Tag: hasła

Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu.

15 listopada 2019, 14:42 | Aktualności | komentarzy 40
Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu.

Temat powraca dość często, więc postanowiliśmy podsumować aktualny stan wiedzy. Otóż obecne branżowe rekomendacje nie zalecają regularnych (np. co 30 czy 180 dni) zmian haseł. Microsoft (Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903): Usuwamy polisy dotyczące wygasania haseł, które wymagają okresowych jego zmian. Kiedy użytkownicy są…

Czytaj dalej »

Wyciek z forum prostytutek i ich klientów – hasła przechowywane bcrypt, a i tak udało się dużo z nich złamać!

30 października 2019, 17:28 | W biegu | komentarzy 17
Wyciek z forum prostytutek i ich klientów – hasła przechowywane bcrypt, a i tak udało się dużo z nich złamać!

Wyciek tej jest niby jak każdy inny, ale ma on w sobie kilka elementów wartych uwagi: Dość wrażliwa branża z całkiem pokaźną bazą wyciekniętych kont (prawie 300 000) Do ataku wykorzystano niedawno odkrytą lukę 0-day w vBulletin (czy 1-day), dającą możliwość dostępu na serwer bez uwierzytelnienia (nie było to najczęściej chyba wykorzystywane…

Czytaj dalej »

Wiecie dlaczego wysyłanie pocztą waszego hasła w plaintext jest OK? Bo otwieranie cudzej korespondencji jest nielegalnie :P Tak przynajmniej twierdzi pewna znana firma

17 sierpnia 2019, 22:00 | W biegu | komentarzy 11

Klasyka: resetujesz hasło i otrzymujesz je mailem w formie jawnej. Oznacza to dwie rzeczy – hasło jest przechowywane po stronie serwerowej w formie odwracalnej (nie w formie np. bezpiecznego hasha), często po prostu w formie jawnej. Samo też hasło przesłane w tej formie należy uznać za wycieknięte. Jaką odpowiedź na…

Czytaj dalej »

W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

18 lipca 2019, 10:46 | W biegu | komentarzy 8
W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

Czytaj dalej »

Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

15 lipca 2019, 12:53 | W biegu | 0 komentarzy
Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….

Czytaj dalej »

Japończycy w sprytny sposób zaimplementowali resetowanie hasła. W tak sprytny, że okradziono ich klientów na około 2 000 000 PLN

05 lipca 2019, 17:21 | W biegu | 1 komentarz

Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…

Czytaj dalej »

Microsoft oficjalnie: nie powinno się wymuszać okresowej zmiany haseł! Zmiany w Windows 10 i 2016 server

03 czerwca 2019, 21:28 | W biegu | komentarzy 21

W Rekomendowanych ustawieniach dotyczących bezpieczeństwa Windows 10 i Windows Server 2016: „Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903” Microsoft napisał tak: Dropping the password-expiration policies that require periodic password changes.  Dalej czytamy wyjaśnienie: When humans pick their own passwords, too often they are easy to guess…

Czytaj dalej »

Nowy John The Ripper dostępny. Przeszło 6000 commitów od ostatniej wersji!

15 maja 2019, 11:13 | W biegu | komentarzy 8

Osoby zajmujące się ekhem odzyskiwaniem haseł, na pewno kojarzą to narzędzie. Właśnie pokazała się wersja: 1.9.0-jumbo-1. Poprzednia edycja jumbo (1.8.0-jumbo-1) wydana była aż 4.5 roku temu, a w tym czasie wykonano przeszło 6000 commitów do repozytorium. Kilka nowych, wspieranych algorytmów (część z nich nazwana jest nieco enigmatycznie :) adxcrypt, andotp, androidbackup, ansible,…

Czytaj dalej »

Facebook pytał niektórych użytkowników o hasło do skrzynki pocztowej (!). To dla bezpieczeństwa…

03 kwietnia 2019, 11:46 | W biegu | komentarze 2

Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…

Czytaj dalej »

Dzień (nie)bezpiecznego Internetu – case study

13 lutego 2019, 10:04 | W biegu | komentarzy 15

Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło: Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych. Zobaczmy więc. Różnych znaków w haśle możemy mieć…

Czytaj dalej »

Google umożliwia w Chrome sprawdzenie czy nie logujesz się wyciekniętym loginem/hasłem

05 lutego 2019, 20:58 | W biegu | komentarze 3

Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…

Czytaj dalej »