RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

Ппц, zip архив почти 46Гб

Пользуюсь keepassxc и его встроенным генератором паролей, гораздо проще жить.

При новых регистрациях проще считать, что данные утекут немедленно, несмотря ни на что.

Странно, новость то серьёзная, но пока ни одного комментария или вопроса.

Буду первым: а насколько быстро пополняется база утечек парольных менеджеров типа Bitwarden актуальными данными? Есть ли Bulk API, который смог бы проверить пароли всех учетных записей?

И, с другой стороны: предположим, что все пароли в базе уникальны и сгенерированы генератором и имеют стойкость больше ста бит.

Какова вероятность компрометации хотя бы одного пароля в результате этого и последующих инцидентов?

Более точно: можно ли этой вероятностью пренебречь?

1. они, наверное, без логинов поэтому потенциал только для перебора в задаче обращения хешей (если соль известна)

2. скорее всего большая часть сгенерирована, а не слита

Короче, ничего интересного.

Ну и? Смысл лишь в брутфорсе, даже без сопоставления логинов - неинтересно

Небесполезен и второй фактор, благо есть копеечные решения.

Да, походу только пароли, не самая интересная утечка

#~~S#
#~~__|gk>Te
#~~aaa
#~~crazy~~
#~~crazy~~
#~~logic~~#
#~~~~~~##_
#~НfoollersК~#
#§YVn*xbtHPvV§F|
#äertfg23
#ďęľ_çrişťø
#АнГеЛо4еК#
#Б@j)еБ1(9#&Д78@дeP
#Виктор
#Водки_нету#
#ГОПНИК#
#Диплом@Гуфи&47
#ИМЯ?
#Крест7#
#Кузя#
#Кутенок#
#МАКС№
#Мл!5%
#П%1ы)эсj8чХЬ&пэ(ЪОCy?F

Ты нашел там все свои пароли? Страшно?

Неа

То есть нашел. Но не страшно? Так как везде 2FA поставил? А если это SMS?

Пиши свой, я за тебя поищу.

12344321

Это мой пароль от Банкинга.

Тьфу ты, это ж только словарь паролей, а я было возбудился. Могу дать базу всех пинов банковских карт, интересует кого?

Теперь ты мне дай номер твоей кредитки, срок действия и CVV.

Я найду, не скомпрометирована ли она.

Ты мне также на форуме должен писать SMS TAN для сверки. ОК?

Да. Только добавь туда номера кредиток и адрес, где их все можно найти

Пароль без логина - деньги на ветер.

Долго качается… Интересно, есть ли там легендарный Cjhjr nsczx j,tpmzy d ;jge ceyekb ,fyfy

Десять миллиардов - это по одному на человека. Я не уверен, что столько людей вообще на планете есть.

Десять миллиардов - это в среднем два пароля на пользователя интернета (по данным ООН это 63,1% от 7,95 млрд человек вообще), или свыше одного пароля на человека. Конечно есть и пользователи менеджеров, у которых каждый пароль разный, и те, у кого один пароль от всего.

.txt

содержит 9 948 575 739 уникальных паролей

Make me unsee it

И гмыло и амазон требуют подтверждения при заходе с нового места/девайса. Чем может быть полезна хакерам утечка поаролей с каких нить торрент.сру или вконтакта ума не приложу. Разве что нигерийские письма рассылать.

Но хранить свои пароли в одном месте идея плохая. Поэтому первые 10 символов я храню в keepASS, а оставшиеся 30 у себя в башке. Конечно не для всех сервисов, а только для важных. Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Это страшнейший антипаттерн.

Ты вообще школу Абовяна проходил? Любой разбиение секрета — путь к верной потере доступа к этому секрету.

Что не так? Формат как раз выбран правильный и подходящий. Зря только они его в zip запихали — грепать неудобно. Надо было бы в .gz или лучше .zst пожать.

Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Что значит кое-где? Это сейчас везде.

И что означает разное? Говори по-русски!

Интернет-пользователь в среднем пользуется намного больше, чем одним интернет-ресурсом. У многих людей во всяких там keepassx и подобных по 50–200 паролей для различных сайтов/имейлов/программ и т.д. и т.п.

Но хранить свои пароли в одном месте идея плохая. Поэтому первые 10 символов я храню в keepASS, а оставшиеся 30 у себя в башке.

Так себе идея.

Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Что правильного в том, что сильно ухудшает удобство пользователя? Опционально — да, прекрасная штука. Но заставлять — это моветон. Во-первых, просто уникального сильного пароля достаточно, от всех вот таких вот утечек, как эта, он спасает полностью, не спасает только от утечки базы непосредственно данного сайта. Во-вторых, пользователю может быть маловажен ресурс и его учётка на нём. Это может быть какой-то форум, где он зарегался только чтобы один раз ответить, или ещё какой-нибудь сайт, где он зарегался, чтобы один файл скачать, или иногда качать, периодически — всякое OTP будет только напрягать и всё, при том, что этому пользователю вообще насрать, что произойдёт с его аккаунтом, и ему совсем не жалко, если его «уведут» — тупо зарегает новый.

Для каких-то особо серьёзных случаев, в первую очередь связанных с деньгами (банки, маркетплейсы), это, конечно, правильно. Но порой к этому прибегают там, где это попросту не требуется.

Поэтому первые 10 символов я храню в keepASS, а оставшиеся 30 у себя в башке

И все эти 30 символов от 200 паролей хранятся в башке.

В самом надежном месте хранения. Ага.

Почему ты мне на это отвечаешь? Это же цитата, и я как раз говорю, что это так себе идея.

просто уникального сильного пароля достаточно

У вас двойка по безопасности! Жирная! Вон из профессии!

Зы. Вы в курсе, что такое «доверять браузеру или устройству»? Вы когда-нибудь логинились на сайтах с 2FA?

Ну ещё OTP разное делать заставляют кое-где и я считаю что это пральна.

Что значит кое-где? Это сейчас везде.

Ну вот на ЛОРе нет, например. Уже не везде.

У вас двойка по безопасности! Жирная!

Нет, как раз у вас. Первое правило — безопасность должна быть достаточной и соответствующей задаче. Усилия для её достижения должны быть адекватны ценности защищаемых данных.

Вы вырвали из контекста фразу, пытаясь выставить это так, будто я сказал, что всегда достаточно. А это не так. Достаточно иногда. Всё зависит от важности того, что этой самой безопасностью защищается.

Зы. Вы в курсе, что такое «доверять браузеру или устройству»?

Естественно. И оператору связи тоже. Есть ситуации, когда защищаемые данные недостаточно важны, чтобы не доверять браузеру или устройству.

Вы когда-нибудь логинились на сайтах с 2FA?

Конечно. Много где использую. И при этом много где отказался от регистрации и использования из-за навязывания 2FA там, где оно не надо.

Это что за контора такая, которая хранит пароли своих пользователей в открытом виде, что их можно украсть? Почему не в виде солёных хэшей?

У вас двойка по безопасности

А объяснение почему недостаточно будет? Или предлагается уверовать? Двойку пока попридержи у себя.

Почему вы меня фейспалмите? Пройдите элементарный курс по безопасности.

Посоветую сделать то же самое именно вам. А если уже проходили, и там вам не объяснили, что усилия по безопасности должны быть адекватны защищаемым данным, пройдите какой-нибудь другой — этот плохой был.

Сгенерировали в keepass 10 млрд. паролей и выложили. Ужасная утечка.

То есть вы сейчас ставите под сомнение всю систему безопасности к которой шли десятилетиями, которую внедрили уже все.

А вам, видите ли, лень вводить циферки и вставлять ключ безопасности.

Зы. Вы бы еще поставили под сомнение правила дорожного движения. Переходить только на зелёный свет - это же не круто.

И чтоб совсем добить, я больше скажу. Только заранее сядьте и помните, это всего лишь интернет, а то боюсь, вас удар хватит:

Я на сайтах с регистрацией на выборос (чтобы скачать что-то. Надо будет через 5 лет скачать ещё что-то — заново зарегаюсь) вообще регистрируюсь с неуникальным паролем, причём недалёким от Password12345.

А когда сервер создаю в каком-нибудь Hedgewars, чтоб сыграть партейку-другую с друзьями, вообще пароль вроде 666abc ставлю. Потому что если кто-то левый даже вдруг забрутфорсит и зайдёт, его можно тупо кикнуть, а друзьям меньше париться со вводом.

Понимаю, это, наверное, серьёзное потрясение. Сделайте глубокий вдох, приведите пульс в порядок, а потом расскажите мне, как же сильно я неправ и виноват перед всем миром, ничего не понимаю в безопасности, и как именно меня из-за этого вот поимеют хакеры. Жду.

Я ничего не ставлю под сомнение, я прошу подтвердить свои слова аргументами) А то от тебя только «пройдите курс» слышно. Аргумент к авторитету - не аргумент.

А вам, видите ли, лень вводить циферки и вставлять ключ безопасности.

Вставь ключ безопасности у меня на роутере, умник.

Зы. Вы бы еще поставили под сомнение правила дорожного движения. Переходить только на зелёный свет - это же не круто.

Аналогии пошли. Хорошо, давайте играть по правилам аналогий: вас не смущает существование нерегулируемых переходов на дорогах, где за час хорошо если две машины проедут? Там везде надо поставить светофоры и переходить только на зелёный?

Уже давно нигде не регистрируюсь и не имею электронной почты

Не намного больше XML-файла ФИАС России, например.

Там большая(?) часть не сгенерированных, а вполне «осмысленных». Именно они с наибольшей вероятностью неуникальны, а соответственно использование такое базы для брутфорса может быть вполне плодотворным.

Итак, то есть для тебя правило двухфактороной безопасности при переходе через дорогу на пешеходном переходе со светофором — пустой звук?

То есть сначала нужно посмотреть по сторонам, нет ли машин. А потом посмотреть на светофор — убедиться, действительно ли горит там зеленый свет.

Эти правила должна тебе мама рассказывать во втором классе.

И на уроках ПДД в школе.

Эти правила не нуждаются в аргументации. Они написаны жизнями миллионов людей.

Для тебя труп или взломанный аккаунт является аргументацией?

Это пожатое. Внутри 145 ГБ, так что всё же непожатых данных ощутимо больше ;)

Прочитал первое слово, понял, что это из Лукьяненко.

при переходе через дорогу

Никто не говорит про ПДД, мы обсуждаем ИБ.

Эти правила не нуждаются в аргументации

Ты просто плохо прошел курс от Хачатуряна. Пройди ещё разок.

Для тебя труп или взломанный аккаунт является аргументацией?

Гениальный аргумент. Если я скажу нет - что ты будешь делать?

...архив почти 46Гб

А я, прикинь, когда-то давно всем этим занимался. Ну, там, вёл архивы утечек, вирусов. Общался в этом вашем даркнете и ты.ды.

Теперь всё в прошлом.

утечки я тоже собирал, там под терабайт халма уже набралось, всё надеюсь что однажды сяду и создам мега супер базу, но чёт уже года два жду этого момента