Tag: hasła

Wiecie dlaczego wysyłanie emailem waszego hasła w plaintext jest OK? Bo otwieranie cudzej korespondencji jest nielegalnie :P Tak przynajmniej twierdzi pewna znana firma

17 sierpnia 2019, 22:00 | W biegu | komentarze 3

Klasyka: resetujesz hasło i otrzymujesz je mailem w formie jawnej. Oznacza to dwie rzeczy – hasło jest przechowywane po stronie serwerowej w formie odwracalnej (nie w formie np. bezpiecznego hasha), często po prostu w formie jawnej. Samo też hasło przesłane w tej formie należy uznać za wycieknięte. Jaką odpowiedź na…

Czytaj dalej »

W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

18 lipca 2019, 10:46 | W biegu | komentarzy 8
W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

Czytaj dalej »

Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

15 lipca 2019, 12:53 | W biegu | 0 komentarzy
Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….

Czytaj dalej »

Japończycy w sprytny sposób zaimplementowali resetowanie hasła. W tak sprytny, że okradziono ich klientów na około 2 000 000 PLN

05 lipca 2019, 17:21 | W biegu | 1 komentarz

Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…

Czytaj dalej »

Microsoft oficjalnie: nie powinno się wymuszać okresowej zmiany haseł! Zmiany w Windows 10 i 2016 server

03 czerwca 2019, 21:28 | W biegu | komentarzy 21

W Rekomendowanych ustawieniach dotyczących bezpieczeństwa Windows 10 i Windows Server 2016: „Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903” Microsoft napisał tak: Dropping the password-expiration policies that require periodic password changes.  Dalej czytamy wyjaśnienie: When humans pick their own passwords, too often they are easy to guess…

Czytaj dalej »

Nowy John The Ripper dostępny. Przeszło 6000 commitów od ostatniej wersji!

15 maja 2019, 11:13 | W biegu | komentarzy 8

Osoby zajmujące się ekhem odzyskiwaniem haseł, na pewno kojarzą to narzędzie. Właśnie pokazała się wersja: 1.9.0-jumbo-1. Poprzednia edycja jumbo (1.8.0-jumbo-1) wydana była aż 4.5 roku temu, a w tym czasie wykonano przeszło 6000 commitów do repozytorium. Kilka nowych, wspieranych algorytmów (część z nich nazwana jest nieco enigmatycznie :) adxcrypt, andotp, androidbackup, ansible,…

Czytaj dalej »

Facebook pytał niektórych użytkowników o hasło do skrzynki pocztowej (!). To dla bezpieczeństwa…

03 kwietnia 2019, 11:46 | W biegu | komentarze 2

Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…

Czytaj dalej »

Dzień (nie)bezpiecznego Internetu – case study

13 lutego 2019, 10:04 | W biegu | komentarzy 15

Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło: Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych. Zobaczmy więc. Różnych znaków w haśle możemy mieć…

Czytaj dalej »

Google umożliwia w Chrome sprawdzenie czy nie logujesz się wyciekniętym loginem/hasłem

05 lutego 2019, 20:58 | W biegu | komentarze 3

Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…

Czytaj dalej »

Przechwytywanie haseł na podstawie pozostałości termicznych na klawiaturze

08 grudnia 2018, 23:05 | W biegu | komentarzy 19

Zastanawialiście się jak długo temperatura z Waszych palców zostaje na wciśniętych klawiszach klawiatury?. Okazuje się niespodziewanie długo. W czasie 20-30 sekund bez problemu można odczytać wszystkie „wciśnięcia” (i to np. dla hasła: 3xZFkMMv|Y). Graniczną wartością jest około 50-60 sekund. Wystarczy odpowiednio czuła kamera termowizyjna, trochę wiedzy i pomysłowości (hej, właśnie się…

Czytaj dalej »

Nowy hashcat: 5.0.0 z modułem brain

07 listopada 2018, 19:37 | W biegu | 0 komentarzy

Po wielu miesiącach pracy autora, otrzymaliśmy nowego hashcata. Poza obsługą garści nowych algorytmów, dostępna jest m.in. wbudowana usługa sieciowa o nazwie hashcat brain. O co w niej chodzi? A mieliście może kiedyś sytuację, kiedy łamaliście hasło, ale później przypomnieliście sobie żeby jednak zwiększyć alfabet? I znowu bruteforce od zera… Aby…

Czytaj dalej »