Хакеры украли пароли 2 млн пользователей ВКонтакте, Одноклассники, Facebook и Twitter

да, искать по слову «пони»

вы рады, что смогли сказать «пони» и это оказалось в тему?

Ставлю шекель, что это аккаунты ботов и ССЗБ с паролем 123456.

//вследствие чего желтизна в заголовке

радость секты

Ахаха, у а-рабов украли пароли к банально-огороженой панели управления их банальными зонтами. Драма.

ну хоть одна хорошая новость под конец дня

Нет, я просто не помню заголовок темы точнее :/ Кстате нашёл Пони крадут ваши пароли

На гугле же двухфакторная авторизация. А остальное не нужно.

На гугле же двухфакторная авторизация

Это конечно секьюрненько, но очень задалбывает.

Одно-...

Все рады.

А если бы эти люди использовали Линукс, то их пароли и логины в данной базе не оказали.

Украдена база украденых поролей!

Вполне возможно, т.к. линуксоиды обычно относятся к безопасности серьезнее.

Только вот не пойму почему все радуются.

Двух-...

Она не включена по умолчанию.

Так оно и есть, пароли тупо брутили по словарю. Теперь всем массовым площадкам надо будет ставить ограничения на количество попыток проверки пароля, вот и все.

Да, вместо угона пароля будет залоченный аккаунт. DoS любого аккаунта маленькими силами — замечательное решение проблемы слабых паролей.

С чего это? Обычный кейлогер.

Так всё-таки - мне надо сбрасывать везде пароли? Или нет? А то ничего не понятно.

Нет, всё делалось на клиентской стороне.

где можно проверить наличие своего аккаунта в этой базе?

Ну а логины, логины где?

Если тебе ответят, скастуй меня пожалуйста.

Не думаю, что это обязательно. 100%, что гугл, пейсбук и прочие уже получили списки скомпрометированных аккаунтов, сбросили им всем пароли и разослали хозяевам письма счастья.

Значит по дефолту одно-...

едрить! надо отписываться от пистонотегов, ато еще в хацкеры запишут:(

А может он беспокоится о своёй учётке на ВКонтакте и Одноклассники :)

Вряд ли даже одноглазникам может быть настолько пофиг, что они этого не сделали.

Достаточно будет ставить задержку на 1 час. В соцсетях юзеры обычно залогинены месяцами и такого доса не заметят вообще.

DoS любого аккаунта маленькими силами — замечательное решение проблемы слабых паролей.

Зачем сразу лочить? Сначала потребовать капчу (Гугель, кстати, так и делает... иногда). Потом заблокировать попытки входа с данного IP (или подсети IPv6 какого-нибудь разумного уровня) на час, потом на сутки. В этом случае для перебора паролей понадобятся большие ресурсы.

кому они сдались? )

Потом заблокировать попытки входа с данного IP

Провайдерский NAT. Я же говорю — дешёвая DoS атака. Пытаться перебирать пароли не обязательно.

Вполне возможно, т.к. линуксоиды обычно относятся к безопасности серьезнее.

Они не к безопасности относятся серьезнее, а тешат свою паранойю в большинстве своем. Подход «сейчас я поставлю открытые драйвера, потому что в закрытых ЗАКЛАДКИ и сразу все станет секьюрно» - это просто профанация информационной безопасности.

К безопасности серьезнее относятся специалисты.

Хороший пароль будет перебираться через сеть как минимум миллиарды лет. Без особых задержек.

Провайдерский NAT

Это как? Сидя за NAT попытаться задосить аккаунт пользователя того же провайдера? Во-первых, это надо, чтобы один пользователь провйдера чем-то сильно досадил другому, а другой ещё и должен знать, какой аккаунт досить. Во-вторых, сайт может послать владельцу аккаунта на e-mail лог IP, портов отправления пакетов и время подключения, после чего тот может послать жалобу провайдеру. В некоторых странах даже в полицию.

Аккаунты всех пользователей того же провайдера, например. При наличии в ботнете нескольких провайдеров — заметный в глобальных масштабах DoS за копейки. А привлечь кого-то к ответственности только из-за того, что у него троян, нереально. С динамическими ip и бесплатным wifi непонятно, что делать. TOR (который и без этого блокируют везде) опять страдает.

Любая блокировка эндюзера по IPv4 — самая тупая идея, что вообще может прийти в голову. В IPv6 — тем более.

И, опять же, это не решает ни одной проблемы. Сильный пароль и без этого нельзя сломать без взлома сервера.

У меня на гуглопочте пароль 123456 и что в этом плохого? Без подтверждения в смс ты туда не зайдешь.

Хороший пароль будет перебираться через сеть как минимум миллиарды лет.

Никому не нужны полтора хороших пароля, если за то же время можно сбрутить тысячи плохих.

Никому не нужен сайт, который из-за попытки брута плохих паролей станет недоступным/неюзабельным для нормальных пользователей.

Брутить тысячи плохих — пожалуйста при условии, что работает защита от ботов (не путать с капчей). В конце концов, если юзер ставит пароль «123456», то защищать его блокировкой потенциально легитимных юзеров — тупо и нереально (рано или поздно его сломают). Блокировка легитимных юзеров == потеря денег.

Со всем вышеперечисленным я не спорил, комментарий касался лишь пункта о миллиардах лет. Кстати, можно и ограничивать, допустим, после 5 попыток входа. Но, не полностью блокировать вход, а требовать двухфакторной аутентификации. То есть такой гибридный метод. Таким образом, получим а) быстрый вход без ожидания SMS и поиска телефона б) достаточную степень защиты от брута. Конечно, такая фича должна быть опциональной — не люблю насильственные привязки к телефону.

Да мне то что? Я вроде не намерен заходить.

когда хакеры украдут столько же буржуйских денег из бандитского банка, выпью супу за здоровье

Сильный пароль и без этого нельзя сломать без взлома сервера.

мм

keylogger.

ВКурсе, что это такое?

Так это не взлом, а кража.

а моя новость про взлом что ли?

Если стащат «отпечаток» браузера, то зайдешь. Круче всего у близзард сделано — аутентификатор требуется на каждый чих.

Цифры не впечатляют, мягко сказать. На такое и хакать ничего не нужно.

Ну тогда и айпи пусть тащат, чего уж. Или дадут исходники вируса и ман по сборке.

Чего чего, а гогна не жалко. =) Хотел посмотреть хакнули ли мою учётку в гуголе =)