RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

Уже давно везде регистрируюсь и имею много электронных почт

Эти правила не нуждаются в аргументации. Они написаны жизнями миллионов людей.

Вспоминается история с сайта анекдотов, как пришёл на фирму новый админ, узнал, что сотрудники пользуются простыми паролями вроде «Ира А 123», сгенерил всем «правильные» вида «fq5nT_c4u_E57dGwJ», а на следующий день прошёл по кабинетам и увидел, что на каждом мониторе висит бумажка с паролем к.

Вопрос к знатокам: насколько просто «социальной инженерией» или перебором подобрать пароль к той же почте, если он создан легко запоминаемым по принципу «Леха 23 Олегович», набирать в латинской раскладке? Учитывая, что «Александр Олегович» твой племяш, а 23 – номер соседнего кабинета?

Качнул. Проверил самые старые действующие пароли, которым 19-5 лет. Ни одного не нашёл.

А теперь внимательно читаем в словаре Ожегова определение термина «Анекдот»

Ппц в том что там один текстовый файл.

В какой же форме хранились пароли?

https://cybernews.com/password-leak-check/

How does this tool work?

Our free online tool scans a collection of 988 million leaked passwords. To check if your password is compromised:

Enter the password you want to check in the search bar *We won’t save it – the tool only uses the password to generate a hash!

и уходит POST запрос на https://data-leak-check.cybernews.com/chk/password с json:

{"password":"qweqwe"}

вот так 10 млрд и собрали :)

Никто не говорит про ПДД, мы обсуждаем ИБ.

Ты внимательно читал то, что я написал?

Да, ты писал тупые аналогии к ПДД. Надо ли объяснять, что доказательство по аналогии - это удел дилетантов, которые в теме вопроса не разбираются? Или посоветовать тебе в твоей манере пройти курсы по формальной логике?

достаточно того, что эти 30 -одинаковые. ну во всяком случае - пока.

У меня есть база из 281.5 трлн уникальных паролей но я не знаю как её кому-то дать скачать - слишком долго будет.

Я тебе ничего не доказывал.

Ты вообще в курсе, что правила техники безопасности НЕ НУЖДАЮТСЯ в доказательстве каждому конечному пользователю.

И по ним, кстати, сдают экзамены.

Не прошел их — не допущен.

требует незамедлительных действий со стороны всех пользователей

Незамедлительно поменял «12345» на «раздватричетырепять» :)

Конкретные цифры и данные исследований о безопасности двухфакторной аутентификации (2FA) предоставляют убедительные доказательства её эффективности. Вот несколько ключевых статистик и выводов из исследований:

1. Исследование Google

Google провел масштабное исследование эффективности 2FA и получил следующие результаты:

• Риск фишинга: 2FA на основе SMS блокирует 96% всех массовых фишинг-атак, а использование аутентификационных приложений (например, Google Authenticator) блокирует 99% таких атак.
• Автоматизированные атаки (боты): 2FA на основе SMS блокирует 100% автоматизированных атак.
• Целевые атаки: Аппаратные токены (например, Google Titan Security Key) блокируют 100% целевых атак, в то время как SMS-базированные 2FA и аутентификационные приложения блокируют 76% и 90% соответственно .

2. Microsoft

Microsoft сообщает, что использование 2FA может предотвратить до 99.9% атак на учетные записи. В исследовании, проведенном Microsoft, было обнаружено, что только 11% пользователей используют 2FA, но те, кто используют, значительно снижают вероятность взлома своих аккаунтов .

3. Symantec

Согласно данным Symantec, аккаунты, защищенные 2FA, имеют в 25 раз меньше шансов быть взломанными по сравнению с аккаунтами, защищенными только паролем .

4. Facebook

Facebook сообщил, что после введения обязательной двухфакторной аутентификации для своих сотрудников, количество компрометированных аккаунтов снизилось на 50% .

5. Влияние на киберпреступность

Исследование Verizon Data Breach Investigations Report 2021 показало, что 80% взломов аккаунтов происходят из-за слабых или украденных паролей. Введение 2FA может значительно снизить этот процент .

Вывод

Цифры и исследования ясно показывают, что 2FA существенно снижает риск взлома аккаунта:

• Блокирует 96-100% фишинговых атак.
• Предотвращает до 99.9% всех атак на учетные записи.
• Снижает вероятность взлома аккаунта в 25 раз.
• Уменьшает количество компрометированных аккаунтов на 50% в корпоративной среде.

Эти данные подчеркивают важность внедрения двухфакторной аутентификации для защиты ваших онлайн-аккаунтов и данных.

Источники:

1. Google Online Security Blog
2. Google’s Research on 2FA
3. Microsoft Security Blog
4. Symantec Internet Security Threat Report
5. Facebook Security Blog
6. Verizon Data Breach Investigations Report 2021

хранить свои пароли в одном месте идея плохая
а оставшиеся 30 у себя в башке

Противоречие...

Перечисленные юрлица имеют большую заинтересованность в успехе 2FA. Вот тебе некоторые факты по поводу 2фа:

1. 2FA был сломан в нескольких местах как в частном, так и в массовом масштабе. А вот на деле схема аутентификации преподносится как безгрешная и неприступная, и чаще всего - безальтернативная.

2. При использовании данной схемы аутентификации вы раскрываете сугубо чувствительную информацию о себе, чего хотят большие дяди для анализа и продажи ваших данных;

3. При взломе записи, защищённой по 2FA, можно натворить гораздо дел больше качественно и количественно - т.к. там же всё «безопасТно», можно из одной учётной записи безвозвратно грохать большие проекты и получать доступ к информации, о размещении которой в доступе иначе могли бы подумать десять раз.

4. Как правило, мобильных номеров у людей гораздо меньше, чем почтовых ящиков - при получении доступа по номеру вектор атаки будет гораздо больше.

Я всё сказал, 2FA нужно пинками и матами стащить с пьедестала светоча безопасности и сломать колени.

Аргументы в защиту 2FA

2FA по-прежнему остается важным инструментом для повышения безопасности.

Вот почему:

Снижение риска: Даже с учетом уязвимостей, 2FA значительно снижает риск взлома по сравнению с использованием только пароля.

Адаптивные методы 2FA: Существуют более безопасные методы 2FA, такие как аппаратные токены (например, YubiKey), которые менее подвержены фишинг-атакам и SIM-swapping.

Разнообразие методов: Пользователи могут выбирать между разными методами 2FA, включая аутентификационные приложения, биометрию и аппаратные ключи, что позволяет минимизировать риски, связанные с конкретным методом.

А вот на деле схема аутентификации преподносится как безгрешная и неприступная, и чаще всего - безальтернативная.

Там куча альтернатив.

И да, приведи примеры взлома аппаратных ключей Yubikey.

И, какая именно чувствительная информация передается в Google после защиты аккаунта этим аппаратным ключом.

Ссылка на твой аккаунт на Госусулугах?

И да, это не аргументы в пользу НЕ ИСПОЛЬЗОВАНИЯ 2FA.

В чём противоречие? Половину пароля генерируешь кипасом, а вторую придумываешь сам.

Все так разочаровываются, что это только пароли. А может у хакера инфы сильно больше в наличии, не для публики.

Противоречие в том, что «у себя в башке» — это тоже то самое «одно место»...

2FA был сломан в нескольких местах как в частном, так и в массовом масштабе.

Можно подробнее? Когда? Где? Как?

Могу дать базу всех пинов банковских карт, интересует кого?

Недавно выкладывали интересную статистику, какие пины как часто используют.

Для особо одаренных: пароль из цифр, больших и маленьких буковок генерируется KeepasXC, чтобы его стойкость была чуть больше 100 бит. Это 18 символов.

А потом 3 спецсимвола из набора % и ! генерируется кубиками и монетками.

Монетка определяет, какой спец символ выбирать, кубики на какое место вставлять.

Можно еще подбрасыванием определять, с начала или с конца начинать отсчет, на какую позицию вставлять спец символ.

Я надеюсь этот алгоритм не нужно доказывать? Всем понятно, что тут аж три источника случайности, что гарантирует криптостойкость максимального уровня

Большое спасибо за очень наглядную демонстрацию карго-культа. А то у меня в плане софта и выбора инструмента именно компаниями были, а вот чтоб на форуме онлайн в дискуссии, как-то не было под рукой. Добавил тред в закладки.

А вот эффект Даннинга-Крюгера был продемонстрирован не слишком наглядно, к сожалению. Но его-то более наглядных примеров полным полно и без этого треда, так что ничего страшного.

ОК. То есть ты считаешь, что правила техники безопасности спонсируются производителями оборудования для обеспечения этой самой безопасности? Необходимость переходить на зеленый свет это заговор производителей светофоров.

Необходимость пристегиваться это заговор производителей ремней безопасности?

Откуда заговоры и спонсирования взялись? Я ничего даже близко к этому не говорил.

upd: лол, что ты фейспалмишь, болезный? Сам читает что-то из собственной головы вместо того, что написано, сам потом недоволен, когда спрашивают, откуда это вообще… Может проспаться надо просто?

Пароли нужно менять 3 раза в день.

Ходить вместе с кубиками и монеткой.

Тогда твои волосы будут мягкими и шелковистыми.

/thread

Проверил. Cjhjrnsczxj,tpmzy есть, также с заменой обезьян на другое животное и даже португальца: cjhjrnsczxckjybrjd4, cjhjrnsczxmnfhfrfy, cjhjrnsczxkjifltq и cjhjrnsczxgjhneufkmwtd. И даже cjhjrnsczxmnfhfrfy есть. Но никто из них ничего с бананом не делает. Незачёт. Ждём нового слива.

Леха
Александр

Ну… не сказал бы, что интуитивненько.

...однажды сяду и создам мега супер базу, но...

😁

Знакомо.

А у меня была база по вирусне, на Postgresql'е она крутилась. Довольно мощная она была. Ещё бы ей не быть мощной: больше 10 лет ей занимался, в одиночку !!!

А вот по утечкам, нет, такой базы не было. Просто файлы лежали в хомяке заархивированные и всё. Всё дело в том, что утечки было трудно формализовать или я не придумал пока, как это сделат лучше. Нужно же было, кроме всего прочего, и скорость запросов обеспечить. А это вам не хухры-мухры! 😎

А! Зря я только с переключением на английскую раскладку искал. Всё есть!

10000обезьянвжопусунулибанан
...
30000обезьянвжопусунулибанан
30000обезьянок
30тысячобезьянвжопусунулибанан
...
38обезьян
38обезьянвжопусунулибанан
...
40000обезьян
40000обезьян.вжопусунулибанан
40000обезьянвжопувсунулибанан
40000обезьянвжопусунулибанан
40000обезьянвжопусунулибонан
40000тысячьобезьян
400обезьян
...
обезьянасидитнаколонкесбантиком
...
СОРОКТЫСЯЧОБЕЗЬЯНВЖОПУСУНУЛИБАНА
СОСИ***ОБЕЗЬЯНАБЕЗКОНТАКТА
...
сороквосемьобезьянвжопусунулибан
сороктысячабезьянобезьян
сороктысячобезьян
сороктысячобезьянвжопу
сороктысячобезьянвжопусунулибана
сосите***упьянойобезьяны
...
явставлювамб***ьяичникиобезьяны

(замена на звёздочки моя)

У нас на фирме решили, что 2фа для простаков, и внедрили 3фа. А через год планируется переход на 4фа.

Вы хотя бы перешли с SMS на OTP

Там не пароли, а какая-то мусорная свалка. Как, например, вот эта строка может быть паролем? «1c2355d9fb23aa490fe38e89e7ab164cb3ef274db488467cae9745a0d5116dc78dad7b8993d1ea1f1c96728acd089ac372403b403100780d1777d57b9474f8a0»

А в чем проблема?

Почему бы ей не быть паролем, если человек не очень умный и считает, что решает только длина, даже если вся строка состоит из шестнадцатиричных чисел? Там и постраннее есть.

А почему никто не сделал ревизию моего алгоритма генерации паролей на основе трех источников случайностей?

Почему никто не сделал, я не знаю. Почему я не сделал — потому что не вижу смысла. Вы так ярко показали в этой теме уровень своего понимания ИБ, что любые комментарии излишни.

А так в целом ничего сильно страшного не случится, если пароли генерировать так, так что почему бы и нет. Кроме того, что требуется слишком много усилий для генерации энтропии, достижимой гораздо меньшими, там критиковать нечего, оно сойдёт. Ну ещё можно придраться, что монетка и кубик — это не два источника, а по сути один — контроллируемые самим юзером псевдослучайные физические процессы; поэтому если уж так упарываться, то в качестве третьего источника надо брать или какой-то квантовый процесс, или например белый шум в радиодиапазоне из космоса.

Ха, можно спокойно брать любой пароль из этой базы, ведь кто позволит спамить какой то ресурс миллионами попыток входа? Не говоря уже про миллиарды

Особенно если надо еще СМС код ввести

Плохо искал

Пароль без логина - деньги на ветер

Золотой комментарий! И ладно бы еще логин, только вот от какого сайта или приложения. А потом сразу СМС. Некоторые банки сразу запрашивают - сначала типа называй СМС, а только потом пытайся пароль. Ввел миллион кодов и нашел - угадал с миллионной попытки а теперь пытайся 1 пароль

Так все черные дыры испарятся, а диск с важными данными давно микробы съедят

Так уже давно никто и не брутфорсит. Просто сделают из этого списка паролей радужную таблицу и будут её гонять по слитым базам данных других сервисов.

Там и постраннее есть.

Так я и говорю, там не только пароли, а свалка каких-то рандомных файлов. В начале файла вообще нули, а потом оглавление какого-то отчёта. Бред полный. Конечно там есть и пароли, но их точно не 10 миллиардов.

Ты первый давай

2FA по-прежнему остается важным инструментом для повышения безопасности.

2FA (в принятой нынче форме реализации и юзкейсах) вообще никакого отношения к безопасности не имеет вообще никак.

Зато имеет отношение к:

1. Сбору приватных данных пользователей которые совершенно не требуются для работы сервиса с целью последующей продажи всем кто готов платить деньги.

2. Доказательству количества пользователей для финансовой сферы. Стоимость корпорации оказывающей публичные услуги определяется количеством реальных пользователей. От стоимости корпорации зависит размер кредитов и госдотаций. Финансовой элитке уже давно не получится предъявить список логинов в качестве доказательства, а вот список номеров телефонов их вполне устраивает. И менеджеры корпораций легко получают огромные кредиты с удовольствием распиливая их не заботясь о том, что их кому-то придётся возвращать - к тому времени можно будет взять кредит побольше за счёт лошков предоставляющих свои телефонные номера. «Прибыльность» одного телефонного номера чисто в смысле кредитных махинаций может составлять до нескольких тыщ долларов в год. Это даже не беря в расчёт продажу приватных данных всяким трёхбуквенным агенствам и различным рекламщикам и мошенникам.

3. 2FA имеет смысл только при наличии двух разных каналов обмена данными которые гарантированно не могут быть одновременно под контролем одной и той же сущности или, как вариант, псевдорандомных девайсов генерирующих идентичные последовательности. В текущих условиях канал передачи данных применяется только один и он на 100% под контролем одних и тех же сущностей. И говоря о псевдорандомых девайсах я говорю вовсе не о сраных юбикеях, при покупке и рагистрации которых человек выдаёт корпорациям чуть ли не больше приватных данных чем при использовании телефона. Речь про девайсы которые пользователь может полуичть, сделать или запрограммировать самостоятельно, без ведома третьих лиц. Если тип и производителя девайса диктует корпорация - это ничем не отличается от требования номера телефона и банковских реквизитов «для вашей безопасности».

4. Очень забавно, что именно корпорации требуют от пользователя 2FA, при этом ни одна корпорация даже не рассматривает при этом возможность того, что ей бы тоже неплохо было бы двухфакторно аутентифицироваться перед пользователем чтобы доказать что это действительно корпорация с другой стороны, а не какое-нибудь третье лицо. Странно, не правда ли? Корпорация требует от пользователя 2FA, но сама при этом категорически не желает авторизовываться двухфакторно перед пользователем. Почему бы какому-нибудь Брину или там Цукербергу не давать номер личного телефона пользователю, чтобы тот мог удостовериться что он действительно общается с гулем или там пейсбуком каким?

Сраные лжецы, лицемеры и мошенники.

Мальчик, я в качестве 2FA использую только OTP и Yubikey.

Причем OTP генерируется не на смартфоне, а на отдельном устройстве.

Давай переписывай свое полотно с учётом этой информации.

Качнул. Проверил

Вот т. майор и придет к вам одному, а выложил бы урл, то шампанского столько не наберет

Кек, можно что угодно притянуть