Tag: hasła

Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie: New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite…

Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…

W Rekomendowanych ustawieniach dotyczących bezpieczeństwa Windows 10 i Windows Server 2016: „Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903” Microsoft napisał tak: Dropping the password-expiration policies that require periodic password changes.  Dalej czytamy wyjaśnienie: When humans pick their own passwords, too often they are easy to guess…

Najpierw Facebook, teraz Google. Problem dotyczy użytkowników komercyjnych kont GSuite: (…) We made an error when implementing this functionality back in 2005: The admin console stored a copy of the unhashed password. This practice did not live up to our standards. To be clear, these passwords remained in our secure…

Osoby zajmujące się ekhem odzyskiwaniem haseł, na pewno kojarzą to narzędzie. Właśnie pokazała się wersja: 1.9.0-jumbo-1. Poprzednia edycja jumbo (1.8.0-jumbo-1) wydana była aż 4.5 roku temu, a w tym czasie wykonano przeszło 6000 commitów do repozytorium. Kilka nowych, wspieranych algorytmów (część z nich nazwana jest nieco enigmatycznie :) adxcrypt, andotp, androidbackup, ansible,…

Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…

Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło: Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych. Zobaczmy więc. Różnych znaków w haśle możemy mieć…

Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…

Zastanawialiście się jak długo temperatura z Waszych palców zostaje na wciśniętych klawiszach klawiatury?. Okazuje się niespodziewanie długo. W czasie 20-30 sekund bez problemu można odczytać wszystkie „wciśnięcia” (i to np. dla hasła: 3xZFkMMv|Y). Graniczną wartością jest około 50-60 sekund. Wystarczy odpowiednio czuła kamera termowizyjna, trochę wiedzy i pomysłowości (hej, właśnie się…

Można pewnie marudzić. że serwis nie ma wielu znanych wycieków. Z drugiej strony możemy całkiem dużą bazę (4,5 miliarda rekordów) ładnie posortować czy przeszukać. Np. tak jak poniżej (w bazie mamy przeszło 800 wycieków polskich baz): Część z nich jest mikroskopijna – np. krolikarzpolski (trzymający hasła w plaintext) ma ledwo…

Po wielu miesiącach pracy autora, otrzymaliśmy nowego hashcata. Poza obsługą garści nowych algorytmów, dostępna jest m.in. wbudowana usługa sieciowa o nazwie hashcat brain. O co w niej chodzi? A mieliście może kiedyś sytuację, kiedy łamaliście hasło, ale później przypomnieliście sobie żeby jednak zwiększyć alfabet? I znowu bruteforce od zera… Aby…

Ostatnio coraz więcej osób pisze do nas z prośbą o radę: dostają maila ze swoim prawdziwym hasłem (czasem w tytule maila, czasem w mailu) z prośbą o wpłatę określonej kwoty w Bitcoinach (po wpłacie, dane które rzekomo wyciekły zostaną usunięte lub alternatywnie – przynajmniej nie będą opublikowane). Taka wiadomość wygląda…

Jeden obraz wart jest więcej niż tysiąc słów. Patrzcie więc…:

Tutaj można zobaczyć świeże opracowanie, pokazujące m.in. częściowe wyniki z testów bezpieczeństwa rozmaitych systemów obronnych, realizowanych w DOD (Department of Defence USA). USA planują obecnie wydać około 1,6 biliona (en. trillion) dolarów na pakiet nowoczesnej broni i byłoby nieco głupio gdyby takie 'zabawki' udało się przejąć za pomocą nieśmiertelnej pary:…

Na wstępie – o samym serwisie Zoomeye już pisaliśmy (to poza Shodanem i Censysem jedno z najpopularniejszych narzędzi do pasywnego rekonesansu sieciowego). Zoomeye, ma pewną ciekawą właściwość – standardowo dostajemy w szczegółach danego wyniku również spore fragmenty odpowiedzi (np. HTTP response). Połączmy to z podatnością na urządzeniu sieciowym, która bez uwierzytelnienia…