The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..., opennews (ok), 05-Июл-18, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


1. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +5 +/
Сообщение от A.Stahl (ok), 05-Июл-18, 11:59 
Просто подобрали админский пароль перебором по базе паролей? Скучно. Никакого трагизма. Никакого suspense. Серая обыденность бытия.
Ответить | Правка | Наверх | Cообщить модератору

3. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +7 +/
Сообщение от Аноним (3), 05-Июл-18, 12:01 
>Просто подобрали админский пароль перебором по базе паролей?

Читайте внимательнее.

Ответить | Правка | Наверх | Cообщить модератору

90. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Илья (??), 06-Июл-18, 06:52 
Мне кажется это всё из-за высоких требований к паролям на разных ресурсах. Тут либо на бумажку записывать, либо действительно один пароль к нескольким ресурсам использовать. Особенно это касается сайтов, на которые редко заходишь.
Ответить | Правка | Наверх | Cообщить модератору

93. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от barmaglot (??), 06-Июл-18, 09:40 
А ещё есть KeePass, Seahorse ... Отмазка о требовании на сайтах "сложных паролей", это отмазка идиотов.
Ответить | Правка | Наверх | Cообщить модератору

110. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Аноним (110), 07-Июл-18, 13:30 
Если вы используете одно единственное устройство, то вы ещё правы. Но когда у вас дома одна система, на работе другая, в дороге мобильник, а ещё с системы клиента надо зайки на какой сайт, то уже никакие кейпасы. Только что на телефоне открытым текстом хранить список.
Ответить | Правка | Наверх | Cообщить модератору

112. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Почти Аноним (?), 07-Июл-18, 14:18 
Можно и на телефоне, только не открытым текстом, а зашифрованным. Тогда пароль от этого файла - единственный, который придётся помнить.
Ответить | Правка | Наверх | Cообщить модератору

116. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от modos189 (ok), 08-Июл-18, 13:25 
KeePassXC на десктопе + Keepass2Android + Syncthing
Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

95. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ox (?), 06-Июл-18, 09:43 
Если требования были бы меньше, На всех ресурсах использовались бы разные пароли?
Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

7. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +7 +/
Сообщение от Нанобот (ok), 05-Июл-18, 12:21 
зато теперь мамкины ИБ-эксперты смогут целую неделю давать Ценные Советы по использованию паролей (и не только на опеннете)
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –4 +/
Сообщение от Аноним (6), 05-Июл-18, 12:18 
Не понимаю что движет людьми, ведь достаточно немного модифицировать свой qwerty123 и подставить название сайта в произвольное место чтобы пароль никогда не подобрали. Это ведь не сложно. Например, opennet превращается в oepnent.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +25 +/
Сообщение от Аноним (10), 05-Июл-18, 12:31 
Создать сложный пароль не сложно, сложно его запомнить.
Ответить | Правка | Наверх | Cообщить модератору

49. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от freehckemail (ok), 05-Июл-18, 16:37 
Да не такая уж и проблема запомнить пароль вида "evil-dead-pumpkin-under-rainbow".
Ответить | Правка | Наверх | Cообщить модератору

76. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Maxim (??), 05-Июл-18, 22:06 
У этого пароля очень низкая энтропия.
Ответить | Правка | Наверх | Cообщить модератору

81. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от ку (?), 05-Июл-18, 23:52 
KeepassXC показывает 77 бит и говорит что хороший пароль
Ответить | Правка | Наверх | Cообщить модератору

82. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от верю (?), 06-Июл-18, 00:55 
а мне мама говорила, что я самый умный и самый красивый
Ответить | Правка | Наверх | Cообщить модератору

109. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Maxim (??), 07-Июл-18, 13:14 
> KeepassXC показывает 77 бит и говорит что хороший пароль

Вы неправильно считаете энтропию. Вы уверены, что все буквы случайны.

А это не так. Предположим основной словарь английских слов 20 тыс. (все слова в произведении Шекспира 24 тыс, средний активный словарный запас взрослого носителя английского языка составляет примерно 20 000 слов).
В реальности мы врядли будем использовать для пароля слова типа идиот или перелом.
Так что в реальности намного меньше. Но пусть в среднем это будет 5000.
Тогда энтропия одного символа словаря (английское слово) - 12.28 бит
и вы используете пять таких слов, около 60 бит энтропии.

В предложенном ниже варианте ниже на картинке - вообще 4 слова. Это около 48 бит (+/-) в зависимости от словаря.

В случае оффлайн атаки, ну скажем FDE, можно достичь впечатляющих скоростей перебора.
8x Nvidia GTX 1080 Hashcat Benchmarks: SHA256 23GH/s
48 bit = 281,474,976,710,656 хешей.
12238 секунд
3.5 часа

60 bit = 580 дней

Но это всего лишь одна машина. Берем таких 10 и уже вуаля 58 дней (максимум), в среднем - месяц.

Вас спасают лишь правила тротлинга онлайн сервисов.
Но чисто теоретически можно попробывать через ботнет.
Шансы увеличиваются. А про офлайн даже не стоит и заикаться.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

113. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от psvemail (??), 07-Июл-18, 20:06 
Глупости какие. Откуда бредовые предпосылки что известна длинна пароля, разделители, корректная орфография, регистр и раскладка?
Ответить | Правка | Наверх | Cообщить модератору

115. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Maxim (??), 08-Июл-18, 02:01 
> Глупости какие. Откуда бредовые предпосылки что известна длинна пароля, разделители, корректная
> орфография, регистр и раскладка?

курите hashcat, не вижу смысла разжевывать.

Ответить | Правка | Наверх | Cообщить модератору

104. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от freehckemail (ok), 06-Июл-18, 17:24 
> У этого пароля очень низкая энтропия.

https://xkcd.com/936/

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

118. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Andrey Mitrofanov (?), 09-Июл-18, 10:57 
>> У этого пароля очень низкая энтропия.
> https://xkcd.com/936/

У pumpkin-а выше слова связаны в отличие от correct-horse-а по ссылке.

Та-а-чта, evil-pumpkin свою энтропию ополовинил.

--[DISCLMR] Нет, я не Форумный Криптограф-Учёный, 1/2 - прямо с потолка).

Ответить | Правка | Наверх | Cообщить модератору

87. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Инсайдер (?), 06-Июл-18, 03:23 
Держи лучше:
put-in-put-out.1999
man.on.the.Mars-2050
vmeste.veselo.shagat-1988
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

91. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Аноним (91), 06-Июл-18, 09:23 
Да не проблема, если он один, но в реальности как правило over dofiga сервисов где нужен пароль.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

92. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от commiethebeastie (ok), 06-Июл-18, 09:37 
Маски
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

111. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (110), 07-Июл-18, 13:37 
У вас в пароле нет верхнего регистра и нет чисел. Придумайте более сложный пароль.
Предугадаю, нет, первую букву нельзя сделать капсом, тоже не пройдёт валидацию. И цифру в конце нельзя. А ещё ваш пароль подпадает под словарь (в нем слово evil есть, и пофигу, что кроме него ещё десяток символов).
Маразм требования сложных паролей он такой, да. И вот запомнить, каким маразмом страдает какой сайт, чтобы вспомнить принцип формирования пароля для него, и составляет проблему. Потому только записывать пароли и остаётся.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

73. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +6 +/
Сообщение от Аноним (73), 05-Июл-18, 20:48 
Один сложный пароль запомнить не сложно, сложно запомнить много разных паролей.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

77. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (77), 05-Июл-18, 22:21 
Сложно его не запомнить. Сложно и долго его вводить каждый раз. А оставлять залогиненым сводит на нет все преимущества пароля.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

83. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от верю (?), 06-Июл-18, 00:55 
> Сложно его не запомнить. Сложно и долго его вводить каждый раз. А
> оставлять залогиненым сводит на нет все преимущества пароля.

Почему?

Ответить | Правка | Наверх | Cообщить модератору

11. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +6 +/
Сообщение от КО (?), 05-Июл-18, 12:36 
Читайте внимательно именно на такой модификации пароля админ и погорел.

Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

25. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от КО (?), 05-Июл-18, 13:23 
Кстати отседа вывод - пароли надо менять каждые два месяца. :)
Ответить | Правка | Наверх | Cообщить модератору

26. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +4 +/
Сообщение от MadeInRussia (?), 05-Июл-18, 13:33 
Отсюда вывод — двухфакторная авторизация. Потому что заставить большинство людей "нормально" (не qwerty -> qwerty2 -> qwerty3) часто менять пароли — нереалистично. А вот заставить использовать двухфакторную (с токеном+пальцем или SMS), что убьет большую часть атак — реалистично.

В этой ситуации, например, взломщику пришлось бы дополнительно еще получать доступ к устройству администратора, что уже усложнило бы и удорожило бы взлом.

В этой ситуации еще помог бы репортинг по неудачным попыткам входа. Их было бы аномально много, а если еще делать анализ схожести неудачных паролей, то можно было бы превентивно без человеческого фактора понять, что пароль подбирают не рандомно, а кружатся вокруг известной базы.

Ответить | Правка | Наверх | Cообщить модератору

33. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +2 +/
Сообщение от Аноним (33), 05-Июл-18, 14:17 
А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе, заметишь ты что один стал слать чаще?

> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора

Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90% всего.

Ответить | Правка | Наверх | Cообщить модератору

35. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от КО (?), 05-Июл-18, 14:27 
>А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе

Ну есть важное и не очень. Нормальный почтовый клиент письма от разных сайтов может раскладывать по разным папкам и если в папке связанной с работой прилетело оповещение, то наверное заметишь.

Но так то да - фалс алармы они другая сторона палки.

Ответить | Правка | Наверх | Cообщить модератору

39. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от RotarenegeD (?), 05-Июл-18, 15:17 
анализировать подозрительную активность может написанный на коленке скрипт, не говоря о том что есть куча готовых решений, возможно теперь прикрутят, а может и нет.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

58. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от MadeInRussia (?), 05-Июл-18, 17:23 
> А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов
> входе, заметишь ты что один стал слать чаще?

Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя бы. В идеале — если также в неудачных паролях замечена какая-то общность.

>> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора
> Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90%
> всего.

Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

97. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (33), 06-Июл-18, 15:02 
> Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя
> бы. В идеале — если также в неудачных паролях замечена какая-то
> общность.

Ну и вот, пытались раз в сутки, стали 100 раз, пришла смс, ну ок, пытаются, снова упала активность, снова выросла опять выросла, ботнет долбит одну сеть потом дгугую, потом первую, что пароль чтoле менять, ну допустим так сделают. Станут специально долбить периодично, чтобы генерировать смс и вынуждать пароли менять, а зачем сложный если раз в неделю меняешь, пароли станут проще, проще ломать.

> Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.

А ты зайди с другого конца, украли телефон, разлочили, софт там дырявый, или просто трояна подсадили, и оттуда же хакнули, даже пароль не надо, через восстановление, или надо еще почту прикручивать, и на телефоне не хранить пароль/куки-сеанса почты, так потвоему, а почту на другую почту завязывать и ту на другой номер, да это бред.

Ответить | Правка | Наверх | Cообщить модератору

34. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от КО (?), 05-Июл-18, 14:23 
>Отсюда вывод — двухфакторная авторизация

Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот же смарт запросить смену пароля, и получить ее на почту (sms) в том же смарте. А то ведь большинство "двухфакторных" они такие.

Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

60. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от MadeInRussia (?), 05-Июл-18, 17:34 
>>Отсюда вывод — двухфакторная авторизация
> Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот
> же смарт запросить смену пароля, и получить ее на почту (sms)
> в том же смарте. А то ведь большинство "двухфакторных" они такие.

Ну, это уже вопрос реализации, best practices и пр. Благо, количество сайтов с умеренно чувствительными данными на порядки меньше, чем количество пользователей с такими данными, поэтому учесть на большинстве из них эти моменты — можно.

А восстановления первого фактора через SMS со вторым фактором в виде SMS — это, конечно, печаль, согласен. Мне здесь больше нравится вариант с locally generated tokens, в идеале — с доп. аутентификацией по PIN-у или отпечатку.

Ответить | Правка | Наверх | Cообщить модератору

46. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –2 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 16:29 
Нет второго фактора, пока у тебя канал связи один.
Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих токенах.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

59. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от MadeInRussia (?), 05-Июл-18, 17:29 
> Нет второго фактора, пока у тебя канал связи один.
> Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков
> они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих
> токенах.

Почему меня не спасет одноразовый токен, который высылается в SMS или генерится приложением на моем устройстве при аутентификации, например, по отпечатку или PIN-у? Который я потом через HTTPs-форму ввожу на сайт?

Я же не пытаюсь защиту от всего придумать, но двухфакторка срезает большинство атак. Остаются только те, где атакующий ОЧЕНЬ мотивирован или ему ОЧЕНЬ повезло и достались сразу оба ключа,: еще и от одного пользователя, к тому же.

Если вы — не параноик, а потенциальный объект такой сложной атаки, то вас очень мало, и вашу проблему дополнительными мерами решить намного проще. Такое малое количество людей можно и пароль сложный на чувствительные даныне ставить научить, например. А в особо чувствительных случаях — и смарткарту выдать.

Для защиты большинства ничем не примечательных пользователей будет достаточно того, что я предлагаю.

Ответить | Правка | Наверх | Cообщить модератору

63. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 18:31 
Я не вижу смысла в какой либо защите вообще в 99% случаев/ресурсов среди тех где есть аутентификация.
Особенно бесит когда заставляют регатся через мобилу. Ладно бы ещё почта.

Я против любой аутентификации тушки: она даёт какую то гарантию только в случае если есть отдельный человек который контролирует что и как суют в сканер, будь то отпечатков пальцев или глаз или ещё чего.

ПИН - это просто расширение твоего пароля, с таким же успехом ты можешь дописывать пин к каждому паролю.

Ответить | Правка | Наверх | Cообщить модератору

74. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от MadeInRussia (?), 05-Июл-18, 21:42 
> Я не вижу смысла в какой либо защите вообще в 99% случаев/ресурсов
> среди тех где есть аутентификация.
> Особенно бесит когда заставляют регатся через мобилу. Ладно бы ещё почта.
> Я против любой аутентификации тушки: она даёт какую то гарантию только в
> случае если есть отдельный человек который контролирует что и как суют
> в сканер, будь то отпечатков пальцев или глаз или ещё чего.

И этот человек может быть подкуплен. ;) Или эксплуатирована уязвимость в системе за человеком. Идеальной безопасности нет. В лучшем случае есть безопасность, которую ещё не взломали (и зачастую здесь есть человеческий фактор, который можно эксплуатировать). Рационально обычно бывает использовать безопасность, которую слишком дорого взломать.

> ПИН - это просто расширение твоего пароля, с таким же успехом ты
> можешь дописывать пин к каждому паролю.

Пин делает недостаточным только доступ к устройству.

Смотри, предположим, я обычный Коля Ноунеймыч. У меня есть счёт в банке, где лежит обычно, скажем 100 000.

Мне нет смысла ради этих 100 000 придумывать какие-то сложные решения со смарт-картами — мне это дороже будет. А ради моих копеек уже двухфакторку с SMS ломать никто не будет. Это уже обычным массовым взломом не сломать. А морочиться работой под меня ради таких денег никто не будет.

Если у меня там миллиарды — это другое дело, здесь и поморочиться можно. Но и я, если не дурак, здесь и смарткарту, и лимиты переводов (чтобы локализовать потери, если вдруг все же что случится), и ещё чего применю.

Если у меня ядерные боеголовки —я и вовсе на безопасность разгуляюсь. Неудобно, конечно, запускать будет, но слишком уж велики потери провала.

Но согласись, для защиты от кражи моих 100 000 применять меры защиты от ядерной зимы и вымирания — излишне.

Нищего и нож защитит — никто ради лохмотьев не свяжется, а богатому и армии может быть мало. И нищему морочиться армией — не нужно.

Ответить | Правка | Наверх | Cообщить модератору

79. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 23:26 
1. 100к для россии большая сумма.
В гермашке не так давно кто то заморочился и поуводил бабло с двухфакторкой по смс.

2. Если у тебя ярды то ты попал.
Там совсем не такие проблемы как ты думаешь, и никакой идиот не дарит их банку, их паркуют в каких то фондах и пр, а на счетах держат какие то обычные суммы, при необходимости пополняют за счёт продажи всяких акций или дивидендов.
Это только у нас отморозки от безысходности держат общаки в виде квартир в которых всё забито коробками с налом.

3. У амеров одно время стоял код запуска 00000000 - и был прописал везде, чтобы в случае чего любой выживший мог трясущимися руками набрать и отомстить советам.

Ответить | Правка | Наверх | Cообщить модератору

65. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (65), 05-Июл-18, 18:34 
> Нет второго фактора, пока у тебя канал связи один.

В школе про TOTP не рассказывали?

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

69. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  –1 +/
Сообщение от Ivan_83 (ok), 05-Июл-18, 19:55 
В него как попадёт что то, о чём не знает тот кто по средине (К)?
Ответить | Правка | Наверх | Cообщить модератору

70. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (65), 05-Июл-18, 20:07 
Твою дивизию. Иди кури RFC 6238
Ответить | Правка | Наверх | Cообщить модератору

80. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от KonstantinB (ok), 05-Июл-18, 23:44 
Принципиальная разница в том, что за отсутствием MITM надо проследить ровно один раз.

От ssh ничем не отличается в этом смысле.

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

40. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (40), 05-Июл-18, 15:46 
одновременно на всех сайтах на одни и те же
Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

50. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от freehckemail (ok), 05-Июл-18, 16:40 
> Кстати отседа вывод - пароли надо менять каждые два месяца. :)

Отседа вывод -- двухфакторная плюс мониторинг.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

37. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +3 +/
Сообщение от имя (?), 05-Июл-18, 14:46 
> Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.

Как это можно было заметить? Информация об этом вскрылась только после соответствующего запроса в GitHub:

>  22:14 Gentoo emails GitHub requesting activity logs.
>  22:47 GitHub responds, assuring Gentoo that the audit is ongoing and logs will be produced soon.
>  23:47 GitHub formally responds with audit logs and security recommendations (e.g. 2FA)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

84. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (84), 06-Июл-18, 01:46 
Если модификация не словарная, это ничем не отличается от брутфорса. 56 возможных знаков, 8 символов, удачи подобрать. Тем более если модификация позиционная, сложность подбора вырастет ещё на порядки. 8 простых мнемонически ассоциированных символов запомнить не трудно.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

16. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +5 +/
Сообщение от Никонор Бонифатич (?), 05-Июл-18, 13:00 
> Не понимаю что движет людьми, ведь достаточно немного модифицировать
> администратор использовал похожие пароли

похожий == модифицированный


> чтобы пароль никогда не подобрали
> Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом

"никогда" кончилось через 3 месяца

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

71. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (71), 05-Июл-18, 20:08 
А кому вообще могло прийти в голову подналожить Генту, мелкософт просто так развлекался и купил ГитХаб, чтобы замести следы!
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

75. "Проект Gentoo опубликовал отчёт о взломе своих репозиториев ..."  +/
Сообщение от Аноним (65), 05-Июл-18, 22:01 
Основатель Gentoo Роббинс работал в MS лет пять. Так что если бы MSу был нужен этот дистриб для фриков они бы в то время еще его под себя положили.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру