Anime-KPI

Пожалуйста, войдите или зарегистрируйтесь.

Расширенный поиск  

Новости:

Аніме-КПІ: асоціальність як життєве кредо.

Автор Тема: Давно ли Вы меняли свои пароли?  (Прочитано 2201 раз)

0 Пользователей и 1 гость просматривают эту тему.

Tsukiouji

  • Глобальный мудератор
  • ******
  • Карма: +1281/-11
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 2603
    • Просмотр профиля

У меня вот был субботник по смене паролей, к которому привела целая череда событий, среди которых можно выделить, к примеру, участившийся склероз на множество схожих паролей, выходы через открытую вай-фай точку в Врн., две недели работы через кишащий снифферами UMCшный GPRS, и подозрение на троян на рабочей машине сослуживца.
Сменил всё, быстро и решительно. Посему и вопрошаю сабж, а заодно и несколько чисто теоретических вопросов.

Следует ли менять пароли с точки зрения профилактики, а не только из-за возможной утечки? Если да, то как часто?
Достаточно ли изменить пароль на несколько символов? Если бы Вы были фишером и имели пароль, проводили бы семантический его анализ для интеллектуального брута в случае если пароль не подходит?
Записан
    nw: Koyomi-, Hanamonogatari, Gingitsune, Henry & June
  • ng: Kantai Collection, Heroes 3 (Chronicles), Project Cars, Civ TBG (FFG), Arkham Horror

587

  • Модератор
  • *****
  • Карма: +2419/-112
  • Оффлайн Оффлайн
  • Сообщений: 10757
  • All your base are belong to us
    • Мой статус
    • Иконка твиттора
    • Просмотр профиля
    • Old homepage
Давно ли Вы меняли свои пароли?
« Ответ #1 : 19 Июня 2011, 00:18:33 »

Если да, то как часто?

Я обычно раз в год меняю.
На несколько символов — будет достаточно, я думаю.
И лично я бы на месте твоего фишера анализ не проводил бы. Ежели, конечно, не было бы личной заинтересованности конкретно в твоих данных.


P. S. Напомню также про родственную тему: http://anime-kpi.net/bbs/index.php/topic,4643.msg94915.html#msg94915
« Последнее редактирование: 19 Июня 2011, 00:31:18 от Шаннар »
    nw: Babylon 5, Shinsenkai Yori
  • nr: Ротфусс
  • ng: D&D 5, «Цвет Солнца», Go/Baduk
Не согласен — возражай.
Возражаешь — предлагай.
Предлагаешь — делай!

Сергійко

  • Ветеран
  • *****
  • Карма: +460/-17
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 1589
  • дедушка своей внучки
    • FTP
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #2 : 19 Июня 2011, 01:10:58 »

Я обычно раз в год меняю.
Ніколи свого не змінював. Досі ніхто не вкрав

участившийся склероз на множество схожих паролей
Він у мене в 90% випадків один
Записан

Uksus

  • Глобальный мудератор
  • ******
  • Карма: +995/-46
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 2583
  • It's gonna be OK
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #3 : 19 Июня 2011, 01:43:49 »

Не міняю.
А чо Ти хочеш про це поговорити, якщо вже зробив усьо?
Чи на майбутнє? — Так всьо ж суб'єктивно, залежить від ситуації (Ти от, якби не обставини, хіба проводив би САБЖ?)
Записан
"pluralitas non est ponenda sine necessitate". Occam's razor
..и динозааАААааВрррррррррРРРР!!!

Tsukiouji

  • Глобальный мудератор
  • ******
  • Карма: +1281/-11
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 2603
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #4 : 19 Июня 2011, 11:01:32 »

* alchie tcpdump"ом вспоминает пароль на pop3 (:
<wRAR> alchie: было дело ;)
<SL> куль хацкир
* kav както вспомнил пароль на поп3 у пол общаги

Ти от, якби не обставини, хіба проводив би САБЖ?
Не-а. Но вот что-то обстоятельства так слаживаются, что минимум раз в год надо менять какой-то пароль.

Він у мене в 90% випадків один
Ну, хотя бы стоит дефинировать пароли на те, которые можно "вспомнить" tcpdump'ом, и, соответственно, нельзя.
    nw: Koyomi-, Hanamonogatari, Gingitsune, Henry & June
  • ng: Kantai Collection, Heroes 3 (Chronicles), Project Cars, Civ TBG (FFG), Arkham Horror

587

  • Модератор
  • *****
  • Карма: +2419/-112
  • Оффлайн Оффлайн
  • Сообщений: 10757
  • All your base are belong to us
    • Мой статус
    • Иконка твиттора
    • Просмотр профиля
    • Old homepage
Implicit Passwords
« Ответ #5 : 25 Июля 2012, 13:58:44 »

http://www.schneier.com/blog/archives/2012/07/implicit_passwo.html

Нашли способ сделать систему аутентификации, «устойчивую» к терморектальному криптоанализу (via XAR).
Записан
    nw: Babylon 5, Shinsenkai Yori
  • nr: Ротфусс
  • ng: D&D 5, «Цвет Солнца», Go/Baduk
Не согласен — возражай.
Возражаешь — предлагай.
Предлагаешь — делай!

Moritron

  • Ветеран
  • *****
  • Карма: +184/-12
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 515
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #6 : 25 Июля 2012, 14:18:03 »

http://www.schneier.com/blog/archives/2012/07/implicit_passwo.html

Нашли способ сделать систему аутентификации, «устойчивую» к терморектальному криптоанализу (via XAR).
"Это значит что паяльник теперь не вынут." (с) кто-то с хабра
Так что спорный вопрос, кому хуже.
Записан
    nw: densetsu_no_yuusha_no_densetsu
  • ng: on Mac: HoMMV; on iOS: NOVA3, Ilusia; on Win: Redneck Rampage, GT Legends

тень

  • Модератор
  • *****
  • Карма: +312/-3
  • Оффлайн Оффлайн
  • Сообщений: 1108
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #7 : 19 Сентября 2012, 11:50:27 »

Ніколи свого не змінював. Досі ніхто не вкрав
Как-то так же. Причём до неприличия простые бывают. Менять приходилось, когда забывал - в результате у меня уже не хватает почт для регистрации в некоторых сервисах. В итоге пришёл к выводу, что все пароли надо записывать на бумажке или хотя бы в файле, заархивированном под единственным паролем, который стоит действительно крепко держать в голове.

А вообще, если мы говорим о безопасности, то многие сервисы просто не стоят того, чтобы слишком хорошо их защищать. Если кто-то действительно вами заинтересуется - так проще прокосить под дурачка. А так же это поможет свести к минимуму риск спалить/засветить сложные пароли от важных сервисов.
Записан

itsiam

  • Fanzine-team
  • *******
  • Карма: +30/-0
  • Оффлайн Оффлайн
  • Сообщений: 172
    • Просмотр профиля
    • Просто блог
Давно ли Вы меняли свои пароли?
« Ответ #8 : 21 Сентября 2012, 23:05:18 »

через кишащий снифферами UMCшный GPRS

откуда такая инфа? сниффить есть смысл в "плоской" сети, когда весь траффик локальной сети проходит через твою сетевую карту. gprs - пиринговое соединение, точка-точка, между твоим мопедом и оборудованием прова, а дальше идут мтсные маршрутизаторы, которым вряд ли есть дело до чьих-либо пассвордов.
или имеется в виду какой-то иной сниф?

Следует ли менять пароли с точки зрения профилактики, а не только из-за возможной утечки? Если да, то как часто?
Достаточно ли изменить пароль на несколько символов? Если бы Вы были фишером и имели пароль, проводили бы семантический его анализ для интеллектуального брута в случае если пароль не подходит?

зависит от важности данных. лично я давно пришёл к выводу, что:
1) если данные _жизненно_ важны, то вообще нефиг их держать в нете, для работы с ними юзать только свои личные машины, под безопасными (с точки зрения подверженности вирусам) ОС, ни в коем случае не сохранять в системе/прогах пароли и т.д.;
2) если данные важны - можно поменять раз-два в год пароли доступа;
3) если не важны, то и нефиг тратить время на смену пассвордов, поскольку обычно таких данных - абсолютно большинство, и заманаешься везде менять пассы. например, аккаунты на всяких сайтах, форумах, соцсетях etc. их потеря обычно либо не критична, либо вообще не заметна (по крайней мере в моём случае :-). ну и восстановить пассворд в таких случаях не особо проблематично.

можно изменить на несколько символов. один хрен обычно идёт перебор по словарю и модификациях. логи ssh-, ftp-, pop3-серверов красноречиво об этом говорят. :-) тупо в лоб перебирать - это разве что если очень сильно нужно.
к тому же, имхо, опасность исходит не от того, что кто-то подберёт таки твой пассворд (хотя если пасс аля 123, то ссзб), а от того, что вири с пк выгребают сохранённые в системе/прогах пароли. а в таком случае уже не важно, насколько сложный и замысловатый у тебя пасс.

как говорил один великий самурай другому "я бы мог тебя убить здесь и сейчас, но кто ты такой, чтобы я тратил на тебя своё время?" если твои данные реально нужны - то их добудут, способов море, включая социальную инженерию и терморектальный анализ. если же данные не представляют особого интереса, то сам фишер даже не рыпнется что-либо делать. может быть когда-нибудь он разве что допишет немного кода к своему боту.
Записан

587

  • Модератор
  • *****
  • Карма: +2419/-112
  • Оффлайн Оффлайн
  • Сообщений: 10757
  • All your base are belong to us
    • Мой статус
    • Иконка твиттора
    • Просмотр профиля
    • Old homepage
Давно ли Вы меняли свои пароли?
« Ответ #9 : 20 Января 2015, 13:17:06 »

способов море, включая социальную инженерию

Пара наглядных примеров (в каждой шутке есть доля шутки, да):

Записан
    nw: Babylon 5, Shinsenkai Yori
  • nr: Ротфусс
  • ng: D&D 5, «Цвет Солнца», Go/Baduk
Не согласен — возражай.
Возражаешь — предлагай.
Предлагаешь — делай!

587

  • Модератор
  • *****
  • Карма: +2419/-112
  • Оффлайн Оффлайн
  • Сообщений: 10757
  • All your base are belong to us
    • Мой статус
    • Иконка твиттора
    • Просмотр профиля
    • Old homepage
Давно ли Вы меняли свои пароли?
« Ответ #10 : 07 Апреля 2015, 12:43:38 »

Пример того, насколько простая это задача — воровство чужого пароля на почту при определённых условиях:

Цитата
Дано:
— локальная сеть - 192.168.1.0/24
— маршрутизатор - 192.168.1.1
— моя машина - 192.168.1.2
— соседняя по сети машина - 192.168.1.4

1. Запускаем Ettercap на 192.168.1.2
1.1. Настраиваем ARP Poisoning: указываем, что будем перехватывать трафик с 192.168.1.4 на 192.168.1.1
1.2. Делаем Start.
2. Запускаем Wireshark на 192.168.1.2
2.1. Начинаем захват пакетов.
2.2. Дожидаемся интересующего нас пакета: исходящий адрес 192.168.1.4, протокол HTTP, отправка данных формы методом POST.
2.3. Находим в содержимом пакета интересующие нас логин и пароль. Если не нашли (мало ли что методом POST может отправляться), то возвращаемся к п. 2.2

Как видно, в общем случае много ума тут не надо. При этом человек, пароль которого мы хотим украсть, ничего не подозревает.

Вот ещё немного подробностей по теме: http://xgu.ru/wiki/ARP-spoofing

Только не надо воспринимать это как руководство к действию. Хотя бы потому, что в вашей сети может отслеживаться ARP-poisoning, и тогда придётся объясняться, зачем вы запускали сниффер. Не говоря уже об этической стороне дела.

С одной стороны — метод изрядно устарел, с другой — всё ещё остаётся актуальным для публичных беспарольных WiFi-сетей и сайтов без https. Желательно после каждого такого незащищённого контакта менять пароль(и). O0
Записан
    nw: Babylon 5, Shinsenkai Yori
  • nr: Ротфусс
  • ng: D&D 5, «Цвет Солнца», Go/Baduk
Не согласен — возражай.
Возражаешь — предлагай.
Предлагаешь — делай!

Tsukiouji

  • Глобальный мудератор
  • ******
  • Карма: +1281/-11
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 2603
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #11 : 08 Апреля 2015, 10:38:27 »

сайтов без https
anime-kpi.net опасносте!

Кстати-кстати! Если кто желает опробовать этот (или более другой) метод взлома и/или перехвата пароля — велкам, моя домашняя машина работает 24/7. Я даже скажу текущий внешний ip на необходимый момент.
« Последнее редактирование: 08 Апреля 2015, 10:45:52 от Tsukiouji »
Записан
    nw: Koyomi-, Hanamonogatari, Gingitsune, Henry & June
  • ng: Kantai Collection, Heroes 3 (Chronicles), Project Cars, Civ TBG (FFG), Arkham Horror

Сергійко

  • Ветеран
  • *****
  • Карма: +460/-17
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 1589
  • дедушка своей внучки
    • FTP
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #12 : 08 Апреля 2015, 17:13:48 »

Я даже скажу текущий внешний ip на необходимый момент.
Може просто DNS налаштуєш? (DynDNS або щось таке, якщо інтернет-провайдер не надає подібних послуг)
Записан

Moritron

  • Ветеран
  • *****
  • Карма: +184/-12
  • Оффлайн Оффлайн
  • Пол: Мужской
  • Сообщений: 515
    • Просмотр профиля
Давно ли Вы меняли свои пароли?
« Ответ #13 : 14 Апреля 2015, 11:35:24 »

DynDNS не рекомендую кстати. Это мудачьё подняло цены до 30 баксов в год на минимальную подписку, при том что вокруг полно бесплатных сервисов.
Перешел на https://www.noip.com - работает, денег не просит, в роутерах он тоже есть обычно.
Записан
    nw: densetsu_no_yuusha_no_densetsu
  • ng: on Mac: HoMMV; on iOS: NOVA3, Ilusia; on Win: Redneck Rampage, GT Legends

587

  • Модератор
  • *****
  • Карма: +2419/-112
  • Оффлайн Оффлайн
  • Сообщений: 10757
  • All your base are belong to us
    • Мой статус
    • Иконка твиттора
    • Просмотр профиля
    • Old homepage
Давно ли Вы меняли свои пароли?
« Ответ #14 : 24 Декабря 2015, 14:04:22 »

Цитата
Вместо того, чтобы требовать от пользователя ввести пароль, новая система отправляет на его смартфон пуш-уведомление с просьбой подтвердить вход. Для её использования необходимо помнить только адрес своей электронной почты.

Google начал тестирование входа в аккаунт без использования пароля
https://tjournal.ru/p/google-no-password
Записан
    nw: Babylon 5, Shinsenkai Yori
  • nr: Ротфусс
  • ng: D&D 5, «Цвет Солнца», Go/Baduk
Не согласен — возражай.
Возражаешь — предлагай.
Предлагаешь — делай!
 

Страница сгенерирована за 0.532 секунд. Запросов: 61.