-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: hasła

Banki i szyfrowanie plików – który składnik lepszy: hasło czy wykorzystanie numeru PESEL?

14 lutego 2024, 20:33 | W biegu | komentarzy 16
Banki i szyfrowanie plików – który składnik lepszy: hasło czy wykorzystanie numeru PESEL?

Wielu ludzi otrzymuje ostatnio informacje z PKO TFI dotyczące hasła do przesyłanego załącznika w formacie PDF o treści: Ze względów bezpieczeństwa załącznik został zaszyfrowany, aby uniemożliwić dostęp do pliku osobom trzecim. Hasłem dostępu do pliku jest ciąg 11 znaków wyznaczonych w oparciu o imię i nazwisko oraz datę urodzenia. Wprowadź…

Czytaj dalej »

Krytyczna podatność w GitLab, prostym trickiem można zresetować dowolnemu użytkownikowi hasło. 10/10 w skali CVSS

12 stycznia 2024, 10:17 | W biegu | komentarzy 7
Krytyczna podatność w GitLab, prostym trickiem można zresetować dowolnemu użytkownikowi hasło. 10/10 w skali CVSS

Gitlab wydał właśnie łatki bezpieczeństwa opisując główny problem w ten sposób: Atakujący może zresetować hasło dowolnemu użytkownikowi – podając w trakcie resetu hasła… swój email. An issue has been discovered in GitLab CE/EE affecting all versions from 16.1 prior to 16.1.6, 16.2 prior to 16.2.9, 16.3 prior to 16.3.7, 16.4…

Czytaj dalej »

Rozstrzygnięcie konkursu „Złam hashe”!

16 listopada 2023, 17:01 | W biegu | komentarze 4
Rozstrzygnięcie konkursu „Złam hashe”!

31 października odpaliliśmy konkurs, w którym trzeba było załamać dziesięć hashy. Do wygrania były fajne nagrody (min. wejściówki na nowy semestr Sekurak Academy 2024). Konkurs wzbudził bardzo duże zainteresowanie. Dostaliśmy od Was do 7 listopada ponad 100 odpowiedzi! A jak to wyglądało w liczbach? Maksymalną liczbę złamanych (i poprawnych!) hashy…

Czytaj dalej »

test/test – takimi danymi logowania zabezpieczony był serwer z e-mailami spółki, prywatnymi i służbowymi plikami zarządu, danymi medycznymi oraz nielegalnym oprogramowaniem

05 października 2023, 10:59 | W biegu | komentarzy 21
test/test – takimi danymi logowania zabezpieczony był serwer z e-mailami spółki, prywatnymi i służbowymi plikami zarządu,  danymi medycznymi oraz nielegalnym oprogramowaniem

Zobaczcie na tę sprawę sądową (2019r.), na którą skierował nas jeden z czytelników. W sprawie chodzi o przywrócenie do pracy zwolnionego pracownika. W czym był problem? Otóż pracodawca rozwiązał z pewnym adminem umowę o pracę, swoją decyzję argumentując m.in. tak: W trakcie tych testów polegających na wyszukiwaniu, po zeskanowaniu całej…

Czytaj dalej »

Rozwiązanie konkursu „Złam sekurakowe hasła”. Prezentujemy również metody łamania haseł użyte przez zwycięzców (writeupy!)

31 lipca 2023, 19:19 | Teksty | komentarze 4
Rozwiązanie konkursu „Złam sekurakowe hasła”.  Prezentujemy również metody łamania haseł użyte przez zwycięzców (writeupy!)

17 lipca ogłosiliśmy konkurs w którym do wygrania były klucze Yubikey od Yubico. Do złamania było 12 hashy ze strony http://recon.zone/hashez.txt. Rozstrzygnięcie nastąpiło 19 lipca w samo południe. Większość uczestników do działania zaprzęgło narzędzie hashcat. I nie, nie chodziło by wykorzystać możliwości wielu kart GPU. Trzeba było wykorzystać narzędzie sprytnie,…

Czytaj dalej »

Skucha w menadżerze haseł Bitwarden? Ustawionych mieli mało iteracji PBKDF2. Teoretyczny problem, a może trzeba się bać? ;-)

24 stycznia 2023, 09:41 | Aktualności | komentarzy 29
Skucha w menadżerze haseł Bitwarden? Ustawionych mieli mało iteracji PBKDF2. Teoretyczny problem, a może trzeba się bać? ;-)

Tutaj krótka analiza użycia algorytmu PBKDF2 w Bitwardenie. W skrócie – odpowiednie użycie PBKDF2 znacznie zwiększa czas łamania głównego hasła do menadżera, w przypadku gdyby doszło do hipotetycznego ataku na jego infrastrukturę IT (podobnie jak miało to miejsce w przypadku LastPass). Ale żeby wszystko działało zgodnie z zamierzeniami, potrzebna jest…

Czytaj dalej »

LastPass – o co chodzi w wycieku haseł z tego managera i jaki jest koszt złamania wszystkich Twoich haseł?

30 grudnia 2022, 22:38 | Aktualności | komentarzy 19
LastPass – o co chodzi w wycieku haseł z tego managera i jaki jest koszt złamania wszystkich Twoich haseł?

Ostatnio spływają coraz bardziej ponure informacje o managerze haseł LastPass. Niedawno donosiliśmy, że hackerzy uzyskali dostęp do >>zaszyfrowanych<< baz z hasłami. Nietechniczne osoby (i media) rozumieją to często w ten sposób: wyciekły wszystkie moje hasła z LastPass. No niekoniecznie, ale i tak sytuacja nie jest ciekawa: 1. Dobry manager haseł…

Czytaj dalej »

Po ~roku wydano nową wersję Hashcata.

14 maja 2021, 23:11 | W biegu | 0 komentarzy
Po ~roku wydano nową wersję Hashcata.

Nowa wersja 6.2.0 dodaje wsparcie łamania dla przeszło 20 algorytmów, m.in. (uch, ech): Added hash-mode: SolarWinds Orion v2Added hash-mode: SolarWinds Serv-U Z większych rzeczy dodano zupełnie nowy rodzaj ataku (-a9 – Association Attack), więcej można poczytać o nim tutaj: https://hashcat.net/forum/thread-9534.html W praktyce, przyjrzymy się temu na jakimś kolejnym szkoleniu z…

Czytaj dalej »

Bezpieczeństwo / łamanie haseł – zapraszamy dzisiaj wieczorem (23.04.2021)

23 kwietnia 2021, 16:35 | W biegu | komentarzy 6
Bezpieczeństwo / łamanie haseł – zapraszamy dzisiaj wieczorem (23.04.2021)

To już ostatnie przypomnienie o naszym darmowym szkoleniu o hasłach / wyciekach / 2FA / menadżerach haseł… Link do streamu dla wszystkich: https://www.youtube.com/watch?v=xwfnqTjfApA (start o 20:00) Link do streamu dla osób nietechnicznych: https://www.youtube.com/watch?v=OqmjX38V1G0 (start 20:10) Można zapisać też się poniżej (prosimy tylko o e-mail; dostaniesz extra materiały!): –ms

Czytaj dalej »

Netflix próbuje walczyć z plagą udostępniania haseł

14 marca 2021, 13:29 | W biegu | komentarzy 21
Netflix próbuje walczyć z plagą udostępniania haseł

Netflix to znana już chyba wszystkim amerykańska platforma streamingowa z siedzibą w Los Gatos w Kalifornii. Przyjacielskie ostrzeżenie Jak informuje “The Washington Post”, część użytkowników Netflixa dostała taki komunikat:  “If you don’t live with the owner of this account, you need your own account to keep watching”. Gdy użytkownik wybierze…

Czytaj dalej »

solarwinds123 – tak wyglądało hasło do jednego z serwerów firmy Solarwinds. CEO: to wina stażysty…

01 marca 2021, 10:43 | W biegu | komentarze 2
solarwinds123 – tak wyglądało hasło do jednego  z serwerów firmy Solarwinds. CEO: to wina stażysty…

Wg badacza, który zlokalizował to hasło w 2019 roku, umożliwiało ono dostęp na „serwer plików”: Emails between Kumar and SolarWinds showed that the leaked password allowed Kumar to log in and successfully deposit files on the company’s server. Using that tactic, Kumar warned the company, any hacker could upload malicious…

Czytaj dalej »

FBI czy awaria dysku? Znika serwis hashes.org. Lista 9000 domen, z których wyciekły dane

22 lutego 2021, 10:59 | W biegu | 1 komentarz
FBI czy awaria dysku? Znika serwis hashes.org. Lista 9000 domen, z których wyciekły dane

Serwis jeszcze jakiś czas temu wyglądał tak: A udostępniał do bezproblemowego pobrania złamane czy niezłamane hashe – w podziale na konkretne serwisy. Zawartość bazy to aż 4,5 miliarda wpisów, zawierających również sporo „polskich wycieków” Serwis obecnie nie działa, a niektórzy sugerują zamknięcie hashes[.]org przez Służby, inni awarię dysku (choć ci…

Czytaj dalej »