The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub

05.07.2018 11:55

Опубликован отчёт с изложением хронологии событий, связанных с компрометацией GitHub-репозиториев проекта Gentoo, в результате которой удалось поместить в код вредоносные вставки. Злоумышленники подобрали пароль от учётной записи администратора репозитория на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте (администратор использовал похожие пароли на разных сайтах). Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.

После пяти дней блокировки доступа, целостность GitHub-репозиториев в настоящее время полностью восстановлена. Деструктивные изменения находились в GitHub-репозиториях (зеркала основных репозиториев) gentoo/gentoo, gentoo/musl и gentoo/systemd около 10 часов с вечера 28 до утра 29 июня. Первичные репозитории ebuild и основной код, размещённый на собственных серверах Gentoo, не пострадали.

  1. Главная ссылка к новости (https://archives.gentoo.org/ge...)
  2. OpenNews: Взломана инфраструктура проекта Gentoo на GitHub
  3. OpenNews: Equifax подтвердил, что взлом произошёл из-за игнорирования обновления Apache Struts
  4. OpenNews: Критическая уязвимость и массовые взломы хостинг-панели VestaCP
  5. OpenNews: Сообщение о взломе LinuxForums.org и утечке 275 тысяч учётных записей
  6. OpenNews: Взлом аккаунта на Github привёл к модификациии ПО криптовалюты Syscoin
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: gentoo
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (112) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 11:59, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Просто подобрали админский пароль перебором по базе паролей? Скучно. Никакого трагизма. Никакого suspense. Серая обыденность бытия.
     
     
  • 2.3, Аноним (3), 12:01, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >Просто подобрали админский пароль перебором по базе паролей?

    Читайте внимательнее.

     
     
  • 3.90, Илья (??), 06:52, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Мне кажется это всё из-за высоких требований к паролям на разных ресурсах. Тут либо на бумажку записывать, либо действительно один пароль к нескольким ресурсам использовать. Особенно это касается сайтов, на которые редко заходишь.
     
     
  • 4.93, barmaglot (??), 09:40, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А ещё есть KeePass, Seahorse ... Отмазка о требовании на сайтах "сложных паролей", это отмазка идиотов.
     
     
  • 5.110, Аноним (110), 13:30, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если вы используете одно единственное устройство, то вы ещё правы. Но когда у вас дома одна система, на работе другая, в дороге мобильник, а ещё с системы клиента надо зайки на какой сайт, то уже никакие кейпасы. Только что на телефоне открытым текстом хранить список.
     
     
  • 6.112, Почти Аноним (?), 14:18, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно и на телефоне, только не открытым текстом, а зашифрованным. Тогда пароль от этого файла - единственный, который придётся помнить.
     
  • 6.116, modos189 (ok), 13:25, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    KeePassXC на десктопе + Keepass2Android + Syncthing
     
  • 4.95, ox (?), 09:43, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если требования были бы меньше, На всех ресурсах использовались бы разные пароли?
     
  • 2.7, Нанобот (ok), 12:21, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +7 +/
    зато теперь мамкины ИБ-эксперты смогут целую неделю давать Ценные Советы по использованию паролей (и не только на опеннете)
     
  • 2.6, Аноним (6), 12:18, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Не понимаю что движет людьми, ведь достаточно немного модифицировать свой qwerty123 и подставить название сайта в произвольное место чтобы пароль никогда не подобрали. Это ведь не сложно. Например, opennet превращается в oepnent.
     
     
  • 3.10, Аноним (10), 12:31, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +25 +/
    Создать сложный пароль не сложно, сложно его запомнить.
     
     
  • 4.49, freehck (ok), 16:37, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да не такая уж и проблема запомнить пароль вида "evil-dead-pumpkin-under-rainbow".
     
     
  • 5.76, Maxim (??), 22:06, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У этого пароля очень низкая энтропия.
     
     
  • 6.81, ку (?), 23:52, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    KeepassXC показывает 77 бит и говорит что хороший пароль
     
     
  • 7.82, верю (?), 00:55, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а мне мама говорила, что я самый умный и самый красивый
     
  • 7.109, Maxim (??), 13:14, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вы неправильно считаете энтропию Вы уверены, что все буквы случайны А это не т... текст свёрнут, показать
     
     
  • 8.113, psv (??), 20:06, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Глупости какие Откуда бредовые предпосылки что известна длинна пароля, разделит... текст свёрнут, показать
     
     
  • 9.115, Maxim (??), 02:01, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    курите hashcat, не вижу смысла разжевывать ... текст свёрнут, показать
     
  • 6.104, freehck (ok), 17:24, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > У этого пароля очень низкая энтропия.

    https://xkcd.com/936/

     
     
  • 7.118, Andrey Mitrofanov (?), 10:57, 09/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> У этого пароля очень низкая энтропия.
    > https://xkcd.com/936/

    У pumpkin-а выше слова связаны в отличие от correct-horse-а по ссылке.

    Та-а-чта, evil-pumpkin свою энтропию ополовинил.

    --[DISCLMR] Нет, я не Форумный Криптограф-Учёный, 1/2 - прямо с потолка).

     
  • 5.87, Инсайдер (?), 03:23, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Держи лучше:
    put-in-put-out.1999
    man.on.the.Mars-2050
    vmeste.veselo.shagat-1988
     
  • 5.91, Аноним (91), 09:23, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да не проблема, если он один, но в реальности как правило over dofiga сервисов где нужен пароль.
     
  • 5.92, commiethebeastie (ok), 09:37, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Маски
     
  • 5.111, Аноним (110), 13:37, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У вас в пароле нет верхнего регистра и нет чисел. Придумайте более сложный пароль.
    Предугадаю, нет, первую букву нельзя сделать капсом, тоже не пройдёт валидацию. И цифру в конце нельзя. А ещё ваш пароль подпадает под словарь (в нем слово evil есть, и пофигу, что кроме него ещё десяток символов).
    Маразм требования сложных паролей он такой, да. И вот запомнить, каким маразмом страдает какой сайт, чтобы вспомнить принцип формирования пароля для него, и составляет проблему. Потому только записывать пароли и остаётся.
     
  • 4.73, Аноним (73), 20:48, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Один сложный пароль запомнить не сложно, сложно запомнить много разных паролей.
     
  • 4.77, Аноним (77), 22:21, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Сложно его не запомнить. Сложно и долго его вводить каждый раз. А оставлять залогиненым сводит на нет все преимущества пароля.
     
     
  • 5.83, верю (?), 00:55, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Сложно его не запомнить. Сложно и долго его вводить каждый раз. А
    > оставлять залогиненым сводит на нет все преимущества пароля.

    Почему?

     
  • 3.11, КО (?), 12:36, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Читайте внимательно именно на такой модификации пароля админ и погорел.

    Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.

     
     
  • 4.25, КО (?), 13:23, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кстати отседа вывод - пароли надо менять каждые два месяца. :)
     
     
  • 5.26, MadeInRussia (?), 13:33, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Отсюда вывод — двухфакторная авторизация. Потому что заставить большинство людей "нормально" (не qwerty -> qwerty2 -> qwerty3) часто менять пароли — нереалистично. А вот заставить использовать двухфакторную (с токеном+пальцем или SMS), что убьет большую часть атак — реалистично.

    В этой ситуации, например, взломщику пришлось бы дополнительно еще получать доступ к устройству администратора, что уже усложнило бы и удорожило бы взлом.

    В этой ситуации еще помог бы репортинг по неудачным попыткам входа. Их было бы аномально много, а если еще делать анализ схожести неудачных паролей, то можно было бы превентивно без человеческого фактора понять, что пароль подбирают не рандомно, а кружатся вокруг известной базы.

     
     
  • 6.33, Аноним (33), 14:17, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе, заметишь ты что один стал слать чаще?

    > взломщику пришлось бы дополнительно еще получать доступ к устройству администратора

    Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90% всего.

     
     
  • 7.35, КО (?), 14:27, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе

    Ну есть важное и не очень. Нормальный почтовый клиент письма от разных сайтов может раскладывать по разным папкам и если в папке связанной с работой прилетело оповещение, то наверное заметишь.

    Но так то да - фалс алармы они другая сторона палки.

     
  • 7.39, RotarenegeD (?), 15:17, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    анализировать подозрительную активность может написанный на коленке скрипт, не говоря о том что есть куча готовых решений, возможно теперь прикрутят, а может и нет.
     
  • 7.58, MadeInRussia (?), 17:23, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов
    > входе, заметишь ты что один стал слать чаще?

    Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя бы. В идеале — если также в неудачных паролях замечена какая-то общность.

    >> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора
    > Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90%
    > всего.

    Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.

     
     
  • 8.97, Аноним (33), 15:02, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и вот, пытались раз в сутки, стали 100 раз, пришла смс, ну ок, пытаются, снов... текст свёрнут, показать
     
  • 6.34, КО (?), 14:23, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Отсюда вывод — двухфакторная авторизация

    Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот же смарт запросить смену пароля, и получить ее на почту (sms) в том же смарте. А то ведь большинство "двухфакторных" они такие.

     
     
  • 7.60, MadeInRussia (?), 17:34, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>Отсюда вывод — двухфакторная авторизация
    > Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот
    > же смарт запросить смену пароля, и получить ее на почту (sms)
    > в том же смарте. А то ведь большинство "двухфакторных" они такие.

    Ну, это уже вопрос реализации, best practices и пр. Благо, количество сайтов с умеренно чувствительными данными на порядки меньше, чем количество пользователей с такими данными, поэтому учесть на большинстве из них эти моменты — можно.

    А восстановления первого фактора через SMS со вторым фактором в виде SMS — это, конечно, печаль, согласен. Мне здесь больше нравится вариант с locally generated tokens, в идеале — с доп. аутентификацией по PIN-у или отпечатку.

     
  • 6.46, Ivan_83 (ok), 16:29, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Нет второго фактора, пока у тебя канал связи один.
    Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих токенах.
     
     
  • 7.59, MadeInRussia (?), 17:29, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему меня не спасет одноразовый токен, который высылается в SMS или генерится ... текст свёрнут, показать
     
     
  • 8.63, Ivan_83 (ok), 18:31, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не вижу смысла в какой либо защите вообще в 99 случаев ресурсов среди тех где... текст свёрнут, показать
     
     
  • 9.74, MadeInRussia (?), 21:42, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И этот человек может быть подкуплен Или эксплуатирована уязвимость в системе... текст свёрнут, показать
     
     
  • 10.79, Ivan_83 (ok), 23:26, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    1 100к для россии большая сумма В гермашке не так давно кто то заморочился и п... текст свёрнут, показать
     
  • 7.65, Аноним (65), 18:34, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет второго фактора, пока у тебя канал связи один.

    В школе про TOTP не рассказывали?

     
     
  • 8.69, Ivan_83 (ok), 19:55, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В него как попадёт что то, о чём не знает тот кто по средине К ... текст свёрнут, показать
     
     
  • 9.70, Аноним (65), 20:07, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Твою дивизию Иди кури RFC 6238... текст свёрнут, показать
     
  • 9.80, KonstantinB (ok), 23:44, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Принципиальная разница в том, что за отсутствием MITM надо проследить ровно один... текст свёрнут, показать
     
  • 5.40, Аноним (40), 15:46, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    одновременно на всех сайтах на одни и те же
     
  • 5.50, freehck (ok), 16:40, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати отседа вывод - пароли надо менять каждые два месяца. :)

    Отседа вывод -- двухфакторная плюс мониторинг.

     
  • 4.37, имя (?), 14:46, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.

    Как это можно было заметить? Информация об этом вскрылась только после соответствующего запроса в GitHub:

    >  22:14 Gentoo emails GitHub requesting activity logs.
    >  22:47 GitHub responds, assuring Gentoo that the audit is ongoing and logs will be produced soon.
    >  23:47 GitHub formally responds with audit logs and security recommendations (e.g. 2FA)

     
  • 4.84, Аноним (84), 01:46, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если модификация не словарная, это ничем не отличается от брутфорса. 56 возможных знаков, 8 символов, удачи подобрать. Тем более если модификация позиционная, сложность подбора вырастет ещё на порядки. 8 простых мнемонически ассоциированных символов запомнить не трудно.
     
  • 3.16, Никонор Бонифатич (?), 13:00, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Не понимаю что движет людьми, ведь достаточно немного модифицировать
    > администратор использовал похожие пароли

    похожий == модифицированный


    > чтобы пароль никогда не подобрали
    > Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом

    "никогда" кончилось через 3 месяца

     
  • 2.71, Аноним (71), 20:08, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А кому вообще могло прийти в голову подналожить Генту, мелкософт просто так развлекался и купил ГитХаб, чтобы замести следы!
     
     
  • 3.75, Аноним (65), 22:01, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Основатель Gentoo Роббинс работал в MS лет пять. Так что если бы MSу был нужен этот дистриб для фриков они бы в то время еще его под себя положили.
     

  • 1.4, Лапка (?), 12:12, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    >администратор использовал одинаковые пароли на разных сайтах

    Гентушники как и арчеры часто мнят из себя гуру в Linux. Все это ложь.

    Не поливайте грязью в ответ, а скажите - "Ну да, молодецкое хвастовство. Мы исправимся".

     
     
  • 2.12, AnonPlus (?), 12:41, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами. Это не от ОС зависит а от прокладки меж монитором и стулом.
     
     
  • 3.14, Аноним (-), 12:51, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами

    Тут проблема, что чаще всего такое сделать просто не дают. Стоит ограничение на длину и множество символов. Бесит

     
     
  • 4.51, freehck (ok), 16:43, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами
    > Тут проблема, что чаще всего такое сделать просто не дают. Стоит ограничение
    > на длину и множество символов. Бесит

    Да ладно заливать. Ограничение пароля по длине сверху? Не может такого быть. Один же фиг в базе хранятся хэши одинаковой длины.

     
     
  • 5.72, Аноним (72), 20:11, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А не будет такой фигни как в своё время в нетвари, когда разные пароли иной раз имели одинаковый хэш?
     
     
  • 6.98, Аноним (33), 15:16, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А не будет такой фигни как в своё время в нетвари, когда
    > разные пароли иной раз имели одинаковый хэш?

    Конечно будет, у любого хэша есть пары дающие одинаковый результат, а вот вероятность зависит от длины хэша и качества алгоритма, если хэш в 2 байта, можно на бумажке такие пары найти, если 30 байт, то на старенькой майнинговой ферме за недельку найдешь, если 1024 байта хэш, то хозяева вычислительного ресурса раньше спалят по аномальному потреблению электричества.

     
  • 3.20, Ivan_83 (ok), 13:11, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А смысл!?
    Всё что не связано с зарабатыванием денег или их потенциальной потерей не стоит усилий.

    Какая ценность пароля от тут? От швабра? От 100500 других форумов и социалок?
    Да ничего они не стоят.
    И дудль акк тоже ничего не стоит, и всякие реги от торрент трекеров и тп.

    Чего то стоит акк в сбере онлайн, и доступы на всяких серверах - там хотя бы помайнить можно или траф через них пустить или упереть что то ценное.

     
     
  • 4.29, Аноним (29), 13:51, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >А смысл!?
    >Всё что не связано с зарабатыванием денег или их потенциальной потерей не стоит усилий.
    >Какая ценность пароля от тут? От швабра? От 100500 других форумов и социалок?
    >Да ничего они не стоят.

    Хакер может пошалить с вами и написать от вашего имени такие слова на форумах и соц. сетях, что они будут подпадать под статьи уголовного кодекса.

     
     
  • 5.42, Ivan_83 (ok), 15:59, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там всё равно по IP пробивают, нервы потрепать только могут.
     
     
  • 6.99, Аноним (33), 15:21, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Там всё равно по IP пробивают, нервы потрепать только могут.

    А вот забавно, если найдут на компе vpn, а пост из уругвуя, доказывай потом что не ты сидел через уругвай, хотя ssh умеет же туннели, и на каждом 2м роутере есть, хорошо что менты не в курсе.

     
  • 4.36, нах (?), 14:37, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Чего то стоит акк в сбере онлайн

    не, ничего не стоит. Угоняется на раз-два, если есть доступ к источнику поддельных sim-карт.
    И у правильных ребят он - есть.

     
     
  • 5.43, Ivan_83 (ok), 16:00, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там хотя бы есть для чего пароль придумывать, какие то деньги, а вот сюда нафик пароль упал?
     
     
  • 6.48, нах (?), 16:29, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    думаешь, мои враги украв мой пароль, оплатят за меня те сто тыщ, которые я торчу сберу? ;-)
    ("какие-то деньги", ага, вот такие)
    А учитывая как оно там все устроено - нелепо хранить там что-то, кроме долгов.
    Пока мабила не подделана - в целом, хоть 1234. А когда подменят - не поможет. Учитывая, что они аутсорсят кому попало что попало (включая обзвон клиентов) - телефоны+как минимум имена уже сто раз украдены.
    А сюда - так ведь и логин нафиг не упал.

     
     
  • 7.54, freehck (ok), 16:46, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Пока мабила не подделана - в целом, хоть 1234. А когда подменят
    > - не поможет. Учитывая, что они аутсорсят кому попало что попало
    > (включая обзвон клиентов) - телефоны+как минимум имена уже сто раз украдены.

    Кстати, спасибо за инфу.

     
  • 7.100, Аноним (33), 15:29, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А учитывая как оно там все устроено - нелепо хранить там что-то,
    > кроме долгов.

    А что мешает ваш долг увеличить? Опсосам абсолютно все равно знали вы про роуминг и платность звонков или нет, есть договор, есть сертифицированный биллинг, скажут что за смс 50 тысяч, значит 50, долги тоже аутсорс выбивает.

     
  • 3.27, ryoken (ok), 13:45, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный пароль
    > с буквами разного регистра, цифрами и спецсимволами.

    Чем генерируете? В венде ж нет /dev/urandom, чтоб из него дёргать простым способом?

     
     
  • 4.30, iPony (?), 13:55, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну на плюсах просто. Приложений много же
    https://docs.microsoft.com/ru-ru/windows/desktop/SecCNG/using-the-cryptography
     
     
  • 5.44, Ivan_83 (ok), 16:02, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это чистый си.
    И для рандома есть CryptoAPI, хз насколько он предсказуемые результаты отдаёт.
     
  • 4.32, Аноним (32), 14:13, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг?
     
     
  • 5.47, ryoken (ok), 16:29, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг?

    Обычно клава лежит одинаково, её ещё и вертеть надо, чтоб улучшить рандомность :). По некоторым своим попыткам пароль сочинить замечал, что часто повторяются значки из второго, например, ряда педалей.

     
  • 4.45, Ivan_83 (ok), 16:04, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На самом деле просто делается.
    Берётся секретный пароль, он скармливается в HMAC, туда же уходит логин и домен в одном регистре, на выходе получаем 128-512 бит пароль в зависимости от выбранного хэш алгоритма.
    Пароли к разным ресурсам получаются хоть и связанными но эту связь обратно не провернуть.
     

  • 1.8, fi (ok), 12:22, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    хорошая вещь keepassx2 - пароли превращаются в длинные бессмысленные токены.
     
     
  • 2.19, Аноним (-), 13:10, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот только щас использовать надо KeePassXC.
     
     
  • 3.41, Аноним (41), 15:49, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В чем отличие от KeePassX?
     
     
  • 4.52, Hgtuugt (?), 16:45, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    cpp
     
  • 2.22, Ivan_83 (ok), 13:13, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Очередная фиговина из серии: храните деньги в сберегательной кассе.
    Очень удобно потом только за ней и следить чтобы все пароли намайнить когда ты троян.
     
     
  • 3.31, Аноним (32), 14:13, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    это лишь один из инструментов, а не панацея. От троянов и бекдоров спасает только бумажный блокнот, уязвимый при наличии физ доступа
     
  • 3.61, Crazy Alex (ok), 18:02, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тут кому что. При общей вменяемости шанс нарваться на троян многократно меньше, чем шанс налететь на брутфорс простого пароля (потому что придумывать 100500 сложных уникальных никакой головы не хватит) или использование утекших данных с одного ресурса на других (если используешь всего несколько, но общих для разных ресурсов). Тем более, когда речь о линуксе - тут трояны как-то не особо водятся.
     
     
  • 4.64, Ivan_83 (ok), 18:34, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну сбрутят простой пароль, да и хер с ним.
    В след раз или регатся там не будет потому что ресурс ненужный или сделает нормальный пароль.
    Не нужно делать из этого трагедию всей жизни.
     

  • 1.13, myhand (ok), 12:42, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Три месяца долбились.  Как хорошо что после компрометации репозиториев и недельного шотдауна - логи кто-то таки заметил.

    Все что вы хотели знать о генте, но боялись спросить...

     
     
  • 2.15, ваноним (?), 12:59, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    в сути не разбирайся — комментарий пиши
     
     
  • 3.108, myhand (ok), 11:24, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Минусуй - не рефлексируй.
     
  • 2.17, ананим.orig (?), 13:08, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте
    > на GitHub ...на стороннем сайте

    ну да... о генте.
    не о вантузе же в самом деле.

     
     
  • 3.106, myhand (ok), 11:21, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну да... о генте.

    GitHub-репозиториев проекта Gentoo
    проекта Gentoo
    проекта Gentoo
    проекта Gentoo

     
  • 2.23, pull request (?), 13:19, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну долбились то в гитхуб. Как гентушники могли это заметить?
    Тут скорее "все что вы хотели знать о хостинге инфраструктуры в облаке, но боялись об этом спросить".
     
     
  • 3.56, Аноним (56), 17:00, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, а администратор с паршивым паролем не виноват. Это всё злобный гитхаб и M$.
     
     
  • 4.103, pull request (?), 16:21, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Администратор тоже виноват, конечно.
     
  • 3.107, myhand (ok), 11:23, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну долбились то в гитхуб. Как гентушники могли это заметить?

    Логи, де^Wальтернативно одаренный!  Логи!  Они на гитхабе доступны даже гентушникам, прикинь.

     

  • 1.18, Григорий Правдивый (?), 13:08, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > администратор использовал похожие пароли на разных сайтах

    Уволить животное.

    > Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.

    С взысканием зарплаты за последние 3 месяца.

     
     
  • 2.62, Анонимный (?), 18:14, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может засланный казачок? Если такие проблемы с бдительностью, что его 3 месяца лапошили как падавана админа.
     

  • 1.24, Аноним (24), 13:20, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что подменили нет инфы?
     
     
  • 2.28, Аноним (28), 13:45, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    rm -rf /* добавили в репозитории gentoo/gentoo (e6db0eb4, afcdc03b, 49464b73, fdd8da2e), gentoo/musl (e6db0eb4) и  gentoo/ systemd  (c46d8bbf, 50e3544d).
     
     
  • 3.38, Аноним (38), 15:10, 05/07/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > gentoo/ systemd

    А ведь это был последний шанс.

     

  • 1.67, Аноним (67), 18:53, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что значит похожие? они что в открытом виде хранились?
    Может быть одинаковые?
     
  • 1.68, Аноним (68), 19:06, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так руководителя-то разжаловали за некомпетентность?
     
     
  • 2.88, Аноним (88), 04:23, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Наделлу? Конечно, лишили 7и клюшек для гольфа из 10и
     
     
  • 3.94, Аноним (68), 09:41, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Руководителя организации Gentoo, который не слышал ни о нормальных паролях, ни о 2FA.
     

  • 1.78, Аноним (78), 23:00, 05/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Там защита от преребора есть вообще?
     
  • 1.85, ptr (??), 02:04, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А про fail2ban они не слышали?
     
     
  • 2.96, anonymous (??), 11:26, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Там вполне могли пробовать по 2-3 пароля в сутки. Схема формирования, видимо, была в целом понятна, оставалось подобрать детали.
     
     
  • 3.105, ptr (??), 05:11, 07/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и что? При правильной настройке, время бана прогрессирует в геометрической прогрессии. У меня в jail объекты с баном на несколько месяцев уже имеются.
     
     
  • 4.119, UzerCruzer (?), 09:28, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И каким образом Вы способны идентифицировать идиота от хакера? Или Вы любому идиоту указываете на дверь?
    А загоны про куки и прочих чёртовых гуки - наивность.
     

  • 1.86, Денис (??), 02:55, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я лично пароли придумываю просто, беру короткое предложение на русском и допускаю в словах ошибки или вставляю цифры в слова, естественно пароль вводится по английски, пример:
    Ма2ма мыла рами.
     
     
  • 2.101, Аноним (33), 15:37, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Я лично пароли придумываю просто, беру короткое предложение на русском и допускаю
    > в словах ошибки или вставляю цифры в слова, естественно пароль вводится
    > по английски, пример:
    > Ма2ма мыла рами.

    Плавали, знаем, потом на планшете такое удовольствие.

     
  • 2.120, UzerCruzer (?), 09:30, 11/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Keep calm and write "ихний"
     

  • 1.89, немезидеЦ (?), 05:51, 06/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лучше в стиле "Фальшивые зеркала" - "40 тысяч АбезЪян в * сунули банан"
     
     
  • 2.102, Аноним (33), 15:38, 06/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучше в стиле "Фальшивые зеркала" - "40 тысяч АбезЪян в * сунули
    > банан"

    Вариаций этих обезьян в словарях уже, наверное, 40 лямов

     

  • 1.114, Аноним (114), 00:55, 08/07/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А ведь до эры компьютеров "пароль" - это была фраза.
    Вот кто из "компьютерных гениев" придумал паролем называть несколько букв?
     
     
  • 2.117, Аноним (117), 18:54, 08/07/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тот же кто 8 букв для имени файла
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру