, мне тоже пришло письмо, хотя пароль из рандомных больших/маленьких букв и цифр.
Не знал что на гитхабе есть двухфакторная авторизация. Автору спасибо! Сразу включил.
Причем здесь bcrypt и брутфорс?)

В форму вводится пароль, в API тоже есть basic аутентификация. Почему сложность атаки в данном случае зависит от алгоритма хэширования пароля?
В теме написано, что долго работает. Думаю правильней было, после например 3 не удачные попыток авторизироваться, увеличивать timeout ответа либо вообще блокировать на минуту (+ неверное количество входов) аккаунт.
Only those users with full accounts are able to leave comments. Log in, please.