Tag: hasła

Trzecia wojna światowa rozpocznie się od admin/admin

11 października 2018, 12:56 | W biegu | komentarzy 17

Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie ‚zabawki’ udało się przejąć za pomocą nieśmiertelnej pary:…

Czytaj dalej »

Nie aktualizują urządzeń od lat – a Zoomeye zbiera ich hasła

16 lipca 2018, 10:00 | W biegu | 0 komentarzy

Na wstępie – o samym serwisie Zoomeye już pisaliśmy (to poza Shodanem i Censysem jedno z najpopularniejszych narzędzi do pasywnego rekonesansu sieciowego). Zoomeye, ma pewną ciekawą właściwość – standardowo dostajemy w szczegółach danego wyniku również spore fragmenty odpowiedzi (np. HTTP response). Połączmy to z podatnością na urządzeniu sieciowym, która bez uwierzytelnienia…

Czytaj dalej »

Manager haseł 1Password podpowiada czy jakieś z Twoich haseł nie zostało skompromitowane

10 maja 2018, 14:44 | W biegu | komentarzy 12

Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć:   Cofając…

Czytaj dalej »

GitHub zapisywał hasła części użytkowników w plaintext

02 maja 2018, 11:19 | W biegu | 1 komentarz

Co ciekawe, na tragedię to nie wygląda, bo wg oświadczenia GitHuba problem dotknął „niewielką” liczbę użytkowników – co ważniejsze problem wyszedł na jaw podczas „regularnego audytu” zlecanego przez GitHub-a. Brawo więc za nie ukrywanie problemu. Firma oświadczyła również, że standardowo hasła przechowywane są w postaci hasha bcrypt, a do haseł…

Czytaj dalej »

Baza przeszło pół miliarda unikalnych haseł do pobrania

22 lutego 2018, 22:19 | W biegu | komentarzy 11

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

Czytaj dalej »

Handlując hasłami zarabia 1 000 000 PLN w parę miesięcy, nie wychodząc z domu…

19 grudnia 2017, 22:03 | W biegu | 0 komentarzy

To nie reklama z Onetu, ale opis przestępczego procederu handlowania skradzionymi loginami / hasłami. Ironicznym jest fakt, analizę umożliwiło użycie przez sprzedawcę tego samego loginu i hasła, co w innym darkwebowym serwisie, który został „złamany”. Jak widać i w „ukrytych” serwisach dba się o kolory i marketing: …jest też i myślenie o…

Czytaj dalej »

Hashcat 4.0.0 – popularny cracker na GPU – dostępny

30 października 2017, 10:49 | W biegu | komentarze 3

Nowego hashcata (4.0.0) ogłoszono tutaj. Największą zmianą jest możliwość łamania długich haseł  (aż do 256 znaków), również takich uzupełnionych o długie sole. Sama ta, pozornie drobna rzecz, zabrała kilka miesięcy pracy. Przyspieszono też działanie narzędzia (w szczególności jeśli chodzi o łamanie WPA/WPA2), usprawniono również działanie na komputerach Apple-a i załatano masę…

Czytaj dalej »

Apple przodem do klienta – w ramach podpowiedzi do hasła wyświetlali… hasło

06 października 2017, 20:08 | W biegu | komentarze 4

Chodzi o zaszyfrowane wolumeny dyskowe Apple File Systems, stworzone przy pomocy standardowego narzędzia Disk Utility. Sam Apple na swoich stronach pisze tak: macOS High Sierra shows your password instead of the password hint for an encrypted APFS volume. Całość na filmie poniżej. Błąd został błyskawicznie załatany przez Apple, choć użytkownicy muszą…

Czytaj dalej »

320 milionów haseł z realnych włamań – do sprawdzenia on-line lub pobrania

04 sierpnia 2017, 11:40 | W biegu | komentarzy 11

Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…

Czytaj dalej »

Joomla! tym razem możliwość nieautoryzowanej zmiany hasła każdemu użytkownikowi

19 grudnia 2016, 18:25 | W biegu | komentarzy 6

Joomla! nie ma ostatnio szczęścia, tym razem załatano błąd o wysokiej krytyczności. Podatność występująca aż od wersji 1.6.0 (kilka dobrych lat) umożliwia na zmianę haseł użytkowników czy ich  przynależność do grup (!): Incorrect use of unfiltered data stored to the session on a form validation failure allows for existing user accounts…

Czytaj dalej »