RockYou2024 — крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей

:)

Там где ты купил свой отдельный девайс для OTP и Yubikey остались не только твои персональные данные, но и серийники и пр. проданных тебе девайсов. Так что ты не только слил свою приватную инфу третьим лицам, но и добровольно таскаешь с собой дополнительный способ тебя однозначно идентифицировать и взять в оборот третьим лицам. Во какую охеренную безопасность и приватность твоя 2FA тебе предоставляет. :)

Мыши плакали, кололись, но продолжали жрать кактус :)

дайте ссылку на архив, потыкать свои пароли…

SMS есть как опция вроде. Но я ни разу не использовал.

вы неверно читаете «конкретные цифры» :-)

«конкретные цифры» как раз говорят что 2FA - ДЫРA

слишком большой разброс в ответах - от 98% до 50% (при этом обратите внимание - каждая процентовка сформулирована отдельно). Это заказной опрос и такой-же заказной вывод.

2FA позволяет забрать вообще ВСЁ. При компрометации 1 входа

Есть прямая ссылка на архив?

Добрались руки скачать, проверил по своим утекшим триста лет назад - все там же, всё те же. То ли я не регался в дырявом говне, то ли база фейк и компиляция из старых…

Что ты предлагаешь делать? Вообще отказаться от Yubikey и Reiner? Последние уже стали практически везде стандартом. Первые собираются такими быть.

Они гарантируют 190 процентов защиты.

Но тут пришел один анонимус с ЛОР и сказал на весь мир: исследования заказные, спонисорованы производителями юбилеев и лайнеров.

И давайте все двери держать открытыми! Как в прдьезд, так и в квартиру.

В знакипротеста против заказных исследований предлагаю тебе поставить везде пароль 12345321, отключить везде 2FA и запустить информацию об этом во всех соцсетях, чатах и хакерских группах.

Теперь все твои аккаунты имеет железобетонную защиту и не подведены атакам 2FA!

123456 есть среди паролей?

ссылой поделитесь (я набегом не нашел... может слишком быстро набегал?!)

Странный вопрос. Очевидно, что есть. И 123 и 1234, и т.д.

Проверка утверждения о безопасности 2FA-устройств

Утверждение о том, что использование OTP-токенов и Yubikey ухудшает вашу безопасность и приватность - полностью неверно.

Рассмотрим это более детально.

Аргументы против опасений:

1. Ограниченная информация:

   • Серийные номера устройств и данные покупки хранятся у продавца, но это не предоставляет доступа к вашим учетным записям. Серийные номера сами по себе не могут быть использованы для взлома.

2. Криптографическая защита:

   • Yubikey и OTP-токены используют сильные криптографические методы, такие как HMAC-SHA1, RSA и ECC, которые делают генерацию одноразовых паролей крайне безопасной и устойчивой к подделке.

3. Физический доступ:

   • Для аутентификации с использованием этих устройств требуется физический доступ к устройству. Это значит, что злоумышленник должен физически обладать вашим Yubikey или OTP-токеном, чтобы пройти аутентификацию.

4. Отсутствие передачи личных данных:

   • Эти устройства не передают и не хранят личную информацию о пользователе на сторонних серверах. Они генерируют одноразовые коды локально и отправляют их только целевому сервису.

5. Защита от фишинга:

   • Yubikey с поддержкой FIDO U2F и FIDO2 защищает от фишинга, так как коды привязаны к конкретному домену и не могут быть использованы на фишинговых сайтах.

Дополнительные аргументы:

1. Снижение зависимости от паролей:

   • Использование 2FA-устройств снижает риск компрометации аккаунтов, даже если основной пароль был украден.

2. Комплексные системы защиты:

   • В сочетании с другими мерами безопасности, такими как двухфакторная аутентификация с SMS или мобильными приложениями, OTP-токены и Yubikey создают многослойную защиту, усложняющую взлом.

3. Удобство и скорость:

   • Эти устройства упрощают процесс входа в аккаунт, предоставляя мгновенные и безопасные способы аутентификации без необходимости помнить сложные пароли.

Заключение:

Хотя покупка 2FA-устройства может оставлять следы в базах данных продавцов, риски от этого минимальны по сравнению с безопасностью, которую они предоставляют. Yubikey и OTP-токены значительно повышают уровень защиты ваших аккаунтов, особенно в комбинации с другими методами безопасности. Таким образом, утверждение о том, что использование этих устройств ухудшает вашу безопасность и приватность, не соответствует действительности.

Куда мне ввести свой пароль чтобы проверить его на утечку?

В grep.

Там txt-файл. Гуглится по имени файла из новости, качается торрентом. 45 GB в zip, 145 GB распакованный.

В яндекс вбей имя файла. Первый результат — гитхаб, там ссылка на торрент-файл.

P.S. vyv, аналогично

Ты бы еще от холодных криптокошелков отказался.

Так как серийники и твой адрес хранятся в базе данных производителя.

Бгг. Если у твоего «холодного криптокошелька» есть какой-либо производитель кроме тебя. то ты сам себе злобный буратин. :)

Вся, блин, суть холодного криптокошелька и заключается в том, что никто не знает что он у тебя есть.

Мда, душераздирающее зрелище. Результат маркетингового промывания мозгов рассуждает о безопасности и приватности.

Ты ещё микрософтовские get the facts про виндовс сюда запости, для полного пердимонокля. :)

А где скачать-то?

Суть холодного кошелька заключается в том, что сид фраза хранится в защищённом хранилище и ты сам можешь контролировать транзакции.

Это как ChipTAN для онлайн Банкинга.

Даже если базу серийников с адресами ктото сольет (это единичный случай за все время существования рынка холодных кошельков), то злоумышленник должен завладеть также ключом от квартиры, узнать где спрятал Леджер и потом три раза ввести неправильный пин код.

И все, теперь он заблокирован навсегда.

Тогда уж проще украсть саму мненоническую фразу.

Зы. Вы в каком классе начальной школы учитесь?

Я с peers.fm стащил, но там закрытый трекер, смысла ссылку давать нет

Теперь к ней нужна база логинов

Ппц, zip архив почти 46Гб

Где взять прямую ссылку или торрент?

Так перебирать даже без искусственных задержек надо будет до тепловой смерти вселенной. А если задержки, fail2ban и вот это всё, то намного дольше. В чём баттхёрт?

Искусственный интеллект на посткватовом мейнфрейме на ядером реакторе взломает твой пароль за 0.001 секунды.

Страшно?

Как квантовый комп поможет обходить сеть и задержки? Он конечно квантовый, но время ускорять-замедлять не умеет.

Он может читать пароли из твоей головы. Уже сегодня.

Поэтому в голове ничего нельзя держать.

https://btdig.com/

Нагенерил 9 948 575 739 уникальных паролей? Пусть возьмёт с полки пирожок.

RockYou2024 -- крупнейшая утечка данных: опубликованы почти 10 миллиардов паролей (комментарий)

habr
-->
Проверить наличие своих данных в утечке можно через сервис Leaked Password Checker

т.е. заходим на сайт и собственноручно вбиваем свои пароли! прелестно! :о)

Нужно ведь как-то для rockyou2025.txt пароли собирать.

Можно, кстати, им поднасрать, сделав скрипт, который будет раз в минуты «проверять» рандомно сгенерированную последовательность. Если они и правда «честные», то один реквест в минуту никакой погоды не сделает, а если всё сделано ради сбора паролей — изрядно так со временем им подзасрёт базу.

ага, а там возьми, звезды сойдись на небесах - и все что вы настругали взяло и совпало... :о) такой исход имеет место быть вероятным?! :о)

это что-то типа как «защитили от ии все оставшиеся музыкальные последовательности...» :о)

Зачем? Не вижу чтобы в этой утечке было что-то ещё кроме паролей.

TurboPascal79 Понял ошибку в понимании аналогии Logopeft’а и фейспалмишь от своего ответа?

Проверил свои пароли:
пароль, который у меня был на взломанном сайте DosBox — нет;
пароль, который я ввёл после взлома — нет;
старый пароль рута, который я по ошибке ввёл в каком-то чате — ЕСТЬ! — но как часть более длинного пароля;
нынешний пароль рута — нет;
пароль основного пользователя — нет;
пароль, который Скайп отказался принимать, как слишком слабый — нет;
пароль Novel Netware, который пришлось менять как слишком слабый при миграции в облако MS — нет;
пароль, на который сменил — нет;
слабые пароли, которые админы на работе сменили после взлома — ЕСТЬ! — но только как часть более длинных паролей; также нашлись и логины от них;
то, на что их сменили — ЕСТЬ! — но только те, которые не меняют раз в полгода, и как часть более длинных паролей;
пароль на ЛОР — нет;
пароли на другие форумы — нет;
пароли от почты — нет; отсутствует даже тот, который однажды успешно подобрали, но не прошли подтверждение по телефону;
пароли от онлайн-магазинов — нет.

Все пароли, которые нашлись, представляют собой слова естественных языков в именительном падеже единственного числа или аббревиатуры, иногда в комбинации с цифрами. Вроде «pass123».

т.е. заходим на сайт и собственноручно вбиваем свои пароли! прелестно!

Это примерно как брелок с адресом, куда вернуть потерянный ключ. Можно использовать без риска, но не всем очевидно, как. Данный сайт будет интересен для проверки уже скомпрометированных паролей, которыми прекратили пользоваться.

Я там нашел пару своих паролей, которые думал никто не придумает, прошлый от лора тоже есть

Смылс есть, брутфорсить можно root по ssh и прочие сервисы

Типа как джон коннор делал? Разве sshd позволит так часто тыкать пароли?

Судя по логам моего впса долбят без остановки. Ну я настроил fail2ban и теперь они автоматически банятся, но врядли многие это делают

Прикол, гугл не даёт ссылку на гитхаб. Яндекс даёт.

Необходимость пристегиваться это заговор производителей ремней безопасности?

Гаишников же. :)

Огромное количество долбоводятлов уверены, что единственная причина пристёгиваться – это чтобы супостат не оштрафовал. А ещё большее количество долбопассажиров уверено, что по правилам «на задних сиденьях пристёгиваться необязательно». Хотя в ПДД написано совсем другое.

Сжатие «случайных» данных не эффективно. Мало повторяющихся кусков.

Они вообще не случайны, тем более в отсортированном списке из «печатаемых» символов

яжешь дословно выдернул фразу с хабра

Проверить наличие своих данных в утечке можно через сервис Leaked Password Checker

ну как бы логично, да?! пока пароль не «проверишь» - он, возможно, не скомпрометирован, как только проверил - упс!

напоминает: вскрытие показало, что чукча умер от вскрытия! :о)

Объясните пожалуйста как может быть так что пароли утекли?

Ведь вроде бы как на серверах не хранятся пароли, верно? Хранятся их хешсуммы?

Перебором восстанавливать пароли нереально долго ведь, особенно такое количество.

Тогда как их получили? Установили какую-то слежку в веб скрипты? или что? Но ведь и там, вангую, есть какая-то защита и если пользователь вводит пароль в поле вводе на сайте то этот ввод получит исключительно обрабатывающий это поле скрипт и в сеть пойдет только хешсумма а не пароль, ведь так?

P.s. Впрочем на сайт elibrary.ru я точно знаю что админы сайта имеют доступ к паролям. Я когда-то там давно был зареган, потом долго не заходил, и забыл что был зареган :) Потом надо было что-то скачать что есть только там, по старым емайлам я понял что я таки был зареган но никак не мог вспомнить пароль и написал в техподдержку мол так и так, ну и накидал сведений которые помогли бы админам не сомневаться что я это я. Ну и в ответке я ожидал увидеть ссылку на сборос пароля а увидел письмо со своим забытым паролем :)

Безусловно, давайте ещё раз проверим текст на предмет точности и полноты информации, исправим все ошибки и уточним детали.

Исправленный текст

Когда происходит утечка паролей, существует несколько возможных причин, несмотря на наличие механизмов защиты, таких как хеширование. Рассмотрим основные способы, с помощью которых могут утечь пароли.

1. Недостаточное хеширование

Хотя пароли на серверах обычно хранятся в виде хешей, иногда разработчики используют слабые или устаревшие алгоритмы хеширования. Например, использование MD5 или SHA-1 без добавления соли (случайного значения) делает пароли уязвимыми для атак с использованием радужных таблиц.

2. Отсутствие соли

Если хеши паролей не солятся (не добавляется случайное значение к каждому паролю перед хешированием), это значительно облегчает использование радужных таблиц и атак методом «brute force».

3. Использование слабых паролей

Пользователи часто выбирают слабые или распространённые пароли. Даже если пароли захешированы, использование слабых паролей делает их уязвимыми для атак методом «brute force» или с использованием радужных таблиц.

4. SQL-инъекции и другие уязвимости

Если система уязвима к SQL-инъекциям или другим видам атак, злоумышленник может получить доступ к базе данных, включая хеши паролей.

5. Незащищенные бэкапы и логи

Иногда бэкапы баз данных или лог-файлы содержат пароли в открытом виде или хеши паролей. Если эти файлы не защищены должным образом, они могут быть украдены.

6. Установка вредоносного ПО

Злоумышленник может установить вредоносное ПО на сервер или на клиентские машины, чтобы перехватывать пароли. Например, кейлоггеры могут записывать ввод с клавиатуры, включая пароли.

7. Хранение паролей в открытом виде

Некоторые системы могут хранить пароли в открытом виде. Это является грубейшим нарушением безопасности и делает возможным утечку паролей в случае компрометации базы данных.

8. Перехват данных в момент ввода

Хотя современные веб-сайты используют HTTPS для шифрования данных, передаваемых между клиентом и сервером, если сайт неправильно настроен или пользователь игнорирует предупреждения о сертификатах, злоумышленники могут перехватить данные.

Защита и рекомендации

• Использование современных алгоритмов хеширования: Например, bcrypt, Argon2 или scrypt, которые специально разработаны для защиты паролей и включают механизмы для замедления атак методом перебора.
• Добавление соли: Для каждого пароля следует использовать уникальную соль, чтобы усложнить создание радужных таблиц.
• Регулярное обновление ПО и мониторинг уязвимостей: Это включает применение патчей и обновлений безопасности, чтобы закрыть известные уязвимости.
• Шифрование данных на сервере: Бэкапы и логи должны быть зашифрованы, чтобы защитить пароли, даже если эти файлы будут украдены.
• Использование двухфакторной аутентификации (2FA): Это добавляет дополнительный уровень безопасности, требуя второй фактор аутентификации помимо пароля.

Эти меры помогают значительно повысить безопасность паролей и снизить риск их утечки.

Примечания и уточнения

• Алгоритмы хеширования: Важно использовать такие алгоритмы, как bcrypt, Argon2 или scrypt, потому что они созданы для того, чтобы быть «медленными», что усложняет атаки методом перебора.
• Соль и «pepper»: Помимо соли, иногда используется «pepper» — дополнительный секретный ключ, который хранится отдельно от базы данных.
• TLS/SSL: HTTPS использует TLS (ранее SSL) для шифрования данных между клиентом и сервером, и важно использовать современные версии протоколов (например, TLS 1.2 или выше).

Все эти меры в комплексе могут значительно снизить вероятность утечки паролей и повысить общую безопасность системы.

Есть сайт BreachForums.is. Там выкладывают дампы сайтов. RockYou2024 - это не утечка. Кто-то взял собрал все пароли из дампов на том сайте и выбрал уникальные (насчет этого я не уверен, может оказаться, что там просто выхлоп /dev/urandom)

Сообщи их нам, мы сами проверим.

Добрый день.

Никто не мешает взять файлы с репозитория NitroKey, SoloKeys, заказать платы и компоненты, самостоятельно спаять их.

Я так и поступил, заказал платы, заказал компоненты, знакомый работник ремонта телефонов спаял мне все вместе, залил прошивку и пользуюсь ими.