#programowanie #programista15k #hakerzy #haslo #gownowpis
@Suodka_Monia swoją drogą na hejto jest fajnie wymyślone że jak napiszesz swoje hasło to ci je automatycznie wygwiazdkuje więc tutaj plusik za dopięcie bezpieczeństwa na ostatni guzik
@Rudolf serio?
QWERTY12345
@Kahzad ***********
@Kahzad coś kręcisz skoro u mnie działa
@Rudolf ***** ***
@Rudolf krzysiobosaknajpiekniejszy69
@Rudolf adminlogin
@Rudolf EJ NIE DZIAŁA!
@Rudolf okoń
@Suodka_Monia Zalleży czy serwer czy inna usługa będzie w stanie odpowiadać z wystarczającą prędkością na pytanie "czy to hasło jest właściwe"
@Dalmierz_Ploza nie trzeba pytać serwera, jeśli całą bazę masz u siebie
@Suodka_Monia Dlatego najlepiej mieć hasło w postaci frazy, z jakąś literówką czy podmianką. Coś w rodzaju "Mlazl kotek na plotek i mruga. xD" - z punktu widzenia brute force nie do ruszenia - 32 znaki, duże i małe litery, znaki specjalne. Słownikowo też nie bardzo, bo żadne słowniki tego nie ogarną. Trywialne do zapamiętania, i praktycznie nie do ruszenia, nawet atakiem offline na bazę hashy. ¯\_( ͡° ͜ʖ ͡°)_/¯
@LondoMollari bez znaków specjalnych i liczb to wciąż słabizna. jedyna opcja to unikalne hasło per strona w dodatki aliasy do email, nawet jeśli ktoś dopadnie jakaś bazę, to email i hasło nigdy nie będzie użyty na innej stronie.
@LondoMollari
32 znaki, duże i małe litery, znaki specjalne
I dostajesz zespół cieśni nadgarstka, na leczenie którego wydasz więcej niż konto, którego dane są chronione takim hasłem, są warte, jak będziesz musiał wklepywać je dzień w dzień, czy nie daj boże częściej, np. przy wylogowaniu ze stacji.
Dobre hasło musi jeszcze być szybkie do wpisania i nie męczyć łap, jeśli się je często wpisuje.
O menadżerach haseł nie słyszałeś?
@tellet przecież wystarczy Bitwarden, wszystkie hasła mam inne, większość ponad 15 znaków, do tego tam gdzie się da 2factor w postaci kodów jednorazowych albo klucza sprzętowego i w zasadzie mogę spać spokojnie.
@tatarysh W tym roku, moim noworocznym postanowieniem, było zadbać o swoje bezpieczeństwo w sieci.
Dość żmudne zajęcie. Cała masa serwisów nie oferuje prostej możliwości zmiany adresu email. Trzeba to robić przez kontakt z supportem, o ile w ogóle łaskawie odpiszą - takim serwisem jest właściwie hejto XD napisałem do nich w styczniu albo w lutym maila z prośbą o zmianę email i mnie totalnie olali :c
Najgorzej jak w ogóle nawet przez support nie da się zmienić email i zostaje usunąć konto i założyć je ponownie... Albo jebane PGE (Polska Grupa Energetyczna), zmieniłem u nich email w lutym, a typy mi cały czas wysyłają faktury na stary email, z którego chcę całkowicie zejść, ale i tak muszę wchodzić regularnie przez takich magików jak wspomniane pge...
Mam obecnie 190 aliasów i czuje dobrze człowiek, bo to większość kont, o których pamiętam.
Ale fatalne jest takie rozwiązanie, jak ktoś pyta o email, a nie mam jak wygenerować na szybko aliasu XD Takie dwie sytuacje jakie pamiętam ostatnio: przedłużanie dowodu, zwrot przez dhl.
Co do haseł to generuję sobie i też pod każdą stronę mam coś w stylu 'qt@Ja&ZdwrVuX4$qL@n79'
@HmmJakiWybracNick polecam automatyczne aliasy google twojlogin+automatycznyalias@gmail.com wszystko po loginie i + jest aliasem i nie trzeba nic tworzyć. ja po prostu używam: mojlogin+hejto@gmail.com - w razie wycieku wiem skąd pochodzi wyciek
@tatarysh Ale nie jesteś w stanie chyba zarządzać takim aliasem. Ja mam np. facebook@mojadomena.com, jak mi wycieknie taki email, to usuwam, albo wyłączam ten alias i tworzę sobie glupifacebook123@mojadomena.com. Wadą mojego rozwiązania jest to, że jak wycieknie mi facebook@mojadomena.com, to analogicznie wiesz, że na instagramie mam pewnie instagram@mojadomena.com - akurat instagrama nie mam, ale jakbym miał, to miałbym taki alias XD Wadą Twojego rozwiązania jest to, że można łatwo zgadnąć główny email. Ja na gmaila dostawałem już kupę spamu, co było dobrym pretekstem do przejścia na protona.
Komentarz usunięty
@dildo-vaggins Bitwarden jest zbędny. Oferuję praktycznie to samo, co KeePassXC, a każde sobie płacić (abonament) za 2FA lub U2F. Po co on więc?
@HmmJakiWybracNick masz rację, jednak akurat gmail ma bardzo dobry antyspam
@Suodka_Monia Te wszystkie idiotyczne tabelki zakładają, że ktoś się będzie bujał ze złamaniem hasła nawet i do banku, jakiegoś zbłąkanego janusza, żeby mu wejść na konto i zobaczyć debet 500 zł na koncie i kredyt na 200k xDDD.
Jak chcesz się dobić do jakiegoś krytycznego systemu to nawet nie wchodzisz na stronę organizacji, tylko do okolicznych knajp/barów/żabek wokoło tej organizacji albo wbijasz na jakąś firmową imprezę po 22:00, no od biedy wysyłasz maila z faktura.exe z nadzieją że mają skamieliny lub imbecyli w sekretariacie. Tak czy inaczej - socjotechnika...
Kto by teraz bruteforcował hasła xD Do zdalnego hosta to w cholerę "głośna" operacja, a lokalnie pozostaje ci nadzieja, że:
a) Ofiara się nie zorientowała i nie puściła resetu haseł
b) Dane logowania są chociaż do jakiegoś ważnego systemu
b1) I w dodatku poziom uprawnień któregoś z kont jest wyższy niż plebejusz spoza firmy.
c) Zdążysz złamać wystarczająco dużo haseł, trafić na konto z wysokimi uprawnieniami i jeszcze je wykorzystać do wbicia do infra ofiary, żeby się tam odnaleźć i wynieść odpowiednio dużo danych.
Potem takie janusze płaczą "pczecie my miely dobre haseła! Zmienialim co miesionc!!"
No ale wymagania były takie, że każdy sensownie myślący user miał to w piździe i dawał "MiesiącYYYY#!" lub podobne, za to już wasza bezpieka miała w piździe poziomy uprawnień i każdy jechał na roocie/adminie albo było domyślne hasło.
@tellet panie tyle się Pan naprodukowałeś a chyba w ogóle nie wiesz o co tu chodzi xD Jakie łamanie hasła Janusza, skąd niby masz wiedzieć że hasło które łamiesz to Janusz a nie Książe Walii skoro jeszcze nie złamałeś hasła a więc nie zdobyłeś dostępu do systemu więc nie wiesz do kogo należy hasło?
To łamanie haseł to scenariusz praktycznie tylko i wyłącznie masowych wycieków które są dużo częstsze niż się wydaje - ktoś ma w łapie bazę 100 000 kombinacji login i solony hash hasła i leci jeden po drugim. W zależności od budżetu ustala sobie że spędza max 15 minut na każdym haśle - jeżeli twoje hasło jest łamane w mniej niż 15 minut, zostanie złamane. Nikt nie będzie się rozwodził na to kto jest kim w tych 100 000 loginów xD No chyba że to adresy e-mail to wtedy służbowe z rozpoznawalnych firm zapewne dostaną dodatkowy treatment a jak jest tam jakiś e-mail w czymś dużym (typu jakieś masowe korpo czy znana instytucja) to może i spędzą nad tym dni.
(a jakiekolwiek hackowanie "żywego" systemu to nigdy nie będzie "instantly" bo przecież nawet najlepsze systemy będą odpowiadać w >100ms i się zesrają jak im wyślesz milion requestów w "instant")
A nawiasem mówiąc to hasła Janusza do banku są dość cenne bez względu na saldo - tożsamość Janusza anonimskiego jest idealna do użycia jako słup do wałków i lewych transakcji bo nie przyciąga uwagi służb a jeżeli konto jest puste i ogólnie nieużywane to tym lepiej, Janusz nie skapnie się co jest grane dopóty nie dostanie miesięcznego wyciągu. Choć oczywiście obecne regulacje w UE wymuszające 2FA mocno przetrzebiły ten rynek
O, jeden wie o co chodzi :)
@tellet masz rację i jednocześnie trochę nie masz. Hashe z wycieków się łamie, ale nie po to żeby wejść na konto jakiejś osoby tylko dlatego, że większość ludzi to matoły i wszędzie stosują to samo hasło, dlatego można potem automatem wszystkim takim artystom się załadować na maila, facebooka i do innych serwisów i walić spamem po znajomych z jakimiś patentami typu "pożycz mi pieniądze" albo inne takie. Widać się opłaca, bo wśród moich znajomych dwie takie akcje były że ktoś się na to złapał i potem pytał ludzi czy się coś da z tym zrobić.
Dlatego ja już od kilku lat stosuję manager haseł i do każdego serwisu generuję inne hasło. Nie ma już żadnego serwisu, do którego bym znał swoje własne hasło. Polecam ten styl życia, żaden wyciek mi niestraszny, bo ktoś pozna moje hasło tylko do konta tej usługi, z której był wyciek.
@Suodka_Monia najlepsze hasło to Dupa123!
@Suodka_Monia dlatego Albicla jest przełomowym projektem w dziedzinie bezpieczeństwa, ponieważ pozwalała oszukać hakerów umożliwiając wklejenie w pole hasła całej bilbii, albo samych spacji ( ͡° ͜ʖ ͡°)
Zaloguj się aby komentować