Nie masz jeszcze książki sekuraka o bezpieczeństwie aplikacji webowych? 20% taniej z kodem rabatowym: oferta-sekurak-20

Tag: hasła

Jak szybko można złamać Twoje hasło? Łamanie na żywo, różne algorytmy, sole, wykorzystanie GPU – wbijajcie na webinar

10 kwietnia 2020, 15:41 | Aktualności | komentarzy 12
Jak szybko można złamać Twoje hasło? Łamanie na żywo, różne algorytmy, sole, wykorzystanie GPU – wbijajcie na webinar

Na bezpłatnym webinarze użyjemy w praktyce mocnej maszyny do łamania haseł (niektórzy wolą o tym mówić – do odzyskiwania haseł ;). Zobaczymy szybkość działania dla popularnych algorytmów hashujących, powiemy o tym czy sól chroni przed łamaniem. A może pieprz? Co z hasłami do WPA2? (tak, też zobaczymy jak to można…

Czytaj dalej »

Wyciek e-maili oraz haseł z dużego sklepu cyfrowe.pl

10 kwietnia 2020, 11:01 | Aktualności | komentarzy 6
Wyciek e-maili oraz haseł z dużego sklepu cyfrowe.pl

Kolejni czytelnicy alarmują nas o wycieku, o którym informuje sklep cyfrowe.pl. Obecnie sklep bywa momentami niedostępny: Sama wersja nginx 1.6.2 – to rok 2014… Jednak przechodząc do sedna, sklep rozesłał niedawno takie informacje: Z przykrością informujemy, iż w wyniku celowego działania osób trzecich nastąpił nieautoryzowany dostęp do danych dostępowych do…

Czytaj dalej »

Zagregowali 5 miliardów wyciekniętych kont. Baza wycieków właśnie wyciekła.

20 marca 2020, 13:31 | W biegu | komentarze 4
Zagregowali 5 miliardów wyciekniętych kont. Baza wycieków właśnie wyciekła.

Baza została zebrana przez jedną z brytyjskich firm związanych z bezpieczeństwem. Z jednej strony nie ma tam nic nowego – to po prostu przeszło 5 miliardów wyciekniętych rekordów na przestrzeni ostatnich 5 lat (prawdopodobnie wszystkie wycieki są „znane”). Mamy tu e-maile, hasła (czasem plaintext, czasem hashe), jest też podane źródło…

Czytaj dalej »

Hasło na BIOS? Kilka tricków i sprzętowo je wyłączyli…

26 lutego 2020, 12:01 | W biegu | komentarze 4
Hasło na BIOS? Kilka tricków i sprzętowo je wyłączyli…

Ciekawa historia korporacyjnego laptopa, na którym było założone hasło na BIOS. To z kolei uniemożliwiło zbootowanie własnego systemu (innego niż Windows). Czy można takie hasło łatwo „zdjąć”? Okazuje się że w przypadku niektórych producentów – tak. Nie będę tutaj przepisywał całej treści oryginalnego researchu (swoją drogą – vendor jeszcze nie…

Czytaj dalej »

FBI: skomplikowane hasła to przeżytek. Jako hasła lepiej używajcie kilku słów

22 lutego 2020, 22:52 | W biegu | komentarzy 35
FBI: skomplikowane hasła to przeżytek. Jako hasła lepiej używajcie kilku słów

Pamiętacie takie zalecenia: co najmniej 8 znaków, małe i duże litery, minimum jeden znak specjalny i minimum jedna cyfra? To od dłuższego czasu przeżytek, czego kolejnym przykładem są rekomendacje FBI: Zamiast używać krótkiego złożonego hasła, które jest trudne do zapamiętania rozważcie raczej używanie jako hasła dłuższego „zdania” [passphrase]. Wystarczy tylko…

Czytaj dalej »

Github: dla pewnych kont można było wysyłać e-maile z resetem hasła na… inne adresy mailowe

17 grudnia 2019, 14:04 | W biegu | komentarzy 7
Github: dla pewnych kont można było wysyłać e-maile z resetem hasła na… inne adresy mailowe

Ciekawy przykład, który w zasadzie może wystąpić w każdej aplikacji webowej. Otóż przy próbie resetu hasła, GitHub podany adres mailowy najpierw robił lowercase, a później porównywał z tym w bazie. W czym problem? W Unicode. Przykład? Czyli jeśli założyłem sobie maila z np. tureckim i w nazwie, toLowerCase() normalizował to do zwykłego 'i’….

Czytaj dalej »

Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu.

15 listopada 2019, 14:42 | Aktualności | komentarzy 41
Czy należy wymuszać okresową zmianę haseł? Mamy chyba ostateczne rozwiazanie problemu.

Temat powraca dość często, więc postanowiliśmy podsumować aktualny stan wiedzy. Otóż obecne branżowe rekomendacje nie zalecają regularnych (np. co 30 czy 180 dni) zmian haseł. Microsoft (Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903): Usuwamy polisy dotyczące wygasania haseł, które wymagają okresowych jego zmian. Kiedy użytkownicy są…

Czytaj dalej »

Wyciek z forum prostytutek i ich klientów – hasła przechowywane bcrypt, a i tak udało się dużo z nich złamać!

30 października 2019, 17:28 | W biegu | komentarzy 17
Wyciek z forum prostytutek i ich klientów – hasła przechowywane bcrypt, a i tak udało się dużo z nich złamać!

Wyciek tej jest niby jak każdy inny, ale ma on w sobie kilka elementów wartych uwagi: Dość wrażliwa branża z całkiem pokaźną bazą wyciekniętych kont (prawie 300 000) Do ataku wykorzystano niedawno odkrytą lukę 0-day w vBulletin (czy 1-day), dającą możliwość dostępu na serwer bez uwierzytelnienia (nie było to najczęściej chyba wykorzystywane…

Czytaj dalej »

Wiecie dlaczego wysyłanie pocztą waszego hasła w plaintext jest OK? Bo otwieranie cudzej korespondencji jest nielegalnie :P Tak przynajmniej twierdzi pewna znana firma

17 sierpnia 2019, 22:00 | W biegu | komentarzy 11

Klasyka: resetujesz hasło i otrzymujesz je mailem w formie jawnej. Oznacza to dwie rzeczy – hasło jest przechowywane po stronie serwerowej w formie odwracalnej (nie w formie np. bezpiecznego hasha), często po prostu w formie jawnej. Samo też hasło przesłane w tej formie należy uznać za wycieknięte. Jaką odpowiedź na…

Czytaj dalej »

W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

18 lipca 2019, 10:46 | W biegu | komentarzy 8
W nadchodzącym Firefoksie zostaniecie poinformowani, które Wasze konta wyciekły

Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…

Czytaj dalej »

Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

15 lipca 2019, 12:53 | W biegu | 0 komentarzy
Wyciekła kolejna baza – 49 milionów maili i haseł w plaintext (!). Tym razem chodzi o niedziałający już Netlog

Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….

Czytaj dalej »