Tag: hasła
Trzecia wojna światowa rozpocznie się od admin/admin
Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie ‚zabawki’ udało się przejąć za pomocą nieśmiertelnej pary:…
Czytaj dalej »Nie aktualizują urządzeń od lat – a Zoomeye zbiera ich hasła
Na wstępie – o samym serwisie Zoomeye już pisaliśmy (to poza Shodanem i Censysem jedno z najpopularniejszych narzędzi do pasywnego rekonesansu sieciowego). Zoomeye, ma pewną ciekawą właściwość – standardowo dostajemy w szczegółach danego wyniku również spore fragmenty odpowiedzi (np. HTTP response). Połączmy to z podatnością na urządzeniu sieciowym, która bez uwierzytelnienia…
Czytaj dalej »Wyszukiwarka wykradzionych haseł – na zachętę pokazuje dwie pierwsze litery hasła
W skrócie chodzi o serwis https://gotcha.pw/ będący pewnego rodzaju konkurencją do https://haveibeenpwned.com/ Możemy też wyszukać konta, których dane wyciekły z danej domeny – zapytanie do wyszukiwarki: @domena Na wyniku dostaniemy również częściowo zamaskowane adresy email: –ms
Czytaj dalej »Manager haseł 1Password podpowiada czy jakieś z Twoich haseł nie zostało skompromitowane
Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć: Cofając…
Czytaj dalej »Twitter przechowywał hasła w plaintext (!) – zmieńcie hasła
Niedawno podobny problem miał GitHub, obecnie Twitter: We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password….
Czytaj dalej »GitHub zapisywał hasła części użytkowników w plaintext
Co ciekawe, na tragedię to nie wygląda, bo wg oświadczenia GitHuba problem dotknął „niewielką” liczbę użytkowników – co ważniejsze problem wyszedł na jaw podczas „regularnego audytu” zlecanego przez GitHub-a. Brawo więc za nie ukrywanie problemu. Firma oświadczyła również, że standardowo hasła przechowywane są w postaci hasha bcrypt, a do haseł…
Czytaj dalej »2 miliardy realnych haseł do pobrania
Całość tutaj. Największa paczka to 5 GB (skompresowana 7z); do pobrania są różne listy posortowane pod względem popularności danego hasła. Cały czas prym wiedzie 123456. Pamiętajcie żeby używać tylko w legalnych celach. –ms
Czytaj dalej »Baza przeszło pół miliarda unikalnych haseł do pobrania
Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…
Czytaj dalej »Handlując hasłami zarabia 1 000 000 PLN w parę miesięcy, nie wychodząc z domu…
To nie reklama z Onetu, ale opis przestępczego procederu handlowania skradzionymi loginami / hasłami. Ironicznym jest fakt, analizę umożliwiło użycie przez sprzedawcę tego samego loginu i hasła, co w innym darkwebowym serwisie, który został „złamany”. Jak widać i w „ukrytych” serwisach dba się o kolory i marketing: …jest też i myślenie o…
Czytaj dalej »1.4 miliarda danych do logowania – hasła do pobrania w plaintext
Ostatnio udostępniono publicznie około 1.4 miliarda par: login / hasło – źródłem jest tutaj spora grupa wycieków z ostatnich lat. Obecnie również całkiem publicznie do pobrania są hasła (w plaintext, bez skojarzonego e-mail) z tego zagregowanego wycieku. Samych haseł jest około miliarda, a unikalnych jest prawie 400 000 000. Swoją drogą,…
Czytaj dalej »Hashcat 4.0.0 – popularny cracker na GPU – dostępny
Nowego hashcata (4.0.0) ogłoszono tutaj. Największą zmianą jest możliwość łamania długich haseł (aż do 256 znaków), również takich uzupełnionych o długie sole. Sama ta, pozornie drobna rzecz, zabrała kilka miesięcy pracy. Przyspieszono też działanie narzędzia (w szczególności jeśli chodzi o łamanie WPA/WPA2), usprawniono również działanie na komputerach Apple-a i załatano masę…
Czytaj dalej »Apple przodem do klienta – w ramach podpowiedzi do hasła wyświetlali… hasło
Chodzi o zaszyfrowane wolumeny dyskowe Apple File Systems, stworzone przy pomocy standardowego narzędzia Disk Utility. Sam Apple na swoich stronach pisze tak: macOS High Sierra shows your password instead of the password hint for an encrypted APFS volume. Całość na filmie poniżej. Błąd został błyskawicznie załatany przez Apple, choć użytkownicy muszą…
Czytaj dalej »320 milionów haseł z realnych włamań – do sprawdzenia on-line lub pobrania
Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…
Czytaj dalej »~2 miliardy haseł na githubie / 24GB / mega słownik z realnych wycieków
Wersja 1.0 mega słownika jak w tytule. Niektórzy marudzą, że zdarzają się duplikaty haseł. W wersji 2.0 na pewno będzie lepiej ;-) –ms
Czytaj dalej »