The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Результаты исследования методов захвата учётных записей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Результаты исследования методов захвата учётных записей"  +/
Сообщение от opennews (ok) on 10-Ноя-17, 11:00 
Компания Google совместно с Калифорнийским университетом в Беркли подвела итоги (https://security.googleblog.com/2017/11/new-research-underst...) (PDF-отчёт (https://static.googleusercontent.com/media/research.google.c...)) исследования методов, используемых злоумышленниками для получения контроля за учётными записями пользователей. Судя по статистике более 15% всех пользователей глобальной сети сталкивались с захватом их учётных записей в социальных сетях или сервисах электронной почты. Представленные в отчёте данные получены на основе анализа баз паролей и инструментариев для осуществления фишинга и перехвата паролей, продаваемых на некоторых чёрных рынках.

В качестве наибольшей угрозы для пользователей называется захват паролей в результате фишинга, когда сами пользователи вводят свои параметры входа в подставных формах, стилизованных под оригинальные сервисы. На втором месте кейлоггеры, которые перехватывают и отправляют на серверы злоумышленников локальный ввод пользователей систем, заражённых вредоносным ПО или на которые установлены троянские приложения. На третьем месте использование паролей, фигурирующих в базах данных, полученных в результате взломов крупных web-сервисов (многие пользователи используют одинаковые логины и пароли на разных сайтах).


Из общей массы перехваченных учётных записей, сведения о которых удалось получить в результате исследования, 3.3 миллиарда паролей было получено злоумышленниками в результате взломов, 12.4 млн через фишинг и 788 тысяч при помощи кейлоггеров. В 12% записей, полученных в результате  взломов, фигурировал адрес электронной почты Gmail, который использовался в качестве логина или пароля. При этом в 7% из подобных записей  пароли подходили и для аккаунта в Gmail (использовались одинаковый пароль в Gmail и на взломанном сайте).

12% из паролей, присутствующих в базах, полученных при использовании кейдоггеров, и 25% паролей в базах фишинга, содержали действующие пароли для учётной записи в Google. Но так как из-за многоуровневых проверок для входа мало одного пароля, атакующие также пытаются получить и сопутствующие данные. Например, 82% инструментов для проведения фишинга и 74% кейлоггеров также сохраняют сведения об IP-адресе и местоположении, а 18% номере телефона и модели устройства.


URL: https://security.googleblog.com/2017/11/new-research-underst...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47544

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Результаты исследования методов захвата учётных записей"  +7 +/
Сообщение от sndev (ok) on 10-Ноя-17, 11:00 
Ничего нового. Теже самые методы что и 20 лен назад
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Результаты исследования методов захвата учётных записей"  +2 +/
Сообщение от Аноним (??) on 10-Ноя-17, 11:03 
>Ничего нового. Те же самые хомячки, что и 20 лет назад.

Пофиксил.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Результаты исследования методов захвата учётных записей"  +2 +/
Сообщение от Crazy Alex (ok) on 10-Ноя-17, 13:42 
Как раз хомячки совсем другие. Двадцать лет назад интернет был ни разу не мейнстримом
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Результаты исследования методов захвата учётных записей"  +6 +/
Сообщение от annoynymous on 10-Ноя-17, 14:46 
Ну и что. Хомячки те же, раньше их просто было меньше.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "Результаты исследования методов захвата учётных записей"  +1 +/
Сообщение от pavlinux (ok) on 10-Ноя-17, 15:12 
Вот не надо, в 90-х легко можно было набрать в адресной строке
вместо http:/domain.com/index.html http:/domain.com/passwords.txt

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

40. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от a (??) on 11-Ноя-17, 07:21 
Щас что мешает?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

42. "Результаты исследования методов захвата учётных записей"  –3 +/
Сообщение от Аноним (??) on 11-Ноя-17, 11:38 
Совесть
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

45. "Результаты исследования методов захвата учётных записей"  +1 +/
Сообщение от pavlinux (ok) on 11-Ноя-17, 17:55 
Ваганыч, отпишись о результатах.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

8. "Результаты исследования методов захвата учётных записей"  +7 +/
Сообщение от angra (ok) on 10-Ноя-17, 11:30 
Могу предположить(ввиду отсутствия аналогичного исследования 20-летней давности), что процентное соотношение методов весьма отличается. Например, отсутствует bruteforce, весьма популярный 20 лет назад, а доминирующим является использование паролей из утекших баз других сервисов, чего массово в то время быть не могло.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

31. "Результаты исследования методов захвата учётных записей"  +1 +/
Сообщение от Ordu email(ok) on 10-Ноя-17, 21:16 
Двадцать лет назад SQL-дампы баз разных сайтов продавали на вес, а иногда просто так раздавали. Некоторые лентяи даже не дампами распространяли, а ссылкой на сайт и описанием уязвимости. Ну точнее не 20: что творилось в интернете 20 лет назад я не знаю, не застал, а вот 15 лет назад совершенно точно дампы баз разных сервисов были чем-то заурядным.
Сейчас это меньше распространено, потому что сегодня чаще вместо паролей хранят хеши, а иногда даже с солью.

> Например, отсутствует bruteforce, весьма популярный 20 лет назад

Брутфорс никогда не мог быть массовым способом атаки. Слишком это долго. Для таргетированной атаки он ещё может иметь смысл, но если хочется набрать несколько сот аккаунтов, то перебирать все комбинации символов тупо. А если хеша нет на руках, то ещё и палево -- попробуй не заметить в логах сервера 60^8 записей о неудаче аутентификации... Лучше уж взять словарь на десяток тысяч наиболее распространённых паролей и по нему прогнать угнанные хеши.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

36. "Результаты исследования методов захвата учётных записей"  +2 +/
Сообщение от angra (ok) on 11-Ноя-17, 02:15 
Разница в интернете между 15 лет назад и 20 лет назад больше, чем между 15 лет назад и сегодняшним днем.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Ordu email(ok) on 11-Ноя-17, 11:57 
> Разница в интернете между 15 лет назад и 20 лет назад больше,
> чем между 15 лет назад и сегодняшним днем.

Для меня это пустые и ничего не значащие слова. Без какой-либо конкретики -- это не более чем сотрясения воздуха.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

47. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от angra (ok) on 12-Ноя-17, 05:45 
Предлагаешь мне написать специально для тебя статью на несколько страниц с обрисовкой двух эпох и их сравнением? А может ты просто на википедии почитаешь историю веба, доткомов и войны браузеров?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Ordu email(ok) on 12-Ноя-17, 11:55 
Про историю веба и доткомов я наслышан, но как эта история веба определяла способы взлома аккаунтов мне не очевидно совершенно. И не представляю, как из этой истории можно вывести распространённость SQL-дампов, выложенных в публичных местах.
А тебе я ничего не предлагаю, лишь даю тебе обратную связь -- мне кажется вообще полезно знать, к чему приводят те или иные наши действия. Например, если я кого-то в чём-то убеждаю и привожу аргументы, то мне хотелось бы знать, насколько мои аргументы действенны. При этом, я ни словом не обмолвился о том, что тебе в такой ситуации делать. Твои действия -- это твои действия, и тебе самому следует думать о том, что тебе делать. Это твоё субъектное решение. Я ничего не предлагаю.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

13. "Результаты исследования методов захвата учётных записей"  +8 +/
Сообщение от ryoken (ok) on 10-Ноя-17, 13:01 
> 20 лен назад

На секунду показалось, что человек принципиально только с Ленами знакомится :)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Результаты исследования методов захвата учётных записей"  +6 +/
Сообщение от trolleybus email on 10-Ноя-17, 14:31 
Хорошая стратегия, кстати.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

23. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от rshadow (ok) on 10-Ноя-17, 15:25 
На хабре есть интересная статья о том, что >>>95%<<< сайтов вообще не нужны пароли.

Смысл в том что при отправке письма с регистрацией, положи ключик в ссылку подтвержения и по ней сразу залогинь юзера. И не епи мозг с паролями. Опять же есть всякие oAuth. Одноразовый код в смс. И т.д. Для большинства блогеров, вконтактиков, магазинчиков вполне сойдет.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

33. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от anonymous (??) on 10-Ноя-17, 23:34 
> Смысл в том что при отправке письма с регистрацией, положи ключик в ссылку подтвержения и по ней сразу залогинь юзера.

"ключик" - это сгенерированный пароль?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

38. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от angra (ok) on 11-Ноя-17, 02:30 
Если бы. Просто токен для входа, помещаемый в ссылку. Зайдя на сайт по ссылке оказываешься сразу залогиненным. Используется многими сайтами как альтернативный, а не единственный способ входа.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от angra (ok) on 11-Ноя-17, 02:26 
Статья на хабре это конечно круто, ну а самому немного подумать? Загугли "критическое мышление".
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

44. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Stop on 11-Ноя-17, 17:02 
https://demotivatorov.org/7552/a-chego-dobilsya-ty.html
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

2. "Результаты исследования методов захвата учётных записей"  –2 +/
Сообщение от Аноним (??) on 10-Ноя-17, 11:02 
Ну да, что сейчас первым делом делает среднестатистический новый пользователь сети? Заводит себе почту в gmail. Начинает с ней регаться где попало, заходить через неё на сторонние ресурсы. Ясен пень, тут Гугель будет лидером.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Результаты исследования методов захвата учётных записей"  +1 +/
Сообщение от Аноним (??) on 10-Ноя-17, 11:07 
>Заводит себе почту в gmail

Зочем? Там даже имя учетки без рандомного генератора не подобрать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

22. "Результаты исследования методов захвата учётных записей"  +1 +/
Сообщение от freehck email(ok) on 10-Ноя-17, 15:14 
Зачем что-то подбирать вообще? Просто заставьте пользователя зарегаться на вашем мега-сервисе. :)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Результаты исследования методов захвата учётных записей"  +3 +/
Сообщение от Аноним (??) on 10-Ноя-17, 11:15 
>что сейчас первым делом делает среднестатистический новый пользователь сети?

Сношает моск тому, кто немного более понимает в "этих ваших интернетах". Чтобы он сделал все за него, и комп/смарт не задавал всяких вопросов, от которых происходит зависание и перегрев однобитного межушного ганглия, коим оборудован среднестатистический пользователь. Ну и его регают на ж-мыле с паролем 12345678, который он потом даже не задумывается сменить, ибо нечем и "всежеработает".


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Результаты исследования методов захвата учётных записей"  +3 +/
Сообщение от Е.О.Комаровский on 10-Ноя-17, 13:50 
> Сношает моск тому, кто немного более понимает

Бедный, приходится терпеть нападки родни. И ведь не пошлёшь куда подальше тётку или дядьку двоюродного-на-киселе — от мамки на орехи получишь мигом. Придётся это терпеть… Xорошо, что есть опеннет и можно вылить свою накопленную желчь, а то ведь и травма могла получиться.

Спасибо Максиму Чиркову за профилактику душевных болезней у наших детей!

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

61. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Фуррь (ok) on 28-Ноя-17, 17:35 
Чёртяка, с языка снял :)
Ну прямо вижу, как школьника мамка от каэски отрывает, чтобы тот на "Одноклассниках" её зарегистрировал, а ему это не нравится.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 19:33 
> Начинает с ней регаться где попало, заходить через неё на сторонние ресурсы.

Она же теперь телефон требует, конечно, что ему остаётся делать? Почтовых сервисов, которые не требуют телефона теперь можно по пальцам левой ноги пересчитать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

34. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от anonymous (??) on 10-Ноя-17, 23:43 
Развитие меедицины это, конечно, хорошо.
Но меня очень пугает факт, что теперь есть люди,
у которых количество пальцев разное на разных конечностях.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

5. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 11:10 
ну они [гугл] то хотя бы сбросили пароли в тех учетках, с которых пароль утек или так и оставили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от angra (ok) on 10-Ноя-17, 11:35 
What we learned from the research proved to be immediately useful. We applied its insights to our existing protections and secured 67 million Google accounts before they were abused
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 12:25 
Что-то второй и третий абзацы новости противоречат друг другу.

>На втором месте кейлоггеры
>12.4 млн через фишинг
>3.3 миллиарда паролей было получено злоумышленниками в результате взломов
>788 тысяч при помощи кейлоггеров

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 12:29 
> Что-то второй и третий абзацы новости противоречат друг другу.

Там речь совершено о разных вещах, во вором абзаце о степени угрозы для пользователей, а в третьем о числе перехваченных паролей. Потерять пароль через фишинг на несколько порядков вероятнее, чем через утечку на левом сайте, поэтому несмотря на размер баз по степени опасности фишинг на первом месте, а хаки левых сайтов на третьем.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 12:34 
> We recently announced the Advanced Protection program which provides extra security for users that are at elevated risk of attack

Отчет является такой страшилкой, что всё плохо, но тут мы как корпорация спасения человечества придумали решение. Все к нам на борт!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 19:36 
> придумали решение...

...чтобы от АНБ ничего не укрылось теперь уж точно. Большой брат наблюдает за тобой! Свобода - это рабство.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

55. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аф on 13-Ноя-17, 11:53 
Свобода - это рабство.

Вседозволенность - это беспредел.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

24. "Результаты исследования методов захвата учётных записей"  –3 +/
Сообщение от Некто (??) on 10-Ноя-17, 17:49 
> В качестве наибольшей угрозы для пользователей называется захват паролей в результате
> фишинга,

Ага, сейчас!

Пароль для любого произвольного емайла, что гмайла, что мэйлру, что яндекса стоит 3000 руб. К сожалению, пришлось самому пользоваться (не в криминальных целях, конечно). Послал емайл СМСкой, перевел на телефон 3 т.р. Через 2 дня честно прислали рабочий пароль (кстати совсем не тривиальный - брутфорсом лет 10 подбирать)

А нам все про фишинг лапшу вешают.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 19:38 
> > Пароль для любого произвольного емайла, что гмайла, что мэйлру, что яндекса стоит
> 3000 руб.

Нука, нука, расскажи ка мне, кто ими торгует, аж интересно стало, кто может мой 60ти знак подобрать. Или ты хочешь сказать, что сами яднексы и мейлы торгуют?

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Результаты исследования методов захвата учётных записей"  –1 +/
Сообщение от 0x0 on 10-Ноя-17, 19:56 
Да, блефует, скорее всего. Хотя, возможность таким торговать уже и сейчас есть :)
http://www.securitylab.ru/news/489587.php
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 10-Ноя-17, 20:07 
Да понятно, что блефует, мне просто интересно было послушать, как бы он выкручивался.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Результаты исследования методов захвата учётных записей"  –1 +/
Сообщение от 0x0 on 10-Ноя-17, 21:24 
О! Думаю, до завтра новый шаблон по полному владению подобными ситуациями должен будет уже появиться :))
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "Результаты исследования методов захвата учётных записей"  +3 +/
Сообщение от Аноним84701 (ok) on 10-Ноя-17, 20:20 
> Нука, нука, расскажи ка мне, кто ими торгует, аж интересно стало, кто может мой 60ти знак подобрать.

А так же хакнуть любые акки в телеграме, ватсапе, скайпе и проследить с помощью супер-крутой утилиты <вариант: cкачай бесплатно и даже без смс, вариант2: отправь смс на номер> перемещения мобилки <любой номер> (причем, бают, что особо скилнутые могут отслеживать даже тайные перемещения стационарного телефона).
Главное -- перевести деньги.  А потом можно спокойно жаловаться в Спортлотто или, дабы не страдать в одиночку, отписываться на форумах, что оно реально работает ;)


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

56. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аф on 13-Ноя-17, 11:56 
> что особо скилнутые могут отслеживать даже тайные перемещения стационарного телефона).

Ага, после грамма героина они твои пароли из башки подслушают.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

52. "Результаты исследования методов захвата учётных записей"  –2 +/
Сообщение от лютый жабист__ on 13-Ноя-17, 06:03 
>Пароль для любого произвольного емайла, что гмайла, что мэйлру, что яндекса стоит 3000 руб.

Если убрать из списка gmail то ещё можно поверить...

А иначе угоняешь за 3 тыр адрес у шифровальщиков-вымогателей и рубишь в 10-100 раз больше. Ну-ну...

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

57. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Аноним (??) on 13-Ноя-17, 17:38 
> Послал емайл СМСкой, перевел на телефон 3 т.р.

Да, я тоже про такое слышал. Послать СМСку "NELOH" на короткий номер.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

35. "Результаты исследования методов захвата учётных записей"  –1 +/
Сообщение от anonymous (??) on 11-Ноя-17, 00:00 
Ну, собственно, проблема:

1. количество "ресурс - логин/пароль" довольно большое. Запомнить нереально.
2. мобильный телефон для 2факторной аутентификации - неудобно (бывает нет связи, а некоторое время назад, при переезде в другой регион пришлось менять номер, чтоб не быть постоянно в роуминге)
3. считаю неправильным, что сервис openid знает куда и когда я логинюсь (я хочу устанавливать соединение только с тем сервером, который я в адресной строке набрал).

Что делать?
Меня устраивает вариант со сматркард ридером и хранить на нём личный ключ.
Но сколько сервисов поддерживает это?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от Агроном on 11-Ноя-17, 03:26 
>[оверквотинг удален]
> 1. количество "ресурс - логин/пароль" довольно большое. Запомнить нереально.
> 2. мобильный телефон для 2факторной аутентификации - неудобно (бывает нет связи, а
> некоторое время назад, при переезде в другой регион пришлось менять номер,
> чтоб не быть постоянно в роуминге)
> 3. считаю неправильным, что сервис openid знает куда и когда я логинюсь
> (я хочу устанавливать соединение только с тем сервером, который я в
> адресной строке набрал).
> Что делать?
> Меня устраивает вариант со сматркард ридером и хранить на нём личный ключ.
> Но сколько сервисов поддерживает это?

Хранилка паролей-вот решение!

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

41. "Результаты исследования методов захвата учётных записей"  +1 +/
Сообщение от Random (??) on 11-Ноя-17, 11:02 
> Хранилка паролей-вот решение!

И непременно в облаке.


Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

50. "Результаты исследования методов захвата учётных записей"  –1 +/
Сообщение от Серёга on 12-Ноя-17, 19:31 
>> Хранилка паролей-вот решение!
> И непременно в облаке.

И не только паролей. Ещё данные кредитных карт для интернет-магазинов, паспортные данные и пр... Можно в зашифрованном файле держать, а можно, например, в Standard Notes — тоже в зашифрованном виде и на компьютере, и на мобилке. Тогда всё всегда под рукой будет.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

53. "Результаты исследования методов захвата учётных записей"  –1 +/
Сообщение от лютый жабист__ on 13-Ноя-17, 06:06 
> И не только паролей. Ещё данные кредитных карт для интернет-магазинов, паспортные данные

А зачем хранить номер кредитной карты и паспорта (вообще 10 цифр и 1 дату запомнить несложно), если можно смотреть на карте, которая обычно в кармане? 8)

Вообще, проблема хранения паролей надуманная, файл /root/blabla с правами 600 самое надежное место. Если даже браузер поломают, доступа к этому файлу у него не будет.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

46. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от user_12345 on 11-Ноя-17, 21:09 
> Хранилка паролей-вот решение!

Решение чего? От смс поддтверждения не спасает. Попробуй на гугле без телефона зарегиться, и посчитай на какой день гугл тебя заставит сообщить номер.

Да и вообще пароли передавать по сети это порочная практика. Ну если только одноразовые.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

51. "Результаты исследования методов захвата учётных записей"  –1 +/
Сообщение от лютый жабист__ on 13-Ноя-17, 05:56 
Неправда, 20 лет назад хомячки были другие. Тогда работало даже такое: подключаешься к провайдеру через диалап и сканишь по SMB подсеть (в случае с ROL подсеть этак размером с /16 ), у трети расшарен диск С и там *.pwl файл с сохраненным паролем на инет и домашнее видео с лолЯми и понЯми и прочее гы-гы.

Сейчас хомяки более суровые, даже пароль на вайфае у 95% не 12345678.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от boss_sas_ on 13-Ноя-17, 08:05 
потому что роутеры по умолчанию предлагают пароль посложнее..
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

58. "Результаты исследования методов захвата учётных записей"  +/
Сообщение от sTALK_specTrum on 14-Ноя-17, 11:57 
Да в те времена можно было по почтовому логину/паролю зайти телнетом(!) на сервак провайдера, прогуляться по /etc, et cetera...
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру