Bleepingcomputer pisze o nadchodzącym połączonym duecie: Firefox Monitor (solidna integracja z przeglądarką ma pojawić się w FF 70) oraz Firefox Lockwise (czyli managerze haseł): Jeśli nasze zapisane konta gdzieś wyciekły, dostaniemy stosowny alert bezpośrednio w przeglądarce: Skąd Firefox czerpie informacje o wyciekach? Ze znanego serwisu haveibeenpwned i nie jest to też pierwsza…
Czytaj dalej »
Czyżby jakaś zmasowana akcja? Co dopiero informowaliśmy o ogromnym wycieku e-maili/haseł i innych danych osobowych (marka Evite), tym razem serwis haveibeenpwned donosi o wycieku 49 milionów par e-mail/hasło (w plaintext) z niedziałającego już belgijskiego serwisu Netlog: New breach: Netlog had 49M email addresses and plain text passwords compromised in 2012….
Czytaj dalej »
Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie: New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite…
Czytaj dalej »
Chodzi o aplikację do płatności firmowaną przez sieć 7-Eleven w Japonii (co ciekawe to bodaj największa sieć franczyzowa na świecie – prawie 70 000 sklepów w 17 krajach!). W aplikacji do płatności hasło można było zresetować standardowo (podając swojego maila), ale uwaga, była tu również druga opcja – wysłanie kodu…
Czytaj dalej »
W Rekomendowanych ustawieniach dotyczących bezpieczeństwa Windows 10 i Windows Server 2016: „Security baseline (FINAL) for Windows 10 v1903 and Windows Server v1903” Microsoft napisał tak: Dropping the password-expiration policies that require periodic password changes. Dalej czytamy wyjaśnienie: When humans pick their own passwords, too often they are easy to guess…
Czytaj dalej »
Najpierw Facebook, teraz Google. Problem dotyczy użytkowników komercyjnych kont GSuite: (…) We made an error when implementing this functionality back in 2005: The admin console stored a copy of the unhashed password. This practice did not live up to our standards. To be clear, these passwords remained in our secure…
Czytaj dalej »
Osoby zajmujące się ekhem odzyskiwaniem haseł, na pewno kojarzą to narzędzie. Właśnie pokazała się wersja: 1.9.0-jumbo-1. Poprzednia edycja jumbo (1.8.0-jumbo-1) wydana była aż 4.5 roku temu, a w tym czasie wykonano przeszło 6000 commitów do repozytorium. Kilka nowych, wspieranych algorytmów (część z nich nazwana jest nieco enigmatycznie :) adxcrypt, andotp, androidbackup, ansible,…
Czytaj dalej »
Możecie spać spokojnie, bo chodziło tylko o „podejrzane” (dla Facebooka) domeny mailowe :P Taką wiadomość dostawali niektórzy użytkownicy po rejestracji: Niektórzy wskazują, że poza budowaniem bardzo złych nawyków (podawanie hasła do swojej poczty na zupełnie innej domenie!), sam FB przyznał niedawno że przypadkowo przechowywał hasła użytkowników w plaintext… Facebook w…
Czytaj dalej »
Nie obchodziliśmy dnia bezpiecznego Internetu, ale jak donosi nam jeden z czytelników – wiele serwisów i owszem. Dajmy na to Komputerświat uważa, że „mocne” hasło: Musi składać się z co najmniej ośmiu losowych wybranych dużych i małych liter, cyfr oraz znaków specjalnych. Zobaczmy więc. Różnych znaków w haśle możemy mieć…
Czytaj dalej »
Szczegóły projektu tutaj. Hasła są sprawdzane za pomocą stosownego rozszerzenia do Chrome. Sama baza ma około 4 miliardy wyciekniętych haseł / loginów, choć Google nie pisze w jaki sposób dane te zostały pozyskane. W momencie logowania się do dowolnego serwisu, jeśli nasze dane logowania gdzieś wcześniej wyciekły i znajdują się…
Czytaj dalej »
Zastanawialiście się jak długo temperatura z Waszych palców zostaje na wciśniętych klawiszach klawiatury?. Okazuje się niespodziewanie długo. W czasie 20-30 sekund bez problemu można odczytać wszystkie „wciśnięcia” (i to np. dla hasła: 3xZFkMMv|Y). Graniczną wartością jest około 50-60 sekund. Wystarczy odpowiednio czuła kamera termowizyjna, trochę wiedzy i pomysłowości (hej, właśnie się…
Czytaj dalej »
Można pewnie marudzić. że serwis nie ma wielu znanych wycieków. Z drugiej strony możemy całkiem dużą bazę (4,5 miliarda rekordów) ładnie posortować czy przeszukać. Np. tak jak poniżej (w bazie mamy przeszło 800 wycieków polskich baz): Część z nich jest mikroskopijna – np. krolikarzpolski (trzymający hasła w plaintext) ma ledwo…
Czytaj dalej »
Po wielu miesiącach pracy autora, otrzymaliśmy nowego hashcata. Poza obsługą garści nowych algorytmów, dostępna jest m.in. wbudowana usługa sieciowa o nazwie hashcat brain. O co w niej chodzi? A mieliście może kiedyś sytuację, kiedy łamaliście hasło, ale później przypomnieliście sobie żeby jednak zwiększyć alfabet? I znowu bruteforce od zera… Aby…
Czytaj dalej »
Ostatnio coraz więcej osób pisze do nas z prośbą o radę: dostają maila ze swoim prawdziwym hasłem (czasem w tytule maila, czasem w mailu) z prośbą o wpłatę określonej kwoty w Bitcoinach (po wpłacie, dane które rzekomo wyciekły zostaną usunięte lub alternatywnie – przynajmniej nie będą opublikowane). Taka wiadomość wygląda…
Czytaj dalej »
Jeden obraz wart jest więcej niż tysiąc słów. Patrzcie więc…:
Czytaj dalej »
