Как стать автором
Обновить

Комментарии 28

НЛО прилетело и опубликовало эту надпись здесь
Врятли все «люди с такими паролями» — программисты. Наверняка там много обычных пользователей зашедших посмотреть что есть что.
Ну не совсем. На GitHub начали сидеть как ученые, так и писатели. Они через гит книги пишут.
я думал самым популярным будет — GitHubPassword
Какой у вас email, говорите?
GitHubPassword@gmail.com, пароль не скажу.
ну или 8 звездочек :)
Хорошая реклама. Срочно переходим с md5 на bcrypt (он медленнее шифруется).
Кстати, мне кажется, полезно поставить рандомную паузу с серверной стороны перед ответом о том, что пароль подошёл или нет. Так перебирать придётся дольше.
Эмм, я недопонял, откуда им известны перебираемые пароли, они их что, логируют что ли?
Логируют, наверняка, неудачные попытки аутентификации. Соответственно, увидили всплеск таких попыток, подняли логи и сдедали вывод о брутфорс-атаке.
Все равно это брешь в защите! А что, если я по ошибке/запарке введу пароль от своей почты, а потом эти логи кто-нибудь почитает?
А если там посолённые bcrypt и хранятся они только сутки?
Если Вы параноик, то давно поставили себе 1Password или его аналог и не вводите пароли руками и даже не придумываете их, а генерируете. Брешью в защите это назвать сложно – тут скорее Ваша невнимательность. _Всё_, что Вы отправляете в сеть, навсегда остается здесь. Если не в логах гитхаба, то в логах провайдера или ещё кого-то, помните об этом, нажимая Enter в окне браузера.

И, если по хорошему, Вы представляете себе что такое «почитать логи гитхаба», даже предположив, что у Вас появился чудесным образом доступ к ним?
для случая с поисковиками и поисковой строкой того же github, даже нажатия на enter не потребуется.
Это именно брешь в защите. По сети пароль отправляется в защищённом виде, провайдер его не знает. А наличие в итоге пароля в открытом виде с доступом для чтения кому попало (анализировать его должны же) — огромнейшая уязвимость.

Почитать логи — именно что прекрасно представляю. Руками практически ничего делать не надо — всё анализируется существующими скриптами, в худшем случае — с десяток тысяч строк просмотреть и выбрать наиболее интересное, что уже потом внимательнее изучать.
В логах вестимо.
То есть в логи пишутся непрошедшие пароли?

Миллионы благодарных легальных пользователей, чей длинный сложный пароль отличается лишь числом или символом на конце, очень рады.
НЛО прилетело и опубликовало эту надпись здесь
«От излишней осторожности мы сбросили пароль некоторым пользователям с хорошими паролями, потому что к их учётным записям обращались с IP-адресов, задействованных в инциденте».
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
Да, мне тоже пришло письмо, хотя пароль из рандомных больших/маленьких букв и цифр.
Не знал что на гитхабе есть двухфакторная авторизация. Автору спасибо! Сразу включил.
Причем здесь bcrypt и брутфорс?)

В форму вводится пароль, в API тоже есть basic аутентификация. Почему сложность атаки в данном случае зависит от алгоритма хэширования пароля?
В теме написано, что долго работает. Думаю правильней было, после например 3 не удачные попыток авторизироваться, увеличивать timeout ответа либо вообще блокировать на минуту (+ неверное количество входов) аккаунт.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории