Tag: hasła

Na wstępie – o samym serwisie Zoomeye już pisaliśmy (to poza Shodanem i Censysem jedno z najpopularniejszych narzędzi do pasywnego rekonesansu sieciowego). Zoomeye, ma pewną ciekawą właściwość – standardowo dostajemy w szczegółach danego wyniku również spore fragmenty odpowiedzi (np. HTTP response). Połączmy to z podatnością na urządzeniu sieciowym, która bez uwierzytelnienia…

W skrócie chodzi o serwis https://gotcha.pw/ będący pewnego rodzaju konkurencją do https://haveibeenpwned.com/ Możemy też wyszukać konta, których dane wyciekły z danej domeny – zapytanie do wyszukiwarki: @domena Na wyniku dostaniemy również częściowo zamaskowane adresy email: –ms    

Zacznijmy od końca czyli od nowego modułu Watchtower dostępnego w 1Password. Daje on m.in. automatyczny audyt obecnie używanych przez nas haseł, ale posiada też kilka różnych ciekawostek – typu automatyczne wskazywanie, że domena do której przechowujemy hasło (np. amazon.com) ma wsparcie dla 2FA i może warto jego użyć:   Cofając…

Niedawno podobny problem miał GitHub, obecnie Twitter: We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password….

Co ciekawe, na tragedię to nie wygląda, bo wg oświadczenia GitHuba problem dotknął „niewielką” liczbę użytkowników – co ważniejsze problem wyszedł na jaw podczas „regularnego audytu” zlecanego przez GitHub-a. Brawo więc za nie ukrywanie problemu. Firma oświadczyła również, że standardowo hasła przechowywane są w postaci hasha bcrypt, a do haseł…

Całość tutaj. Największa paczka to 5 GB (skompresowana 7z); do pobrania są różne listy posortowane pod względem popularności danego hasła. Cały czas prym wiedzie 123456. Pamiętajcie żeby używać tylko w legalnych celach. –ms

Troy Hunt udostępnia do pobrania bazę przeszło 500 milionów unikalnych haseł, zebranych aż z przeszło 3 miliardów rekordów(!). Troy udostępnia zbiór głównie w celu jego zintegrowania go z funkcją ustawiania haseł w systemach / aplikacjach. Teraz łatwo będzie nie pozwolić użytkownikowi ustalić hasło, które kiedyś publicznie wyciekło. A żeby atakującym…

To nie reklama z Onetu, ale opis przestępczego procederu handlowania skradzionymi loginami / hasłami. Ironicznym jest fakt, analizę umożliwiło użycie przez sprzedawcę tego samego loginu i hasła, co w innym darkwebowym serwisie, który został „złamany”. Jak widać i w „ukrytych” serwisach dba się o kolory i marketing: …jest też i myślenie o…

Ostatnio udostępniono publicznie około 1.4 miliarda par: login / hasło – źródłem jest tutaj spora grupa wycieków z ostatnich lat. Obecnie również całkiem publicznie do pobrania są hasła (w plaintext, bez skojarzonego e-mail) z tego zagregowanego wycieku. Samych haseł jest około miliarda, a unikalnych jest prawie 400 000 000. Swoją drogą,…

Nowego hashcata (4.0.0) ogłoszono tutaj. Największą zmianą jest możliwość łamania długich haseł  (aż do 256 znaków), również takich uzupełnionych o długie sole. Sama ta, pozornie drobna rzecz, zabrała kilka miesięcy pracy. Przyspieszono też działanie narzędzia (w szczególności jeśli chodzi o łamanie WPA/WPA2), usprawniono również działanie na komputerach Apple-a i załatano masę…

Chodzi o zaszyfrowane wolumeny dyskowe Apple File Systems, stworzone przy pomocy standardowego narzędzia Disk Utility. Sam Apple na swoich stronach pisze tak: macOS High Sierra shows your password instead of the password hint for an encrypted APFS volume. Całość na filmie poniżej. Błąd został błyskawicznie załatany przez Apple, choć użytkownicy muszą…

Mamy nową funkcję w znanym serwisie Troy Hunta – haveibeenpwned. Tym razem Troy udostępnia nam możliwość sprawdzenia online czy dane hasło znajduje się na liście tych skompromitowanych (obecnie mamy w bazie około 320 milionów unikalnych rekordów). Czy jest to rozsądne? Mamy mieszane uczucia (wymaga to podania hasła do sprawdzenia, które…

Wersja 1.0 mega słownika jak w tytule. Niektórzy marudzą, że zdarzają się duplikaty haseł. W wersji 2.0 na pewno będzie lepiej ;-) –ms

Joomla! nie ma ostatnio szczęścia, tym razem załatano błąd o wysokiej krytyczności. Podatność występująca aż od wersji 1.6.0 (kilka dobrych lat) umożliwia na zmianę haseł użytkowników czy ich  przynależność do grup (!): Incorrect use of unfiltered data stored to the session on a form validation failure allows for existing user accounts…

Dokładna instrukcja zakupu konkretnego sprzętu, konfiguracji krok po kroku, pomiarów temperatury i  benchmarków (wykorzystanie hashcata). Na deser manual do całości, czyli książka: Hash Crack. –ms