The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Анализ миллиарда учётных записей, полученных в результате различных утечек баз пользователей

30.06.2020 13:49

Опубликована статистика , сформированная на основе анализа коллекции из миллиарда учётных записей, полученных в результате различных утечек баз данных с параметрами аутентификации. Также подготовлены выборки с данными о частоте применения типовых паролей и списки из 1 тыс., 10 тыс., 100 тыс., 1 млн и 10 млн самых популярных паролей, которые могут использоваться для ускорения подбора хэшей паролей.

Некоторые обобщения и находки:

  • Из полученной коллекции в миллиард записей 257 млн были отброшены как повреждённые данные (хаотичные данные в неверном формате) или тестовые учётные записи. После всех фильтраций из миллиарда записей было выделено 169 млн паролей и 293 млн логинов.
  • Самый популярный пароль "123456" встречается около 7 млн раз (0.722% из всех паролей). Далее с заметным отставанием следуют пароли 123456789, password, qwerty, 12345678.
  • Доля тысячи самых популярных паролей составляет 6.607% от всех паролей, доля миллиона самых популярных паролей - 36.28%, а 10 млн - 54%.
  • Средний размер пароля - 9.4822 символов.
  • 12.04% паролей содержат спецсимволы.
  • 28.79% паролей состоят только из букв.
  • 26.16% паролей включают только символы в нижнем регистре.
  • 13.37% паролей состоят только из цифр.
  • 34.41% паролей заканчиваются цифрами, но только 4.522% из всех паролей начинаются с цифры.
  • Уникальными являются только 8.83% паролей, остальные встречаются два и более раза. Средняя длина уникального пароля 9.7965 символов. Только часть из этих паролей представляет хаотичный набор знаков, лишённый смысла, и только 7.082% включают спецсимволы. 20.02% уникальных паролей состоят только из букв и 15.02% только из букв в нижнем регистре при средней длине в 9.36 символов.
  • Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю (10-символов, случайная комбинация цифр, прописных и строчных букв, отсутствие спецсимволов, прописные буквы вначале и конце) и использовались повторно. Частота повторного использования была достаточно низка (некоторые из этих паролей повторяются 10 раз), но всё же выше, чем ожидалось для паролей подобного уровня.


  1. Главная ссылка к новости (https://www.reddit.com/r/netse...)
  2. OpenNews: Выявлена крупнейшая коллекция учётных записей с открытыми паролями
  3. OpenNews: Подбор хэшей паролей основателей Unix
  4. OpenNews: Обновление схемы хеширования паролей yescrypt 1.1.0
  5. OpenNews: 19.4% из 1000 самых популярных контейнеров Docker содержат пустой пароль root
  6. OpenNews: 15% пользователей потребительских интернет-устройств не меняют пароль по умолчанию
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53260-password
Ключевые слова: password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (136) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:51, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > Средний размер пароля

    Надо использовать медиану, а не среднее.

     
     
  • 2.35, arfh (?), 15:08, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В чём разница? Не в самом способе вычисления, а для анализа.
     
     
  • 3.45, Анон Ра (?), 15:58, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +29 +/
    На заводе 10 работников получают зарплату в 10 тыс руб. в мес.
    у них есть 1 начальник, который получает зарплату в 10 млн. 900 тыс. руб в мес.

    По телевизору сообщают, что средняя зарплата на заводе 1 млн рублей.

    (Медианная зарплата 10 тыс. руб.)

     
     
  • 4.75, Аноним (75), 19:50, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –8 +/
    Именно так в Штатах и считают среднюю в $3k. А медианная в несколько раз меньше.
     
     
  • 5.87, mail (?), 20:53, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    если только у нелегалов

    https://www.ssa.gov/OACT/COLA/central.html

     
  • 4.76, Аноним (76), 19:58, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А если три человека из руководства получают зарплату в 10 млн, медиана подрастет? Ну и что даст эта средняя температура по больнице?
     
     
  • 5.88, Sonnar (ok), 20:56, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не пострадает.
     
  • 3.54, Аноним (54), 16:37, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Редкие аномальные выбросы искажают понимание статистики. 100 пользователей установили пароль 5 символов, и всего 2 психа в 9950 символов. В итоге среднестатистический пользователь устанавливает пароль в 200 символов.
     
     
  • 4.67, Аноним (67), 18:50, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Такой длинный пароль невозможно сделать. проверено.
     
     
  • 5.89, Alen (??), 21:03, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +27 +/
    Один из двух спалился :)
     
  • 3.144, psv (??), 00:56, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    точка зрения того "кто платит" и того "кто получат"

    первый может оценить свои затраты от "числа нанятых", а второй "свои личные доходы"

     

  • 1.2, Аноним (2), 13:54, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю (10-символов, случайная комбинация цифр, прописных и строчных букв, отсутствие спецсимволов, прописные буквы вначале и конце) и использовались повторно.

    Это, видимо, низкокачественный ГПСЧ в каком-то менеджере паролей. Пароль вроде как рандомный, но на практике из 1000 паролей будет куча дубликатов.

     
     
  • 2.22, Аноним (2), 14:31, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Впрочем, в этом списке "качественных паролей" хватает и ложнопозитивки, которая не блещет энтропией, и подбирается на раз. Либо содержа год рождения + имя владельца, либо не особо креативные подстроки уровня "QwERty".

    1990PoLiNa
    1990QwERty
    1994SeRgEj
    1995SoLnCe

     
     
  • 3.31, Аноним (31), 14:40, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ох, ты бы знал, сколько людей используют пароль вида ДАТАРОЖДЕНИЯЦИФРАМИ.
     
     
  • 4.40, rshadow (ok), 15:29, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А мне норм. Если интернет заканчивается, всегда можно найти соседа с паролем 1234567 на wifi.
     
     
  • 5.57, сосед (?), 17:01, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    брехня, у меня wifi пароль 12345678
     
     
  • 6.70, rshadow8195 (?), 19:11, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя в пароле может быть только 5 знаков. Последние не вводятся. Можешь не дописывать.
     
  • 3.69, Аноним (67), 18:57, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    1990PoLiNaМоскваУлЦерковнаяД1К11КлючиОтДомаПодКовриковТел7-905-767-5544
     
     
  • 4.137, Атон (?), 17:27, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это Wifi SSID
     
  • 3.84, Аноним (84), 20:32, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хозяйка съемной квартиры где я живу поставила на дверную сигнализацию пароль: номер дома + номер кваритры. Я сказал ей что это не безопасно - поставила год своего рлждения. Что ей говорить теперь?
     
     
  • 4.97, Аноним (67), 22:44, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что одним идиотом стало больше.
     
  • 4.123, Аноним (123), 18:05, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Попытаться спокойно, простыми для понимания выражениями, без повышения голоса и рукоприкладства, объяснить. Как в телевизоре.
     
     
  • 5.132, ovg (ok), 17:27, 02/07/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Даже если спокойно повторить 10 раз, в большинстве случаев не поможет. Проверено.
     

  • 1.3, пох. (?), 13:58, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Самый популярный пароль "123456" встречается около 7 млн
    >  раз (0.722% из всех паролей). Далее с заметным
    > отставанием следуют пароли 123456789, password, qwerty, 12345678.

    хаха, лошье! Мой пароль 12345 - гораздо безопасТнее!

     
     
  • 2.6, A.Stahl (ok), 14:05, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    54321 -- неподбираем в принципе.
     
     
  • 3.13, пох. (?), 14:16, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    блин, а набирать-то его как такой?
    (а, мышью копировать, каждый раз? Ну, тоже вариант...)

     
     
  • 4.19, A.Stahl (ok), 14:30, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Типичный вимер: даже клавишу "5" на клавиатуре найти не может. Для особо забибиканых есть numpad -- там 5 найти даже пьяный выхухоль сможет.


     
     
  • 5.102, НяшМяш (ok), 01:33, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я уже один раз вляпался в "дискуссию" про нумпады, советую и вам осторожнее быть )
     
  • 4.32, Аноним (32), 14:40, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Такой и не запомнишь. А хорошая память -  это самое надёжное. Не в облаках, не на диске, не под ковриком в коридоре, не на бумажке.
     
  • 2.7, iPony129412 (?), 14:07, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    У меня пароли с Emoji 👍
    Это увеличивает 📈 безопасность и секурность 🔐 на порядки
     
     
  • 3.8, Аноним (8), 14:10, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И набрать можно только на своей заранее запрограммированной клавиатуре
     
     
  • 4.14, пох. (?), 14:17, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И набрать можно только на своей заранее запрограммированной клавиатуре

    дык, вот - секьюрна же ж! А ты даже скопипастить не можешь - лично я вот там вижу только два одинаковых квадратика.

     
     
  • 5.38, Аноним (38), 15:20, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В вантуз ымодзей не завезли?
     
  • 5.53, Аноним (53), 16:33, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Копипаст работает даже если ты видишь только квадраты.
     
  • 5.66, PnD (??), 18:03, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ой да ладно:
    Emoji 👍 📈 🔐
    ** кеды. И даже как-то пох из какой таблицы эту хрень вытащили. Но вот кейлоггер вытащит не любой, полагаю.
     
  • 3.71, ФСБ (?), 19:14, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так вот кто такие пароли делает. Пройдёмте.
     
  • 2.23, Аноним (32), 14:32, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Часто необходимо вводить 6 и более знаков.
     
     
  • 3.36, Аноним (36), 15:09, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    у него 28 знаков (либо 46 - но это вряд ли)
     
  • 2.51, stuq1 (ok), 16:22, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У одного моего друга на wifi стоит пароль 12345687
     
     
  • 3.65, aaa (??), 18:01, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ставьте сразу всем друзьям, чего уж!
     
     
  • 4.80, пох. (?), 20:19, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ага, а потом вспоминай - то ли 87, то ли 65, то ли вон как у того нестандартномыслящего вообще 87654321...

     

  • 1.4, m.makhno (ok), 13:59, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ахах захватывающий материал (: особенно понравился таинственный список из 40к паролей с высокой энтропией — автор материала растерян
     
  • 1.5, Аноним (5), 14:05, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +23 +/
    Вывод: что качественные, что не качественные, одинаково утекли!
     
     
  • 2.106, Аноним (106), 04:02, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, но если у тебя везде разные - то ок. А если одинаковый (даже сложный), то лажа
     
  • 2.145, Аноним (-), 09:49, 04/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    всё что вышло за пределы организма (отпечатки, виброакустика, пароли, информация) живёт своей жизнью, добровольное рабство в системе после выбора заимствования моделей поведения.
     

  • 1.9, Аноним (9), 14:11, 30/06/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     ....ответы скрыты (9)

  • 1.17, Шашлык (?), 14:23, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так дайте и я поанализирую, а то я вам не доверяю, может вы плохо проанализировали!
     
     
  • 2.21, Аноним (21), 14:31, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, проанализируй их анализ, а то вдруг!
     
  • 2.81, пох. (?), 20:20, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да вот жадные твари, не поделятся. А то можно было бы не заниматься фигней, а просто выбрать себе пароль покрасивше из уже проверенных.

     

  • 1.20, Аноним (20), 14:30, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ловите мой пароль от unixlinuxpornhub. Он простой. 27,5Santimetrov4MoeiLubimoiSistemi}
     
  • 1.30, Аноним (31), 14:38, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хахах, а что такие короткие? У меня везде пароль qwerty123456, я думаю он не очень популярный и никто не додумается добавить его в словарь.
     
     
  • 2.108, Урри (?), 06:48, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сделано.
     

  • 1.37, тоже Аноним (ok), 15:12, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает миф о "качестве" хаотичного набора знаков.
    В реальности такие пароли "защищают лучше" разве что от подглядывания из-за плеча.
    Как известно, есть три метода взлома - перебор по словарю частых паролей, полный перебор и социнженерия. Опуская очевидные уязвимости паролей по последнему варианту, видим, что никакие спецсимволы реально ни черта не определяют, кроме сложности набора.
    На практике же пароль "pasSword" злоумышленнику немногим легче взломать, чем "pA5$w0Я|)". А главное - на практике и столкнуться с реальным взломом перебором, да там, где это будет сколько-нибудь важно - практически нереально...
    Но при этом каждый убогий сайтик, куда ты зашел один раз и никогда больше не вернешься, капризничает: "не меньше 8 символов! Разный регистр! Спецсимволы!!!".
    Я к Стиму, блин, не могу запомнить пароль, каждый раз, когда его (изредка) запускаю - восстанавливаю по почте, потому что то, что я ему ввожу, ему, видите ли, не нравится. А ту хрень, что ему нравится, мне не впилось держать в голове...
     
     
  • 2.41, rshadow (ok), 15:37, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Полностью согласен. Варианты причем есть же:
    1 oauth
    2 одноразовый вход по письму/смс где это можно
    3 добавить в браузер api который сам сгенерит ключ, будет его хранить и обмениваться с сайтом
     
     
  • 3.46, тоже Аноним (ok), 15:58, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > 2 одноразовый вход по письму/смс где это можно

    Где это нужно - он и так есть. В тех же банках, которые - в частности, поэтому - могут использовать только цифровые пароли и при этом не утонуть во взломах.

    > 3 добавить в браузер api который сам сгенерит ключ, будет его хранить и обмениваться с сайтом

    В ФайрФоксе это все есть. Но хрен оно поможет в вышеупомянутом клиенте Стима. Толстолобики же не только в вебе наводят секьюр-маникюр, но и в своих огороженных.


     
  • 3.73, ФСБ (?), 19:30, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    главное чтобы 1 раз по смс/письму входит только ты.
     
  • 3.136, jrthw (??), 08:54, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    привязка к стороннему сервису-телефону-броузеру  - зло, за которое надо гвозди в голову вбивать.
     
  • 2.44, Аноним (44), 15:53, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает миф о "качестве" хаотичного набора знаков.

    См. #4.43, у меня настоящий аппаратный гсч и мне давно интересно исследовать "качество" хаотичного набора знаков и сравнить с другими источниками. Я готов заняться разработками в свободное время, но один осилю копание этого вопроса (банально, работа съедает меня). Аппаратный гсч уже несколько лет уже ждет исследования. Предлагаю объединиться и исследовать всем кому интересно не "аргументировать" догадками и страхами.

     
     
  • 3.74, ФСБ (?), 19:35, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Выброси его. Случайности не существует. Существует только не знание хаотических физических процессов.
     
     
  • 4.114, Карабьян (?), 12:08, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Выброси его. Случайности не существует. Существует только не знание хаотических физических
    > процессов.

    А как же квантовые эффекты?

     
  • 3.115, Карабьян (?), 12:09, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Все-таки странно, что, занимаясь подобными исследованиями, кто-то поддерживает миф о "качестве"
    > хаотичного набора знаков.
    > См. #4.43, у меня настоящий аппаратный гсч и мне давно интересно исследовать
    > "качество" хаотичного набора знаков и сравнить с другими источниками. Я готов
    > заняться разработками в свободное время, но один осилю копание этого вопроса
    > (банально, работа съедает меня). Аппаратный гсч уже несколько лет уже ждет
    > исследования. Предлагаю объединиться и исследовать всем кому интересно не "аргументировать"
    > догадками и страхами.

    Хи-квадрат не проверяли? Время это все много не займет

     
  • 2.52, мишалипут (?), 16:31, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    1 прежде всего, это защита от брутфорса хешей паролей с уже взломанного сайта ... большой текст свёрнут, показать
     
     
  • 3.86, пох. (?), 20:41, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >А главное - на практике и столкнуться с реальным взломом перебором

    тебе тут какое слово растолковать?

    > На практике - есть компиляция утечек

    именно. На практике у кого-то есть миллиард готовых и даже не хэшей, а именно паролей. Поэтому незачем ничего подбирать, а надо просто спросить у базы "какой пароль у Пупкина Василь Петровича от альфабанковской учетки" - и логин заодно.

     
  • 3.128, Аноним (128), 00:03, 02/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Когда тебе сервер выдает ответ раз, например, в секунду, где твоя невероятная скорость на игровой видеокарте? Не советую употреблять вещества с таких количествах, паренек.
     
  • 3.129, Аноним (129), 02:06, 02/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >На практике - есть компиляция утечек, в которой есть чуть ли не каждый четвертый пользователь рунета (особенно среди айтишников). Говорить "это меня никогда не коснется" как-то, мягко говоря, поздно. Если почта есть в haveibeenpwned.

    Спасибо, отличный сайт! Наконец-то вспомнил давно забытый пароль от почты.

     
  • 2.55, морковка (?), 16:45, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что за детский сад Количество комбинаций сложность перебора мы внезапно не уч... большой текст свёрнут, показать
     
     
  • 3.58, тоже Аноним (ok), 17:03, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Учитываем Но комбинации одинаково легко увеличиваются длиной пароля и спецсимво... большой текст свёрнут, показать
     
  • 2.60, Аноним (60), 17:23, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > хаотичного набора знаков

    Я когда сохраняю изображения из браузера, если сталкиваюсь с одинаковыми именами, то тарабаню лишние цифры на клавиатуре. Не раз замечал, что моя тарабанщина иногда совпадает. Если так создавать пароль из букв, тоже заметно, что некоторые буквы встречаются чаще. Приходится вручную малость уникалить, что-то из редкого дописывать.

     
     
  • 3.116, Карабьян (?), 12:17, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> хаотичного набора знаков
    > Я когда сохраняю изображения из браузера, если сталкиваюсь с одинаковыми именами, то
    > тарабаню лишние цифры на клавиатуре. Не раз замечал, что моя тарабанщина
    > иногда совпадает. Если так создавать пароль из букв, тоже заметно, что
    > некоторые буквы встречаются чаще. Приходится вручную малость уникалить, что-то из редкого
    > дописывать.

    Это какой браузер? Сейчас многие уже научились присваиват порядковые номера

     
     
  • 4.133, Аноним (133), 22:57, 02/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это если автосохранение в папку включено, да и для "Сохранить как" в случае картинок не подходит.
     
  • 2.78, Аноним (78), 20:13, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В случае md5 этот пароль практически невозможно узнать из хэша, не зная реализац... большой текст свёрнут, показать
     
     
  • 3.79, тоже Аноним (ok), 20:18, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не все же используют bluefish, дорогой эксперт =)

    Однако практически все используют соленые хэши, что вынудит вас потратить один-два месяца на КАЖДЫЙ пароль, то есть делает перебор категорически нерентабельным. Что и требовалось.


     
     
  • 4.83, Аноним (78), 20:31, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Соль можно легко утащить, о различиях реализации md5 нужно знать заранее. Все дробилки, которые есть в свободном доступе либо сделаны американцами, которые знают только ascii, либо русскими, которые делали для винды.

    Я даже могу сказать так, что старый сайт на php + соль + кодировка koi8-r + пароль с русскими буквами будет в разы понадежнее от всяких васянов. Даже если американец додумается впихнуть русские буквы в словарь перебора, то он получит кукишь по причине описанной выше.

     
     
  • 5.90, Аноним84701 (ok), 21:31, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Я даже могу сказать так, что старый сайт на php + соль + кодировка koi8-r + пароль с русскими буквами будет в разы

    Все верно -- взять scrypt/yescrypt/PBKDF2 и не маяться <этим самым> было бы слишком скучно :)

    [0] https://www.openwall.com/yescrypt/

     
  • 5.95, тоже Аноним (ok), 22:36, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Соль можно легко утащить, о различиях реализации md5 нужно знать заранее.

    Вообще-то сегодняшняя best practice - это хранить хэш, соль и алгоритм хэширования одной строкой.
    И хрен это помогает взломщику.
    За копролиты на KOI-8 судить не берусь.

     
  • 5.124, Аноним (123), 18:31, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > американцами

    Североамериканцами?

     
  • 2.85, пох. (?), 20:33, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ну пароль к юзеру test мне как-то таки подобрали - причем он был ни разу не test... большой текст свёрнут, показать
     
     
  • 3.96, тоже Аноним (ok), 22:41, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > я был уверен, что ssh на этом хосте недоступен

    Ну, а fail2ban на том хосте, видимо, был недоступен ;)

    > спёрбанк и втб24

    Буквально сегодня простоял час в ВамТутБанке ради операции, которая должна делаться двумя щелчками мыши в кабинете, но, конечно же, "пока не реализована". У меня нет для них хороших слов, но о банках в целом напомню, что их секьюрность держится не на сложности пароля, а на двухфакторной авторизации на каждый чих. Так что - не совсем в тему.

     
     
  • 4.99, пох. (?), 23:09, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    я не пользуюсь говноподелками, которые тебе же и заблокируют доступ А у зомбоне... большой текст свёрнут, показать
     
     
  • 5.100, тоже Аноним (ok), 23:18, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну а теперь и вовсе достаточно подделать сим-карту - что многие ловкие ребята с блеском и проделывают регулярно.)

    Тогда им веб-клиент и ломать незачем. В ВонТомБанке впаривают их клиент для смартфонов так, как будто за каждый окольцованный смарт операционист получает вольную. Подделанная симка, рутованный телефон - и какой там у пользователя был пароль, вообще неважно.

    Правда, как-то уж очень ловко они скрывают, что их ломает каждый мамкин хакер. Подозрительно...

     
     
  • 6.101, пох. (?), 00:02, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    пароль все же нужен Его сбросить у этих двух, как минимум много сложнее чем п... большой текст свёрнут, показать
     
     
  • 7.117, Карабьян (?), 13:54, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Вот про прекрасные истории со сбером я из первых рук знаю, про
    > втб - из вторых.
    > При этом сотрудник, торговавший данными клиентов - уволился за две минуты до
    > этого события, и продать успел только те пять записей, что засветились
    > в СМИ. А остальное - хрен докажете!
    > Кстати, занятно что поддельные симки, похоже, в основном МТС. А там братва
    > во времена оны была без комплексов - то есть если бы
    > им хоть сколько-то было интересно, как эти симки возникают - вряд
    > ли бы на их вопросы
    > похоже, совсем неинтересно.

    Р
    Так пароль можно сбросит зная данные карты и имея доступ к смскам телефона

     
  • 4.138, Атон (?), 17:34, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    fail2ban помогает защитится только от "недалекого умом" админа сервера.
    плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно не ранее чем через 3 часа.

     
     
  • 5.142, тоже Аноним (ok), 20:34, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > fail2ban помогает защитится только от "недалекого умом" админа сервера. плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно не ранее чем через 3 часа.

    Поэтому если у вас сервер, взлом которого окупит работу целого ботнета - вам стоит серьезнее отнестись к безопасности. Но если у вас обычный российский сайт, про который китайские ботнеты даже не знают, городить на нем супер-защиту не больше смысла, чем бронировать почтовый ящик в подъезде.

     
  • 3.125, Павел Отредиез (?), 20:01, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как же так, у ssh нет задержки при переборе?
     
     
  • 4.139, Атон (?), 17:35, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    у ssh задержка при переборе помогает защитится только от "недалекого умом" админа сервера.
    плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно не ранее чем через 3 часа.

     
     
  • 5.141, Павел Отредиез (?), 17:47, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  у ssh задержка при переборе помогает защитится только от "недалекого умом"
    > админа сервера.
    > плохие парни перебирают пароли с 1000000 разных IP адресов, используя ip повторно
    > не ранее чем через 3 часа.

    Я не разделяю по ip. Прекрасно знаю как сканируют, смотрю в реальном времени с расшифровкой по протоколам и dns.

     
  • 2.94, Ordu (ok), 22:18, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, это бесит кошмарно У меня написана утилитка для генерации рандомных паролей... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (35)

  • 1.47, Анан (?), 16:00, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самый лучший пароль: "четыресловавсекапсом" - одним словом строчными буквами.
     
  • 1.56, Аноним (56), 16:50, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>>12345678

    самый популярный логин от WiFi

     
     
  • 2.63, Аноним (32), 17:55, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И многих хакнули? И что им с этого стало?
     
     
  • 3.121, Анонимуз (?), 16:27, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Никому ничего не стало. "Случайно угадал" пароль от вайфая, подключился, проверил мыло и вконтактик и отключился.
     
  • 3.126, Павел Отредиез (?), 20:07, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Меня один раз хакнули. Напарник снял ip  фильтр  с  rdp.
     

  • 1.59, an (??), 17:15, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Полезно иногда проверять свои пароли в базе Троя Ханта. Я там недавно с удивлением обнаружил один из своих "хаотичных" паролей.
    Проще каким-нибудь скриптом, например, https://github.com/edyatl/passchek
    Сразу список можно проверить '$ cat pswlist.txt | passchek -np | grep -nv '^0''
     
     
  • 2.82, тоже Аноним (ok), 20:21, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Полезно иногда проверять свои пароли в базе Троя Ханта

    [quote]
    Через некоторое время Сисадмин воскликнул:
    – Учитель, я подобрал хороший пароль, которого не может быть в словарях.
    Инь Фу Во кивнул.
    – Я ввёл его в Гугле, – продолжал Сисадмин, – и убедился, что в Сети такого сочетания нет.
    – Теперь есть.
    [/quote]

     
     
  • 3.91, an (??), 21:51, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну только там не передается пароль никуда, передаются только первые 5 символов хэша.
    В этом можно легко убедиться посмотрев код скрипта.
     

  • 1.61, user90 (?), 17:28, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Ну такое.. зачем мне знать статистику по обезьянам?)) А пароль обычно pwgen 8, с легкой коррекцией ради лучшей мнемоники.
     
     
  • 2.122, OpenEcho (?), 16:35, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Любая биткоин ферма брутфорснет такой пароль за менее чем минут 10-15, и даже быстрей если "с легкой коррекцией ради лучшей мнемоники"
     
     
  • 3.127, Павел Отредиез (?), 20:27, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да блин, в системах бывают задержки между попытками входа. И пофиг тогда ферма или нет.
     
     
  • 4.134, OpenEcho (?), 03:49, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да блин, в системах бывают задержки между попытками входа. И пофиг тогда
    > ферма или нет.

    Если вы имеете ввиду fail2ban и ему подобные, то это очень хорошая защита, но только с одним условием, - если вы защищаете систему от детворы. Поройтесь в андеграунде, там продаются боты с 10, 20, 50 тысяч зараженных хостов раскиданных по всему миру...
    Поэтому если пароль деpьмo, то имея под рукой бот, можно быстренько получить доступ...
    Если же сперли хэши, то ферма с 8-мю символами справиться очень быстро
    И не забывайте про современные FPGA, если надеетесь на PBKDF2, bcrypt...

     

  • 1.64, Аноним (32), 17:57, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А вообще, тут много хакнутых сидит? Кто испытал на себе проблемы и потери от жесткого взлома?
    Или только для поддержания постоянного разговора?
     
     
  • 2.118, Карабьян (?), 13:57, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А вообще, тут много хакнутых сидит? Кто испытал на себе проблемы и
    > потери от жесткого взлома?
    > Или только для поддержания постоянного разговора?

    Об этом не говорят по разным причина даже анонимно

     

  • 1.68, Онаним (?), 18:50, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Что снова напоминает о том, что на всяком овне использовать пароли с высокой энтропией смысла нет, всё равно сольются.
     
  • 1.72, ФСБ (?), 19:19, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю (10-символов, случайная комбинация цифр, прописных и строчных букв, отсутствие спецсимволов, прописные буквы вначале и конце) и использовались повторно. Частота повторного использования была достаточно низка (некоторые из этих паролей повторяются 10 раз), но всё же выше, чем ожидалось для паролей подобного уровня.

    Спалили многоаккаунтных юзеров

     
  • 1.77, Аноним (78), 20:03, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Зафиксирован набор из качественных паролей с высокой энтропией, которые были похожи по стилю

    Фух. Я уж испугался, что мои пароли расшифровали. На деле выдача pwgen.

     
  • 1.92, Аноним (92), 21:57, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > 13.37% паролей состоят только из цифр.
    > 13.37

    Как мы и предполагали.

     
     
  • 2.146, Fedd (ok), 23:21, 05/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    но только 4.522% из всех паролей начинаются с цифры 😌
     

  • 1.93, Анон им (?), 22:10, 30/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Течку-то заткнули? Или всё подтекает?
     
     
  • 2.98, Аноним (75), 23:00, 30/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сахарный мальчик старается.
     

  • 1.103, Gogi (??), 01:34, 01/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не бывает "слабых паролей" - бывает тухлая система защиты. Если вы вешаете всю сложность по вскрытию на юзера - г0вн0 вы, а не админ! Это не юзер должен запоминать 16 символов, цифр, пунктуаций, иероглифов, а админ должен искать адекватные средства защиты ЕСЛИ там вообще есть что защищать. У меня от банка вообще аппаратный ключ!

    Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - нормальный, ибо ценность представляет околонулевую.

     
     
  • 2.104, пох. (?), 01:46, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так-таак, а что за банк?
    (или ты юрлицо? Так неинтересно.)

    > Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - нормальный

    ну нет, Если от твоего имени произойдет какое-нибудь разжигание, или там супротив обнуления чо ляпнешь - потом хрен отмажешься от товарищмайора.

    К тому же этот пароль как раз и забыть не жаль. Вот пароль от steam - жаль. А steam suxx видите ли - нельзя...

     
     
  • 3.140, Атон (?), 17:44, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    любой каприз за ваши деньги.

    каждый нормальный банк с радостью выдаст клиенту аппаратный ключ, по заявлению клиента, так как во первых операции совершенные с этим ключом вообще не возможно оспорить, во вторых такой ключ ежегодно "обновляется" (продается клиенту с 200% наценкой).

     
     
  • 4.143, пох. (?), 23:48, 03/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ИМЯ, сестра, ИМЯ!
    Назови хоть один "нормальный банк".
    Напоминаю - я не юрлицо и не ИП.

     
     
  • 5.153, Атон (?), 10:02, 12/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    сбер, альфа, БСПб, ПСБ, да в принципе любой из списка банков старше 20 лет. звонишь им по телефону техподдержки и узнаешь детали. разумеется их юристам нужно подписать с тобой доп соглашение.

    сейчас они начинают принимать еще и квалифицированную ЭЦП Госуслуг.

     
     
  • 6.154, пох. (?), 10:03, 17/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > сбер, альфа, БСПб, ПСБ, да в принципе любой из списка банков старше
    > 20 лет. звонишь им по телефону техподдержки и узнаешь детали. разумеется

    ну вот в ВТБ можешь не звонить, хотя старше, да.
    Только пуши и sms. Да, были аппаратные генераторы, причем токеном являлась обычная карта. Год назад о том что они были и где в устаревшей унаследованной еще от "телебанка" системе искать привязки - знал один-единственный офис на весь дефолтсити (и нет, не центральный, там вообще чурки заняты приемом частных лиц), причем новых - не выдают уже пять лет, никак и ни за какие деньги.

    > сейчас они начинают принимать еще и квалифицированную ЭЦП Госуслуг.

    нахнахнах.

     
  • 3.147, Gogi (??), 17:43, 06/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > так-таак, а что за банк?

    Capitec - www.capitec.co.za

    Каждому абоненту выдаётся "тамагоча". При логине и при любых списаниях со счёта, ты должен нажать кнопку. Генерируется 6-циферный код, который ты должен ввести. Поэтому можешь пароль хоть 123 делать - без ключа это не работает.


    >> Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль - нормальный
    > ну нет, Если от твоего имени произойдет какое-нибудь разжигание, или там супротив
    > обнуления чо ляпнешь - потом хрен отмажешься от товарищмайора.

    А я и не собираюсь "отмазываться". Каждое мнение имеет право на высказывание. Иначе никакой "свободы слова" попросту нет.

     
     
  • 4.149, пох. (?), 18:49, 06/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Capitec - www.capitec.co.za

    ффак. Да, прошлый раз мне оттуда прислали сообщение, что срочно-срочно переведут на мой счет полтора миллиарда долларов, только надо на минуточку заглянуть в их офис.

    Не-не-не, нафиг такую уличную магию.

    >> ну нет, Если от твоего имени произойдет какое-нибудь разжигание, или там супротив
    >> обнуления чо ляпнешь - потом хрен отмажешься от товарищмайора.
    > А я и не собираюсь "отмазываться". Каждое мнение имеет право на высказывание.

    да, но немного обидно подсесть за то, что ломанув твой  пароль 12345 написал кто-то другой? Хотя, если твои приятели те самые ребята, которые предлагали получить полтора миллиарда - я понимаю что тебя это вряд ли беспокоит ;-)

     
  • 2.119, Карабьян (?), 13:58, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Не бывает "слабых паролей" - бывает тухлая система защиты. Если вы вешаете
    > всю сложность по вскрытию на юзера - г0вн0 вы, а не
    > админ! Это не юзер должен запоминать 16 символов, цифр, пунктуаций, иероглифов,
    > а админ должен искать адекватные средства защиты ЕСЛИ там вообще есть
    > что защищать. У меня от банка вообще аппаратный ключ!
    > Кроме того, если это tuxliy_forum.ru, то для такого г****вна ЛЮБОЙ пароль -
    > нормальный, ибо ценность представляет околонулевую.

    Вы зарубежом или у вас как пох заметил юрлицо?

     
     
  • 3.148, Gogi (??), 17:43, 06/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы зарубежом или у вас как пох заметил юрлицо?

    ЮАР

     
     
  • 4.150, пох. (?), 18:50, 06/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Вы зарубежом или у вас как пох заметил юрлицо?
    > ЮАР

    да мы и по домену уже догадались, что не Польша

     

  • 1.107, КО (?), 06:35, 01/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Собирать статистику по ботам - такое себе занятие
     
  • 1.109, Аноним (109), 07:40, 01/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Исследование, наверное, проводили "британские учёные", которые и не знают, что есть другие языки, помимо английского. Та четверть данных, что была отброшена как повреждённые данные, может просто была набрана на каком-нибудь национальном языке. А те пароли, что с высокой энтропией - могут оказаться неанглийским словом набранным на английской раскладке клавиатуры.
     
     
  • 2.112, Аноним84701 (ok), 11:15, 01/07/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А те пароли, что с высокой энтропией - могут оказаться неанглийским словом набранным на английской раскладке клавиатуры.

    С чего бы рептилоидам (а у человеков разновиднось "шифра подстановки", т.е. запись "другими символами" как-то не сильно увеличивает энтропию) набирать на английском? o_O


     

  • 1.110, Нанобот (ok), 09:01, 01/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    нашёл безопасный пароль - 1
    нету даже в топ10М
     
  • 1.111, Аноним (-), 10:32, 01/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вскрытие показало, что пациент помер в результате вскрытия.
     
  • 1.130, Аноним (130), 11:36, 02/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Голосуй, не голосуй, всё равно получишь х... прирост данных.
     
  • 1.135, Матцумото (?), 06:59, 03/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > 13.37% паролей состоят только из цифр.
    > только 4.522% из всех паролей начинаются с цифры.

    Шта?

     
  • 1.151, m.makhno (ok), 10:14, 08/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    тест 👋
     
  • 1.152, m.makhno (ok), 10:57, 08/07/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    <p>тест pre</p>
    <pre><code class="json">{ "traceEvents": [] }</code></pre>
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру