forum.opennet.ru

"Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."	+/–
Сообщение от MadeInRussia (?), 05-Июл-18, 17:29
> Нет второго фактора, пока у тебя канал связи один. > Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков > они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих > токенах. Почему меня не спасет одноразовый токен, который высылается в SMS или генерится приложением на моем устройстве при аутентификации, например, по отпечатку или PIN-у? Который я потом через HTTPs-форму ввожу на сайт? Я же не пытаюсь защиту от всего придумать, но двухфакторка срезает большинство атак. Остаются только те, где атакующий ОЧЕНЬ мотивирован или ему ОЧЕНЬ повезло и достались сразу оба ключа,: еще и от одного пользователя, к тому же. Если вы — не параноик, а потенциальный объект такой сложной атаки, то вас очень мало, и вашу проблему дополнительными мерами решить намного проще. Такое малое количество людей можно и пароль сложный на чувствительные даныне ставить научить, например. А в особо чувствительных случаях — и смарткарту выдать. Для защиты большинства ничем не примечательных пользователей будет достаточно того, что я предлагаю.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..., opennews, 05-Июл-18, 11:59 [смотреть все]

Просто подобрали админский пароль перебором по базе паролей Скучно Никакого тр, A.Stahl, 05-Июл-18, 11:59 (1) //
- Читайте внимательнее , Аноним, 05-Июл-18, 12:01 (3) //
  - Мне кажется это всё из-за высоких требований к паролям на разных ресурсах Тут л, Илья, 06-Июл-18, 06:52 (90) //
    - А ещё есть KeePass, Seahorse Отмазка о требовании на сайтах сложных паролей, barmaglot, 06-Июл-18, 09:40 (93)
      - Если вы используете одно единственное устройство, то вы ещё правы Но когда у ва, Аноним, 07-Июл-18, 13:30 (110)
        
        Можно и на телефоне, только не открытым текстом, а зашифрованным Тогда пароль о, Почти Аноним, 07-Июл-18, 14:18 (112)
        KeePassXC на десктопе Keepass2Android Syncthing, modos189, 08-Июл-18, 13:25 (116)
    - Если требования были бы меньше, На всех ресурсах использовались бы разные пароли, ox, 06-Июл-18, 09:43 (95)
- зато теперь мамкины ИБ-эксперты смогут целую неделю давать Ценные Советы по испо, Нанобот, 05-Июл-18, 12:21 (7)
- Не понимаю что движет людьми, ведь достаточно немного модифицировать свой qwerty, Аноним, 05-Июл-18, 12:18 (6) //
  - Создать сложный пароль не сложно, сложно его запомнить , Аноним, 05-Июл-18, 12:31 (10) //
    - Да не такая уж и проблема запомнить пароль вида evil-dead-pumpkin-under-rainbow, freehck, 05-Июл-18, 16:37 (49)
      - У этого пароля очень низкая энтропия , Maxim, 05-Июл-18, 22:06 (76)
        
        KeepassXC показывает 77 бит и говорит что хороший пароль, ку, 05-Июл-18, 23:52 (81)
        
        а мне мама говорила, что я самый умный и самый красивый, верю, 06-Июл-18, 00:55 (82)
        Вы неправильно считаете энтропию Вы уверены, что все буквы случайны А это не та, Maxim, 07-Июл-18, 13:14 (109)
        
        Глупости какие Откуда бредовые предпосылки что известна длинна пароля, разделит, psv, 07-Июл-18, 20:06 (113)
        
        курите hashcat, не вижу смысла разжевывать , Maxim, 08-Июл-18, 02:01 (115)
        
        https xkcd com 936 , freehck, 06-Июл-18, 17:24 (104)
        
        У pumpkin-а выше слова связаны в отличие от correct-horse-а по ссылке Та-а-чта, , Andrey Mitrofanov, 09-Июл-18, 10:57 (118)
      - Держи лучше put-in-put-out 1999man on the Mars-2050vmeste veselo shagat-1988, Инсайдер, 06-Июл-18, 03:23 (87)
      - Да не проблема, если он один, но в реальности как правило over dofiga сервисов г, Аноним, 06-Июл-18, 09:23 (91)
      - Маски, commiethebeastie, 06-Июл-18, 09:37 (92)
      - У вас в пароле нет верхнего регистра и нет чисел Придумайте более сложный парол, Аноним, 07-Июл-18, 13:37 (111)
    - Один сложный пароль запомнить не сложно, сложно запомнить много разных паролей , Аноним, 05-Июл-18, 20:48 (73)
    - Сложно его не запомнить Сложно и долго его вводить каждый раз А оставлять зало, Аноним, 05-Июл-18, 22:21 (77)
      - Почему , верю, 06-Июл-18, 00:55 (83)
  - Читайте внимательно именно на такой модификации пароля админ и погорел Суть в то, КО, 05-Июл-18, 12:36 (11) //
    - Кстати отседа вывод - пароли надо менять каждые два месяца , КО, 05-Июл-18, 13:23 (25)
      - Отсюда вывод 8212 двухфакторная авторизация Потому что заставить большинство, MadeInRussia, 05-Июл-18, 13:33 (26)
        
        А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе, заметишь ты , Аноним, 05-Июл-18, 14:17 (33)
        
        Ну есть важное и не очень Нормальный почтовый клиент письма от разных сайтов мо, КО, 05-Июл-18, 14:27 (35)
        анализировать подозрительную активность может написанный на коленке скрипт, не г, RotarenegeD, 05-Июл-18, 15:17 (39)
        Зачем на каждую попытку слать При аномальном всплеске относительно общего колич, MadeInRussia, 05-Июл-18, 17:23 (58)
        
        Ну и вот, пытались раз в сутки, стали 100 раз, пришла смс, ну ок, пытаются, снов, Аноним, 06-Июл-18, 15:02 (97)
        
        Главное, чтоб она не оказалась однофакторной Ну чтоб нельзя было через тот же с, КО, 05-Июл-18, 14:23 (34)
        
        Ну, это уже вопрос реализации, best practices и пр Благо, количество сайтов с у, MadeInRussia, 05-Июл-18, 17:34 (60)
        
        Нет второго фактора, пока у тебя канал связи один Для секурного входа есть TLS с, Ivan_83, 05-Июл-18, 16:29 (46)
        
        Почему меня не спасет одноразовый токен, который высылается в SMS или генерится , MadeInRussia, 05-Июл-18, 17:29 (59)
        
        Я не вижу смысла в какой либо защите вообще в 99 случаев ресурсов среди тех где, Ivan_83, 05-Июл-18, 18:31 (63)
        
        И этот человек может быть подкуплен Или эксплуатирована уязвимость в системе, MadeInRussia, 05-Июл-18, 21:42 (74)
        
        1 100к для россии большая сумма В гермашке не так давно кто то заморочился и по, Ivan_83, 05-Июл-18, 23:26 (79)
        
        В школе про TOTP не рассказывали , Аноним, 05-Июл-18, 18:34 (65)
        
        В него как попадёт что то, о чём не знает тот кто по средине К , Ivan_83, 05-Июл-18, 19:55 (69)
        
        Твою дивизию Иди кури RFC 6238, Аноним, 05-Июл-18, 20:07 (70)
        Принципиальная разница в том, что за отсутствием MITM надо проследить ровно один, KonstantinB, 05-Июл-18, 23:44 (80)
      - одновременно на всех сайтах на одни и те же, Аноним, 05-Июл-18, 15:46 (40)
      - Отседа вывод -- двухфакторная плюс мониторинг , freehck, 05-Июл-18, 16:40 (50)
    - Как это можно было заметить Информация об этом вскрылась только после соответст, имя, 05-Июл-18, 14:46 (37)
    - Если модификация не словарная, это ничем не отличается от брутфорса 56 возможны, Аноним, 06-Июл-18, 01:46 (84)
  - похожий модифицированный никогда кончилось через 3 месяца, Никонор Бонифатич, 05-Июл-18, 13:00 (16)
- А кому вообще могло прийти в голову подналожить Генту, мелкософт просто так разв, Аноним, 05-Июл-18, 20:08 (71) //
  - Основатель Gentoo Роббинс работал в MS лет пять Так что если бы MSу был нужен э, Аноним, 05-Июл-18, 22:01 (75)
Гентушники как и арчеры часто мнят из себя гуру в Linux Все это ложь Не поливай, Лапка, 05-Июл-18, 12:12 (4) //
- Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный , AnonPlus, 05-Июл-18, 12:41 (12) //
  - Тут проблема, что чаще всего такое сделать просто не дают Стоит ограничение на , Аноним, 05-Июл-18, 12:51 (14) //
    - Да ладно заливать Ограничение пароля по длине сверху Не может такого быть Оди, freehck, 05-Июл-18, 16:43 (51)
      - А не будет такой фигни как в своё время в нетвари, когда разные пароли иной раз , Аноним, 05-Июл-18, 20:11 (72)
        
        Конечно будет, у любого хэша есть пары дающие одинаковый результат, а вот вероят, Аноним, 06-Июл-18, 15:16 (98)
  - А смысл Всё что не связано с зарабатыванием денег или их потенциальной потерей , Ivan_83, 05-Июл-18, 13:11 (20) //
    - Хакер может пошалить с вами и написать от вашего имени такие слова на форумах и , Аноним, 05-Июл-18, 13:51 (29)
      - Там всё равно по IP пробивают, нервы потрепать только могут , Ivan_83, 05-Июл-18, 15:59 (42)
        
        А вот забавно, если найдут на компе vpn, а пост из уругвуя, доказывай потом что , Аноним, 06-Июл-18, 15:21 (99)
    - не, ничего не стоит Угоняется на раз-два, если есть доступ к источнику поддельн, нах, 05-Июл-18, 14:37 (36)
      - Там хотя бы есть для чего пароль придумывать, какие то деньги, а вот сюда нафик , Ivan_83, 05-Июл-18, 16:00 (43)
        
        думаешь, мои враги украв мой пароль, оплатят за меня те сто тыщ, которые я торчу, нах, 05-Июл-18, 16:29 (48)
        
        Кстати, спасибо за инфу , freehck, 05-Июл-18, 16:46 (54)
        А что мешает ваш долг увеличить Опсосам абсолютно все равно знали вы про роумин, Аноним, 06-Июл-18, 15:29 (100)
  - Чем генерируете В венде ж нет dev urandom, чтоб из него дёргать простым способ, ryoken, 05-Июл-18, 13:45 (27) //
    - Ну на плюсах просто Приложений много жеhttps docs microsoft com ru-ru windows, iPony, 05-Июл-18, 13:55 (30)
      - Это чистый си И для рандома есть CryptoAPI, хз насколько он предсказуемые резуль, Ivan_83, 05-Июл-18, 16:02 (44)
    - зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг , Аноним, 05-Июл-18, 14:13 (32)
      - Обычно клава лежит одинаково, её ещё и вертеть надо, чтоб улучшить рандомность , ryoken, 05-Июл-18, 16:29 (47)
    - На самом деле просто делается Берётся секретный пароль, он скармливается в HMAC,, Ivan_83, 05-Июл-18, 16:04 (45)
хорошая вещь keepassx2 - пароли превращаются в длинные бессмысленные токены , fi, 05-Июл-18, 12:22 (8) //
- Вот только щас использовать надо KeePassXC , Аноним, 05-Июл-18, 13:10 (19) //
  - В чем отличие от KeePassX , Аноним, 05-Июл-18, 15:49 (41) //
    - cpp, Hgtuugt, 05-Июл-18, 16:45 (52)
- Очередная фиговина из серии храните деньги в сберегательной кассе Очень удобно , Ivan_83, 05-Июл-18, 13:13 (22) //
  - это лишь один из инструментов, а не панацея От троянов и бекдоров спасает тольк, Аноним, 05-Июл-18, 14:13 (31)
  - Тут кому что При общей вменяемости шанс нарваться на троян многократно меньше, , Crazy Alex, 05-Июл-18, 18:02 (61) //
    - Ну сбрутят простой пароль, да и хер с ним В след раз или регатся там не будет по, Ivan_83, 05-Июл-18, 18:34 (64)
Три месяца долбились Как хорошо что после компрометации репозиториев и недельн, myhand, 05-Июл-18, 12:42 (13) //
- в сути не разбирайся 8212 комментарий пиши, ваноним, 05-Июл-18, 12:59 (15) //
  - Минусуй - не рефлексируй , myhand, 07-Июл-18, 11:24 (108)
- ну да о генте не о вантузе же в самом деле , ананим.orig, 05-Июл-18, 13:08 (17) //
  - GitHub-репозиториев проекта Gentooпроекта Gentooпроекта Gentooпроекта Gentoo, myhand, 07-Июл-18, 11:21 (106)
- Ну долбились то в гитхуб Как гентушники могли это заметить Тут скорее все что , pull request, 05-Июл-18, 13:19 (23) //
  - Ага, а администратор с паршивым паролем не виноват Это всё злобный гитхаб и M , Аноним, 05-Июл-18, 17:00 (56) //
    - Администратор тоже виноват, конечно , pull request, 06-Июл-18, 16:21 (103)
  - Логи, де Wальтернативно одаренный Логи Они на гитхабе доступны даже гентушни, myhand, 07-Июл-18, 11:23 (107)
Уволить животное С взысканием зарплаты за последние 3 месяца , Григорий Правдивый, 05-Июл-18, 13:08 (18) //
- Может засланный казачок Если такие проблемы с бдительностью, что его 3 месяца л, Анонимный, 05-Июл-18, 18:14 (62)
А что подменили нет инфы , Аноним, 05-Июл-18, 13:20 (24) //
- rm -rf добавили в репозитории gentoo gentoo e6db0eb4, afcdc03b, 49464b73, fd, Аноним, 05-Июл-18, 13:45 (28) //
  - А ведь это был последний шанс , Аноним, 05-Июл-18, 15:10 (38)
что значит похожие они что в открытом виде хранились Может быть одинаковые , Аноним, 05-Июл-18, 18:53 (67)
Так руководителя-то разжаловали за некомпетентность , Аноним, 05-Июл-18, 19:06 (68) //
- Наделлу Конечно, лишили 7и клюшек для гольфа из 10и, Аноним, 06-Июл-18, 04:23 (88) //
  - Руководителя организации Gentoo, который не слышал ни о нормальных паролях, ни о, Аноним, 06-Июл-18, 09:41 (94)
Там защита от преребора есть вообще , Аноним, 05-Июл-18, 23:00 (78)
А про fail2ban они не слышали , ptr, 06-Июл-18, 02:04 (85) //
- Там вполне могли пробовать по 2-3 пароля в сутки Схема формирования, видимо, бы, anonymous, 06-Июл-18, 11:26 (96) //
  - Ну и что При правильной настройке, время бана прогрессирует в геометрической пр, ptr, 07-Июл-18, 05:11 (105) //
    - И каким образом Вы способны идентифицировать идиота от хакера Или Вы любому иди, UzerCruzer, 11-Июл-18, 09:28 (119)
Я лично пароли придумываю просто, беру короткое предложение на русском и допуска, Денис, 06-Июл-18, 02:55 (86) //
- Плавали, знаем, потом на планшете такое удовольствие , Аноним, 06-Июл-18, 15:37 (101)
- Keep calm and write ихний , UzerCruzer, 11-Июл-18, 09:30 (120)
Лучше в стиле Фальшивые зеркала - 40 тысяч АбезЪян в сунули банан , немезидеЦ, 06-Июл-18, 05:51 (89) //
- Вариаций этих обезьян в словарях уже, наверное, 40 лямов, Аноним, 06-Июл-18, 15:38 (102)
А ведь до эры компьютеров пароль - это была фраза Вот кто из компьютерных ген, Аноним, 08-Июл-18, 00:55 (114) //
- Тот же кто 8 букв для имени файла, Аноним, 08-Июл-18, 18:54 (117)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру