Ресурс leakedsource.com, предоставляющий сервис для проверки скомпрометированных учётных записей, получил (https://www.leakedsource.com/blog/rambler) в своё распоряжение архив параметров пользователей почтового сервиса Rambler. В базе данных содержатся имена/email, пароли и внутренние параметры более 98 млн пользователей Rambler. Утверждается, что данные получены результате взлома, произошедшего 17 февраля 2012 года. База сохранена в виде SQL-дампа, созданного для MySQL во FreeBSD. Примечательно, что, как и в случае (https://www.opennet.me/opennews/art.shtml?num=45066) с vk.com, все пароли хранились в открытом виде, без применения хэширования.URL: https://www.leakedsource.com/blog/rambler
Новость: http://www.opennet.me/opennews/art.shtml?num=45090
Что такое было в 2012 году? Всех на свете поломали, что ни новость про утечку данных в последнее время — везде 2012 год.
So slooooow....
Эх времена... в 2012 можно было весь Яндекс с потрахами скачать из http://yandex.ru/.git
Простите, с чем? С поТРАХами? :3
фрейд козёл
Зигмунд -- больной на голову человек и мысли у него такие же
ничто не выдает так поколение ЕГЭ как такие нелепые опечатки
В декабре 2011 взломали mysql.com и потом была череда с критическими 0-day уязвимостями в MySQL, через которые можно было подсоединиться к БД без знания пароля.https://www.opennet.me/opennews/art.shtml?num=32492
https://www.opennet.me/opennews/art.shtml?num=33051
https://www.opennet.me/opennews/art.shtml?num=34062
Спасибо за развёрнутый ответ. Пойду почитаю.
"Что такое было в 2012 году?"Конец света был по календарю майя.
был конец [b}календаря Майя[/b], а в сознании хомячков -- да, Конец Света, календарь же кончился!
>все пароли хранились в открытом виде, без применения хэширования.У меня уже просто нет слов...
дам взаймы: cram-md5
> дам взаймы: cram-md5Хранить в открытом виде и хранить в md5 это одно и тоже.
eaf32cd79e3b0db1aaa9db7d98f046a6
ef481c2a2d7f37ce940c6087b02527b1
хранить пароли в md5 ненадежно, а с использованием потокола cram-md5 более стойкие хеши нельзя будет использовать.
> дам взаймы: cram-md5Хранить в открытом виде и хранить в md5 это одно и тоже.
Тогда и к вам аналогичный вопрос:
eaf32cd79e3b0db1aaa9db7d98f046a6
ef481c2a2d7f37ce940c6087b02527b1
А то предыдущий автор вашей фразы что-то отмалчивается...
> Тогда и к вам аналогичный вопрос:
> eaf32cd79e3b0db1aaa9db7d98f046a6
> ef481c2a2d7f37ce940c6087b02527b1
> А то предыдущий автор вашей фразы что-то отмалчивается...А Вы думаете, что сейчас народ ринется брутфорсить ваши хеши только потому, что Вы предложили этот челлендж? Ага, побежали.
Проблема в том, что в общем-то тут даже чайнику понятно, что если сделать вот так...
% md5sum <(echo "vamndflgk34jq09tu23238iDAw33HGGFS)dsll:?><d34ddЫЫи3вкфд8333№") | cut -d " " -f1
0628a0d05cc95c33df5db99b0bd91c5...то Вы можете оббрутфорситься, и ничего из этого не выйдет.
Проблема md5 для хранения хэша пароля в том, что он вычисляется слишком быстро. Даже если Вы используете соль и перец, чтобы защитить себя от радужных таблиц, взломщик скорее всего потратив незначительное количество вычислительных ресурсов сможет вскрыть хеш, если пароль был не очень длинным (а в большинстве случаев это так).
> А Вы думаете, что сейчас народ ринется брутфорсить ваши хеши только потому, что Вы предложили этот челлендж?А я разве что-то предлагал? Я всего лишь положился на ваше заявление:
> это одно и тожеТак разница все-таки есть?
> Проблема md5 для хранения хэша пароля в том, что он вычисляется слишком быстро
> если пароль был не очень длинным (а в большинстве случаев это так)Так проблема в md5 или проблема в словарных паролях? Кстати, даже "не очень длинный" ищется все-таки на порядки дольше, чем словарный.
А нормальный пароль можно хэшировать чем угодно, лишь бы хэш был односторонним. И хрен его кто сломает. Если, конечно, какой-нибудь гений не заявит, что это "одно и то же" и не будет хранить его в открытом виде.И пока таких гениев (а также лохов, пользующихся словарными паролями) достаточно, нормальные пароли совершенно спокойно можно хранить в md5. А добавив индивидуальную соль, мы получаем, что даже просто короткие пароли перебирать становится нерентабельно.
Ну, а те, кто пользуется словарными - они сами отказываются от безопасности...
Facepalm. Зачем Вы тратите у людей время и вводите их в заблуждение?Запомните:
Хешировать пароли посредством MD5 нельзя. Для подобных нужд существует PBKDF2.
Соль защищает от радужных таблиц и атак по словарю, не от перебора.
Односторонних хэшей не бывает. Хэш - необратимая функция по определению.
Индивидуальной соли не бывает. Соль всегда генерируется для каждого пароля отдельно.
разница есть, прекращайте ерундой болтать
> разница есть, прекращайте ерундой болтатьОх, ну конечно разница есть. Она заключается в том, получит ли кракер 100% паролей ваших пользователей в случае plain text, или всего лишь 99.9% в случае md5 hashed. :)
Пароли администраторов, например, должны бы попасть в тот остаток 0,1%.
И возникает вопрос - а стоят ли полученные тонны словарных паролей всей этой возни с радужными таблицами в случае индивидуально соленых md5-хэшей. Перекроет ли профит затраты?
В общем случае (я уж не буду девятки рисовать) - нет.
Возможно это требование ФСБ.
Нет, просто для реализации какой-то там аутентификации то-ли в момент SMTP, то-ли IMAP-POP, серверу нужно иметь пароль юзера в открытом виде, хэши не катят.
> Нет, просто для реализации какой-то там аутентификации то-ли в момент SMTP, то-ли
> IMAP-POP, серверу нужно иметь пароль юзера в открытом виде, хэши не
> катят.1 Каким образом упомянутые вами протоколы относятся к социальной сети?
2 На своём почтовом сервере postfix+dovecot я вполне успешно настраиваю SASL-аутидентификацию, храня пароли в солёной sha512 (ssha512) ЧЯДНТ?
> Каким образом упомянутые вами протоколы относятся к социальной сети?Какое отношение какая-то там социальная сеть имеет к почтовому сервису Rambler?
>На своём почтовом сервере postfix+dovecot я вполне успешно настраиваю SASL-аутидентификацию, храня пароли в солёной sha512 (ssha512) ЧЯДНТ?
Нет поддержки SMTP AUTH PLAIN и SMTP AUTH LOGIN, чтож тут непонятного?
>> Каким образом упомянутые вами протоколы относятся к социальной сети?
> Какое отношение какая-то там социальная сеть имеет к почтовому сервису Rambler?Извиняюсь, запутался в ветках про взломы с БД в открытом виде.
>>На своём почтовом сервере postfix+dovecot я вполне успешно настраиваю SASL-аутидентификацию, храня пароли в солёной sha512 (ssha512) ЧЯДНТ?
> Нет поддержки SMTP AUTH PLAIN и SMTP AUTH LOGIN, чтож тут непонятного?Её действительно нет, так как я сам её отключаю.
Но если в dovecot прописатьauth_mechanisms = plain login
А в postfixbroken_sasl_auth_clients = yes
smtpd_tls_auth_only = no
То telnet localhost 587
ehlo localhost
Всеми любимые строчки250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
При этом механизм хранения паролей остался прежним, так что мне до сих пор не понятно.
Да, я поторопился. В PLAIN и LOGIN пароль передаётся под base64, а хранить его в открытом виде совсем необязательно. А вот для CRAM-MD5, как уже писали выше, он нужен.
Может
https://ru.wikipedia.org/wiki/Heartbleed
?
Возможно она стала известна сильно раньше определенным группам лиц, чем ее заметили те, кто сообщил разрабам ? Примероно в теже перииоды 12-14 годы был вал сообщений об упертой почте с гугло-яндексов. и потом как то сам собой затих.
Перечитать, что ли, рамблеровские мемуары Ашманова...
Лучше что-нибудь из современного. Нынче он жгёт напалмом фашистов с пиндостана и Украины.А Рамблер сейчас и Рамблер при Ашманове это разные компании, эпохи, люди.
>Нынче он жгёт напалмом фашистов с пиндостана и Украины.Умный чувак. Понимает, что только при борьбе с несуществующим противником можно всегда выходить победителем.
> Умный чувак. Понимает, что только при борьбе с несуществующим противником
> можно всегда выходить победителем.Давно люблю дружески троллить неграмотных доказательством несуществования в общем случае.
Правда, когда сам отлично знаешь о существовании -- это бывает немного подло...
> Пошёл ### со своей политотой. Весь ресурс скатился из-за тебя.Софт, политика и люди неразрывно связаны. То, что тут всплывают подобные темы -- это хорошо. Не нравится? Ну так Вы в праве идти хоть к чёрту на рога или даже на другой новостной ресурс.
PS: А также Вы имеете право вечно без толку указывать другим, что делать и куда идти. Только не удивляйтесь, что такие выпады периодически режутся.
> Софт, политика и люди неразрывно связаныСофт, секс и люди тоже неразрывно связаны. Давайте судачить о бабах, раз такое дело.
Давай, в чём проблема?
В том, что он не в теме будет вообще? )
Угадали: судачить о бабах - это действительно не мое.
только вот политика как-то поважнее будет, увы, ибо политика (дословно) -- множество интересов...
Это она в переводе - множество интересов.
А должна бы быть продуманным разруливанием интересов множества.
Мы обнаружили подозрительную активность в вашем аккаунте на Avito.
В целях безопасности просим вас изменить пароль.
Печально все. Поднял свое облако, свою почту, свой XMPP и др... Только с Гугла не спрыгнуть полностью...(
> Печально все. Поднял свое облако, свою почту, свой XMPP и др... Только с Гугла не спрыгнуть полностью...(Аналогично, только с гугла таки спрыгнул. Если чего надо от гугла - так заведите себе там аккаунта-передаста, и с него всё необходимое делайте. Я лично так для себя решил, может и Вам удобно будет.
Хах, за сервис вроде отвечал в то врем всем известный Слоник в Домене.
> Хах, за сервис вроде отвечал в то врем всем известный Слоник в
> Домене.ще отвечал за разработку новой вебморды, а сломали проприетарщину в бэкенде.
а где эту базу скачать?
Меня вот этот leakedsource.com улыбает.То есть ты делаешь сайт на котором даже не нужно не никаких баз данных паролей. Потом пиаришь его на предмет "Проверьте, был ли скомпрометирован ваш пароль". Далее идет наплыв пользователей, которые искренне вводят свои пароли на твоем сайте, а ты просто пополняешь свою базу данных...
Это мне напоминает кейсы, когда звонят "из банка" и спрашивают пин-код для якобы каких-то проверок...
> скомпрометирован ваш пароль". Далее идет наплыв пользователей, которые искренне вводят
> свои пароли на твоем сайте, а ты просто пополняешь свою базу
> данных...На leakedsource.com проверка по email и логину, никаких вводов пароля там нет.
Хорошо лужи газируешь, качественно.
Хоть бы заглянул на сайт предварительно… Ну так, для разнообразия…
Хотел поржать, потом посмотрел свою БД и к стыду своему обнаружил пароли не в хешированном виде...
По некоторым косвенным признакам такие сайты можно вычислить даже удаленно.
Например, если этот сайт пароль на 36 символов не принимает или зарезает.
Или вводит идиотские ограничения типа "у вас нет заглавных букв и цифр".
Ведь в пароле "pf,jlfqvtyzrjvfh" явно не хватает заглавных цифр!
А ещё на сайты с такими базами хорошо указывает направление ветка на Марсе.
Если ограничение на длину пароля ещё может вызвать какие-то подозрения, то уж требование к регистру, наличию цифр и др. символов тут совсем не к месту.
И да, «забодайменякомар» не такой уж и хороший пароль.
Требования, что характерно, часто встречаются именно на сайтах "с душком".
Вменяемый разработчик вполне может ограничиться рекомендациями.
Чисто психологически, более грамотный человек предполагает большую грамотность у других... и наоборот.
> Чисто психологически, более грамотный человек предполагает большую грамотность у других...
> и наоборот.если бы все было так просто, то я был бы сверхграмотен :)