На одном из подпольных форумов выявлена (https://medium.com/4iqdelvedeep/1-4-billion-clear-text-crede...) крупнейшая коллекция учётных записей, включающая сведения о более 1.4 миллиарде логинов, email-адресов и паролей (41 Гб данных), что примерно в два раза больше, чем ранее известная крупнейшая коллекция Exploit.in (797 млн записей), в которой агрегированы данные, полученные в результате 252 взломов. Выявленная новая коллекция включает данные, полученные в результате дополнительных 133 взломов, и примечательна тем, что все пароли указаны в открытом виде (без хэширования и шифрования), при этом контрольная проверка выборочных учётных записей показала актуальность приведённых сведений.
Наиболее популярным паролем в коллекции является "123456", который используется в более чем 9 млн учётных записей. На втором месте пароль "123456789" - 3 млн учётных записей, на третьем месте пароль "qwerty" - 1.6 млн учётных записей.URL: https://medium.com/4iqdelvedeep/1-4-billion-clear-text-crede...
Новость: http://www.opennet.me/opennews/art.shtml?num=47725
Где скачать?
+1, хотя бы те, что есть в табличке, yagf их не берёт, а вручную перепечатывать лень.
magnet:?xt=urn:btih:85F39F1D94917D61277725E7DA85D8177A5C12EB
что-то не похоже по структуре на то, что описано в статье
и размерчик 600 гиг, а не 41. Но интересно всё равно. Вот начало списка файлов:Cmp Pri Size Filename
Peer list \ files
\ cracked_leaks
Info 0 9.7 M | Dump-diverseb_forum31-2013-06-28.sql
22 69.3 M | Vodaphone_2013 Users.sql
File list 0 9.8 M | 310KBuxp.txt
0 338.2 M | Dump-win7vist_forum-2013-09-03.sql
Tracker list 0 636.6 K | DeviousPK.txt
0 330.4 K | ServCPPS_users_2012-07-10.txt
Chunks seen 0 264.5 K | TheTimes.co.uk
0 285.6 K | FOEDeCrypted.txt
Transfer list 0 5.2 K | GMAILSUSclean.txt.1.txt
0 9.0 K | StealthStresser_2013-09-07_04-43-18.txt
0 18.1 K | Weeaboo.xyz.txt
0 5.2 K | TalkTalk.txt
0 31.9 K | FYLparticipants.txt
0 895.5 K | DIDatabase.txt
0 0.6 K | Groundservers.org.txt
0 2.0 M | TheGPGuild.sql
0 24.7 M | Battlefield Heroes Beta (550k users).txt
0 398.6 K | Misc.txt
0 134.9 M | MyRepoSpace.sql
0 7.3 M | Aimjunkies.txt
0 787.9 K | DB DB DB.txt
0 4.8 K | RedWood.txt
0 322.8 K | RuneMarketDB.txt
0 178.1 K | Chilvary Legends DB.txt
0 965.7 K | The Slayers Guild.txt
0 208.5 M | Xsplit Plain SHA1 Parsed-1.txt
0 34.7 K | Condusef.gob.mx.txt
0 53.2 M | Hostinger.txt
0 316.5 K | 6004crackedpasses.txt
0 11.9 K | DeathStresser.com.txt
0 2.7 K | Yealmu3a.org.uk.txt
0 16.2 K | Photocenter.fr.txt
0 241.2 K | PKFast.txt
0 223.3 K | WvGsmHp3.txt
0 3.3 M | Konvict_Forum_2016_January_Users.txt
0 256.0 K | Csgo Database.txt
0 155.7 K | LegacyPlainTXT.txt
0 1.1 G | AndroidForums.com_VB_26-12-2013.sql
0 2.1 K | ThreadedPOSTClient.py
0 2.1 M | More DBS.txt
0 5.0 K | Kontur55.com.txt
0 285.5 K | SoulSplit (1).txt
0 1.3 M | EnigmaGroup.org.sql
0 73.8 K | Big List.txt
0 29.1 M | Codemasters2k15.txt
0 3.5 M | Kakas.txt
0 49.1 K | India Inc.txt
0 600.4 K | Supreme Skillers.txt
0 3.3 M | Konvict_Forum_2016_January_Users 2.txt
0 76.0 M | _tmp_gabases_gabases_ga_stats.sql
0 10.1 K | PirateStresser_users_2013_08_13.txt
0 348.2 K | Clout.sql
0 47.0 M | Quantum Booter US.txt
100 0.0 K | Tipit 2010+.txt
0 783.5 K | RunescapeAddicts.xlsx
0 20.4 K | Twitter.txt
0 1.1 M | EnigmaGroup.org2.sql
0 1.2 M | Security_Users-23f57f2e.txt
0 2.2 M | Tipit2004to2007.txt
0 0.2 K | SoulSplit (6).txt
0 618.2 K | CI Hashes&Salts.txt
0 3.9 M | Cloud_Twitter.txt
0 4.6 M | SkTorrent.txt
0 0.0 K | GhostMail.txt
> начало списка файлов:хоть это и вывод старого-доброго rtorrent`а, но можт лучше бы его картинкой было запостить, не?
Не. Так, например, скопипастить можно и поискать, откуда оно.Считайте, что это вопрос идеологии - текст должен быть текстом. Будь моя воля - все надписи в гуе копировались бы.
magnet:?xt=urn:btih:7ffbcd8cee06aba2ce6561688cf68ce2addca0a3&dn=BreachCompilation&tr=udp%3A%2F%2Ftracker.openbittorrent.com%3A80&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Fglotorrents.pw%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337
3b92a071cd273283b69d35dc3207f5fbb7413700
Ну и зачем мне все ALIENS на 26 гигов?
> Ну и зачем мне все ALIENS на 26 гигов?Какой-то нехороший человек попробовал тебя использовать как сидера. Если это не то что ты хотел, удаляй нафиг, пусть качает с других.
Какой-то уставший человек случайно не тот хэш скопипастил (это я был, извините), и поменьше яда пожалуйста в будущем.
и как обычно - ни ссылок, ни пруфов. Кто-то где-то на "андеграудном форуме" видел что-то.разумеется это исключительно ради защиты ваших данных, кто бы сомневался.
А тебе это зачем? Если нужны доказательства ищи сам, если воспользоваться то за тобой уже выехали.
В исследовательских целях соседские вайфаи на безопасность проверять - самое то!
В курсе что это противозаконно? ))
И?
Оке-е-ей, вайфаи по работе, например, пентестить. Или сови на безопасность проверять. Или друзей.
Я бы свои собственные аккаунты для начала проверил бы.
Вайфаи тестить по этой базе не очень. Тут же привязка mail + pass. Тут скорее на password reuse проверять. Ограничение на минимум 8 символов в пароле, опять таки. Для вайфая есть словарик на weakpass.com.
> и как обычно - ни ссылок, ни пруфов. Кто-то где-то на
> "андеграудном форуме" видел что-то.Это компиляция уже известных и новых взломанных баз, они вполне реальны ;) Поищите свое мыло/пароли ;) (там есть и старый слив с г_вноВК).
> и как обычно - ни ссылок, ни пруфов. Кто-то где-то на
> "андеграудном форуме" видел что-то.
> разумеется это исключительно ради защиты ваших данных, кто бы сомневался.Что решил проверить, есть ли там твой пароль :D
Базу в студию!!!!
выше магнет-линки
> выше магнет-линкину, спасибо, конечно, но это ж явно не те о котором речь.
второй линк (длинный) - то
Куча простеньких паролей объясняется не только тупостью юзверей, а и засилием ботов.
бот с простеньким паролем, становиться чужим ботом...
Думаешь, всегда это хозяина волнует?
> Думаешь, всегда это хозяина волнует?Чаще всего да, жаба протестует, настолько что иные ботнеты даже дыры за собой пропатчивают, чтобы конкурентам не досталось.
И не только. У меня частый часто используемый пароль - 123456. Потому что каждая тварь, на которую мне надо зайти один раз, чтобы картинки глянуть или ещё что подобное, хочет регистрации. Ну лови одноразовую учётку на почту мейлинатора и тyпoй пароль, делов-то.
>Потому что каждая тварь, ..., хочет регистрацииЭто в точку попал. Прям бесят, уроды.
Им же за показы отчитываться: столько-то юзеров схавали столько-то показов, из них домашних лохов столько.
> Им же за показы отчитываться: столько-то юзеров схавали столько-то показов, из них
> домашних лохов столько.Вот пусть и отчитываются о ботах.
> И не только. У меня частый часто используемый пароль - 123456.блин, счастливчик. От меня непременно требуют чтобы в нем были буквы в разных case, пара спецсимволов, и длина не меньше восьми. Так же, в нем нельзя упоминать ненужно-сайт и ненужно-компанию которой вштырило стребовать с меня этот пароль ради приобщения к одноразовой рассылке или pdf'у.
Разумеется, все для вашей безопастносте. Главное, не забыть приклеить потом к монитору.
На интересных мне форумах обычно так не чудят. На необычные случаи тоже можно стандартный пароль придумать, но мне проще вбить какую-то муть и ткнуть в браузере "запомнить пароль". Благо в мозилообразных его потом увидеть можно без плясок, даже если автоматом не подставится. ну или keepassx.
> На интересных мне форумах обычно так не чудят. На необычные случаи тоже
> можно стандартный пароль придумать, но мне проще вбить какую-то муть и
> ткнуть в браузере "запомнить пароль". Благо в мозилообразных его потом увидетьтебя кинули, не работает нихрена эта кнопка. Сколько в нее ни тыкал - нихрена их не запоминаю.
Домой приходишь, опа... и что за херню я в этот раз набрал? А рабочий ноут - на работе, вестимо, остался.Варианты "поделись парольчиком своим" в виде чегототамsync, к сожалению, не устраивают - там не только ненужно-пароли, там и нужные иногда попадаются.
оно достаточно тупо экспортится/инпортится/синкается. Если хочешь - могу найти, сделано давно, я и не помню уже, как именно
Товарищ тупо шутит.
А я вот никак не удосужусь проверить - то, что закрыто мастер-паролем, синкается зашифрованным или нет?
с мастер паролем не синкается
чего шутит? Я с ним в прнципе согласен, у самого самопальный синк. Но это не так уж сложно делается
>Если хочешь - могу найти, сделано давно, я и не помню уже, как именноБыл FF-ный адд-он для этого. Работает ли он после потопа^W с .57 - не знаю.
Но если твой рецепт о чём то другом - кинь линк пожалуйста. Мне бы експорт и идеально - в текст! :)
Если просто одноразовый экспорт/импорт: https://github.com/fligtar/password-exporter/wikiОстальное - доберусь - гляну. Если коротко - питоний скрипт (где-то содран и поправлен), который расшифровывает базы и сливает в одну, плюс шелл, который вытягивает с удалённого хоста файлы, запускает скрипт мержа и заменяет текущую базу паролей сгенерированной. ФФ должен быть закрыт. Из-за этого запускается руками, да и нужно оно довольно редко. Можно было бы красивее, но это надо было бы уже расширение править
Я про него и говорил :)
Оно предсказуемо не совместимо с .57 (https://github.com/fligtar/password-exporter/issues/80)Придётся белы рученьки пачкать, и самому, вручную ... :-(
... ну или нет, если ты свой скрипт найдёшь и оно с .57 умеет ... Пажалиста! :-)
> буквы в разных case, пара спецсимволов, и длина не меньше восьмиPassword1! - для этой породы бессмысленных сущностей. И ничего к монитору не надо приклеивать.
Есть люди, которые полагают p@ssw0rD более удачной заменой, но они ошибаются - его только вводить труднее.
> Password1! - для этой породы бессмысленных сущностей.ну вот и вспоминай потом через годик - то ли Password1, то ли 1Password1 потому что тут требовали аж две цифры, то ли FuckOFFme$%!#FuckedIdiots12324314523456 потому что вообще хз чего требовали.
И чем "секьюрнее" пароль, тем бессмысленней, обычно, сайт, который им закрывается.
В частности, от хуавея у меня последний. Ну или что-то похожее. От циски чуть попроще - угадай, ЧТО можно сделать с этим паролем?
Судя по "сложности" - ничего.
Мне как-то не попадались сайты, которые бы требовали что-то, кроме совпадения с простенькой регуляркой, проверяющей наличие регистров, цифр и символов.
Один не умеющий думать списывает у другого, сподобившегося из своего заблуждения состряпать статью на Хабре.
не, ну не то чтобы совсем уж ничего - иначе я не стал бы мучаться с этой хренью.
у плохой дороги можно скачать обновления прошивки для три года не выпускающейся модели свитча.
У циски круче (и пароль проще) - можно открыть саппорт-реквест на конкретные железки и софты, серийники которых привязаны к этому id (то есть если ты сопрешь у меня акаунт, поздравляю - ты сможешь от моего имени починить мое оборудование ;)
> ты сможешь от моего имени починить мое оборудование ;)Так кидай логин/пароль сюда!
Щас мы тебе твоё оборудование починим всем опеннетом.
> Щас мы тебе твоё оборудование починим всем опеннетом.Заодно можно проверить сколько саппорт реквестов в секунду обрабатывает CISCO.
>Мне как-то не попадались сайты, которые бы требовали что-то, кроме совпадения с простенькой регуляркой, проверяющей наличие регистров, цифр и символов.И это конечно же означает что их и вовсе нет? ORLY?! :)
Я наступал в нечто с примотанным cracklib к примеру ...
> Мне как-то не попадались сайты, которые бы требовали что-то, кроме совпадения с
> простенькой регуляркой, проверяющей наличие регистров, цифр и символов.Тебя ведь не затруднит привести пример такой простенькой регулярки? А то мне ничего простого как-то в голову не приходит.
А набор в гугле "пароль регулярка" вас так затруднит, что приходится просить помощи?
На SO подобные вопросы обсосаны со всех сторон.
Я достаточно хорошо знаю регулярки, чтобы без запросов понимать, что одной регуляркой, если не брать в расчёт особо упoротые не-ДКА движки, вопрос не решается. А если брать, то такая регулярка никак не будет "простенькой". Так что вопрос был риторическим.
> такая регулярка никак не будет "простенькой".
> Так что вопрос был риторическим./^(?=.*[a-z])(?=.*[A-Z])(?=.*[0-9])(?=.*[^\w\s]).{8,}/ - архисложно, да-да.
Может, все-таки недостаточно хорошо? Как вариант?
Ты хочешь сказать что вот это простенько?
Это требует знания матчинг груп, а многое ли дочитали за середину той книжки ? :)PS: Это я для порядка ворчу :)
Не все реализаторы регулярок, например. Ну, да.
Я ведь тоже для порядка огрызаюсь - обсуждение мелких деталей в целом дурного подхода нелепо априори.
> архисложно, да-даДа уж никак не "простенько", с алгоритмической точки зрения в том числе. И работает только там, где поддерживаются лукахеды. Осилишь сделать такое на POSIX или моднявом RE2?
> Есть люди, которые полагают p@ssw0rD более удачной заменой, но они ошибаются -
> его только вводить труднее.у кого плохо с памятью, то проще набирать на клаве пароль русскими буквами "пароль-пароль" а отображаться будет "gfhjkm-gfhjkm"
сам не забудешь и никто не догадается
а если помнишь с детства какой нить стих типа "саша шла по шоссе и сосала сушку" то такой пароль вообще не подобрать.
В последнее время страницы, которые требуют включённых кукисов или конкретный браузер, закрываю сразу. Ничего хорошего от таких людей идти не может, априори.
особенно, если это сайт nalog.ru
И таки чего хорошего вы лично ожидаете от этого сайта? ;)
Для таких случаев есть сервисы шаринга логинов/паролей
я вот bugmenot пользуюсь
В копилку:bypass.org.ru
loginz.org
Последние года два - редко живые логины там, больше вбиваешь, чем пользуешься.
Была надежда от этого избавиться, когда OpenID появился, но...не взлетело. Мизерное количество сайтов захотело их принимать ссылаясь то на спам, то на еще что нибудь.
Теперь на любом сайте чтобы оставить коммент (кстати, даже этом, в некоторой степени) надо регистрироваться.
Для комментов - IMHO, правильно, и здесь бы анонимов прикрыть не помешало, а то ни черта не понятно, говоришь с одним человеком или с тремя. Хуже, когда надо регистрироваться, потому что иначе форум фотографии в сообщениях не показывает.
>Для комментов - IMHO, правильно, и здесь бы анонимов прикрыть не помешало,Тогда Максим не получит даже этих копеечек, и загнёт проект к эбэн****ням :(
>а то ни черта не понятно, говоришь с одним человеком или с тремя.Мне бы твои проблемы (С)
Просто забей, я вот в ИРЛ - собака, а ещё тут соседские кактусы любят флудить :)
Да будь ты в ИРЛ хоть лиловый ёж - не проблема, не вообще пофигу. А вот понимать, что я конкретно тобой говорю, а не с други представителем живой природы, который SSL от SSH не отличает - желательно, потому что иначе не ясно, с кем как разговаривать, а кого и вовсе игнорить. Я ж не за реальные ФИО ратую, а за псевдонимность.
Не мешает потом закрутить гайки. А даже если и не, на псевдонима проще профайл набирать. Хоть это и лечится.
Личность постоянная -это тоже своего рода анонимность - в ней "скрываются" мысли тех, кто её кормят и кто на неё влияют.
Владеть знаниями об объекте - это присущая пещерным людям древняя болезнь.
А анонимность(хотя бы относительная) право человека, защитники от ядерной кончины мира(ООН) гарантируют.
"Личность, которую кормят"Хорошо зашло.
И как много полезного ты вынес из общения на форуме с анонимами или псевдонимами?
В условной единице "откровений/год", в среднем, сколько получается?
А хз, я считал, что ли? Из того, что помню - крупно меня один раз поправили, насчёт качества Opus для музыки. Ну и я кому-то что-то объяснял - может, тоже польза была.
Это как раз баг, а не фича. Нафига в тырнеты свои оффлайновые привычки тащить? А потом такие, как ты, не отвечают на сообщение, а спорят с ярлыком, приклеенным в их гойлове к нику собеседника. Мне, например, твоя интимная жизнь с нафантазированными тобою же объектами не интересна от слова совсем. Онлайновые площадки тем и хороши, что можно абстрагироваться от т.н. "социальной личности" собеседника, и вести беседу как интеллект с интеллектом, не отвлекаясь на посторонние шумы, и чем более полное абстрагирование площадка предоставляет, тем она ценнее.
Ну ок, интеллект с интеллектом. А уровень этого интеллекта и его круг компетенций - побоку?Скажем так, если я отвечаю пох я точно знаю, что ему не надо объяснять, откуда задержки в TCP на wifi берутся. Или когда здесь был Arisu - что я мог упомянуть какую-то фичу из D без дополнительных пояснений. Или что Mihail Zenkov компетентен в линуксовом аудио. Или что информации Прокудина о GIMP можно доверять, а клоуна - слать в цирк сразу, так как его цели известны мне с ними не по пути.
А когда отвечаешь анониму, а потом тебе отвечает аноним (не факт, что тот же самый) - совершенно непонятно, как разговаривать. То ли как со школьником, который ни черта вообще не понимает, то ли как с компетентным специалистом, то ли это вообще мс-тролль замаскировавшийся.
Плюсую, например.
>А когда отвечаешь анониму, а потом тебе отвечает аноним (не факт, что тот же самый)При всём уважении Alex, но "мне бы ваши проблемы"(С) :-)
Хотя вреде вот есть такая же помо^W форум - LOR. Там реализовали чего ты хочешь - там регистранты могут в профиле чекнуть "не показывать анонимов" ... Может человек 5 и включили :)
PS: Мопед не мой. Акка там я естественно тоже не имею :-Р Это прЫнципиальный прЫнцип!(С)
Проблема в том, что там помойка ещё хуже, чем здесь
мужик со свиньями.jpg.
Если аноним - что-то не знает переспросит. А с клоунами в реале труднее бывает.
Вообще о людях надо лучше думать.
Авторитет, статус, кармы и репутация так же спекулятивная вещь и имитация. А если же умеешь вычислять таких - то вычисляй и анонимов.
> Проблема в том, что там помойка ещё хуже, чем здесьКак видишь, это не от анонимусов зависит. Вон полно форумов где кроме дегенов ни одного человека нормального не осталось. А то что они зарегистрированы - очень слабое утешение.
Внезапно телеком, сети и компьютеры - это тоже часть РЛ.
> Для комментов - IMHO, правильно, и здесь бы анонимов прикрыть не помешало,
> а то ни черта не понятно, говоришь с одним человеком или
> с тремя. Хуже, когда надо регистрироваться, потому что иначе форум фотографии
> в сообщениях не показывает.Ужасающе утомляет необходимость регистрироваться просто чтобы оставить комментарий.
Создатель ЖЖ и по совместительству OpenID это понимал. Все остальные же начали ныть про юзербазу, степень вовлечения, маркетинг (это те кто крупные), а мелочь уткнулась в тотальное отсутствие поддержки фичи в доступном софте (скажем вфорумном движке SMF или в Джумле поддержка появилась, корявая, уже когда все стало глохнуть). А теперь мы имеем регистрацию ка каждом первом сайте или "соцкомменты" от Фейсбука\Вконтакте.
Так это же тупейшая реклама 4iQ, в типичном стиле дрвеб/есет/касперский - "мы нашли вирус под линукс, он называется v1ru$.exe и если его запустить с правильными параметрами, то он может что-то удалить!!!"
Пруфов не будет, это пиар-пост (собственно medium и есть модная молодёжная площадка для вбросов, такой себе глянец для айтишников).> 4iQ’s mission is to protect your digital identity in the new data breach era by scanning the surface, social and deep and dark web.
А почему пароль homelesspa такой популярный? Это что-то общеизвестное?
Просто он изпользуется каким-то распространённым ботом.
> Просто он изпользуется каким-то распространённым ботом.Пенсильванский бомж нашел эзернет кабель и выкинутый ноут, ну и решил что раз ему по жизни не скучно, пусть и человечество вместе с ним порадуется.
> А почему пароль homelesspa такой популярный? Это что-то общеизвестное?Пенсильванские бомжи проплатили паяр.
А monkey и dragon вас не смутили?
По-моему, всё логично: monkey ставят индийцы, dragon - китайцы.
monkey и dragon ставит глупые бледнолицые увлекающиеся комиксами.китайцы ставят какой ни будь Бэндзайтэн а индийцы Сарасвати.
> китайцы ставят какой ни будь Бэндзайтэн а индийцы Сарасвати.А как же Мао из анекдота про сервер?
Это анекдот про членов коммунистической партии Китая, а их в Китае еще поискать нужно...Партийных: 0 087 793 000
Население: 1 380 083 000
Это наверное про то когда китайцы вводили пароль миллиард раз, так что сервер решил что проще будет согласиться что пароль такой.
qwerty123 менее популярен чем 1qaz2wsx? Бред
> qwerty123 менее популярен чем 1qaz2wsx? Бреди 1234 менее чем 123456. Потому что валидацию не проходит, а не потому что ты всех перехитрил своим суперсекретным паролем.
продолжаю использовать rtyu
> продолжаю использовать rtyuнеосилятор слепого набора детектится прямо по паролю.
о, круто, все мои любимые пароли есть. теперь, если чё, не надо будет вспоминать логин.
"Проблема" пароля 123456 - что иногда человеку нужно просто посмотреть функционал и конечно же это еще и проблема разработчиков, которые дают возможность создавать легкие пароли.
Характерная проблема с пониманием простой истины: замок не должен стоить дороже сундука.
> Характерная проблема с пониманием простой истины: замок не должен стоить дороже сундука.иной человек кропотливо запишет сложный и длинный пароль в две тетради во исполнение собственной привычки, в этом выразится его мизантропия, поскольку сервисы все равно профукают пароли свои юзеров, через которые эти сервисы потом и поимеют, перекупят и переломают, но - не через тебя.
> Наиболее популярным паролем в коллекции является "123456", который используется в более чем 9 млн учётных записей. На втором месте пароль "123456789" - 3 млн учётных записей, на третьем месте пароль "qwerty" - 1.6 млн учётных записей.Разочеровался в людях, мой мир никогда не будет прежним :-(
> РазочеровалсяИ правда, ^^^ печалька.
Первые базы не милиция ли на раздачу поставила для отлова? :)
Наконец-то восстановлю свою страничку в соц. сети
А что в табличке мои пароли делают?
Они делают вас простым юзверем
https://xkcd.ru/936/
> https://xkcd.ru/936/вы действительно можете запомнить эту херню про лошадь?
Разную, надеюсь, для разных сервисов? (впрочем, они сами о себе позаботятся - "у нас тут секьюрити, а не хрен лошачий, ваш пароль слишком долго (больше недели) не менялся, введите его дважды без ошибок, так, теперь найдите наше письмо (мы на всякий случай послали его не со своего сервера, а с хорошо известной системы автоматизированных спам-рассылок, так что в лучшем случае оно будет в разделе "спам", а в худшем среджектится, даже если адрес, который вы оставили нам пятнадцать лет назад, вообще еще работает), перейдите по линку, и введите новый - не совпадающий с 999ю предыдущими. Смотрите не ошибитесь, наш дизайнер в этом месте забыл сделать ревалидацию, но не забыл защитить ваш браузер от запоминания вашего пароля.)
> вы действительно можете запомнить эту херню про лошадь?correct horse battery staple? а будут настаивать - будет очень задолбаная лошадь. Или очень-очень задолбаная. Или вообще совсем задолбаная. Впрочем, если заставлять юзерей менять пароль раз в 2 недели - система вскоре лишится юзерей. Кроме всякой корпоративной фигни, конечно.
Херня, работает до тех пор пока многие не начинают этим пользоваться.
Дальше идёт перебор словарями. Лучше комбинировать оба способа.
> Херня, работает до тех пор пока многие не начинают этим пользоваться.
> Дальше идёт перебор словарями.Есть такая штука - комбинаторика. Позволяет подсчитать количество разных комбинаций.
Словарный запас дошкольника - минимум 3000 слов. С учетом склонения, времени, регистров, знаков препинания и прочего - вариантов написания минимум раз эдак в пять (тройка на падежи и двойка на временные варианты) больше. Таким образом, предложение в пяток слов по сложности будет не хуже:
x=15000^5;x
759375000000000000000
log(x)/log(2)
~69.36337440135302786440
; log(x)/log(76)
~11.10182124426135623864
классического 11 значного пароля, используюещого оба регистра и цифры.
А уж пароль взрослого человека ...
Да и перебор словарями (т.е. постоянное копирование кусков памяти) далеко не то же самое, что и перебор буковок.
Так что, вперед и с песней.
> С учетом склонения, времени, регистров, знаков препинания и прочего - вариантов написания
> минимум раз эдак в пятьсоответственно - каждый пароль, даже зная слова и помня их бессмысленный порядок ты сам пытаешься по пять раз ввести (пока твой акаунт не блокируют нахрен до выяснения).
Идея с лошадью, если что, была как раз не использовать ничего, кроме существительных нижнего регистра - чтобы не гадать потом, была тут запятая, или не было ее и в каком склонении был глагол.другой вопрос в том, что и при этих ограничениях одну такую лошадь-то ты запомнишь, а три десятка - вряд ли. А если еще заставить тебя их менять хотя бы раз в пол-года, и смотри чтобы не было похоже на предыдущие 9999...
> Идея с лошадью, если что, была как раз не использовать ничего, кроме
> существительных нижнего регистра - чтобы не гадать потом, была тут запятая,
> или не было ее и в каком склонении был глагол.Идея в том, что брутфорсер не умеет в русскую языка и вынужден или перебирать склонения или реализовать движок с куевой тучей правил.
"На опеннете нет пони, но есть айпони!"> другой вопрос в том, что и при этих ограничениях одну такую лошадь-то
> ты запомнишь, а три десятка - вряд ли. А если еще
> заставить тебя их менять хотя бы раз в пол-года, и смотри
> чтобы не было похоже на предыдущие 9999...То ли дело запомнить
1O70;N;>n%%;
или
omaz<ah3Aoph
Keepassx лучше пароли делает. Сложность подбора для человека и для компьютера высокая.
> Keepassx лучше пароли делает. Сложность подбора для человека и для компьютера высокая.я по старинке еще с эпохи динозавров:
> $ head -c4096 /dev/urandom | base64 -w0
длина выбирается как рука с мышью дрогнет, примерно такой длины:
> tKDkQO23tkUThP9fo7ko939a
Это не работает. Практически везде принудительно требуют эти сраные цифры, разный регистр, спецсимволы и прочую чушь.А так я когда то придумал свой метод. Берется какая-нибудь фраза которую ты не забудешь, и из ее первых букв составляется пароль, можно придумать на русском а вводить в английской раскладке. Например "этот парень был из тех кто просто любит жизнь" легко и непринужденно превращается в "'g,bnrgk;"
Вот и будете теперь знать, что все гениальные умы думают одинаково, потому что этому способу меня учили на курсах по информационной безопасности в 1999 году. Курсы, кстати, для того времени были весьма качественными.
Если уж хочется что-то такое - запоминается одно слово, дальше делается что-то вида base64_encode(md5sum(host#keyword)) - это и скриптлетом можно, и на худой конец в онлайновом сервисе посчитать.Но проще - таки keepassx. Если б там ещё была толковая работа в клиент-серверном варианте или muslimaster sync...
Менять раскладку для пароля — одна из самых первых вещей, до которых додумывается домашний любитель безопасного CP.
> Менять раскладку для пароля — одна из самых первых вещей, до которых додумывается
> домашний любитель безопасного CP.Джон-потрошитель и прочие до этого тоже додумываются, так что само по себе это не сильно помогает. Это 1 бит энтропии на букву - нажал ты шифт или нет.
Смысла придумывать сложные пароли для интернет сервисов нет, если их даже не хэшируют.
У меня под 41 гиг места нет:(
Надо было авторам базы сделать нормализцию по паролю: если там основной пароль 123456, то его один раз записать и для него список только логинов:)
раньше марки коллекционировали...теперь даже на пароли фантазии не хватает..из словаря выбирают...
Наслаждайтесь: https://zwclose.github.io/HP-keylogger/
Horrible Products
> TL;DR: HP had a keylogger in the keyboard driver.
> The logging was disabled by default but could be enabled by setting a registry value (UAC required).Это сперва нужно поставить винду, потом дровину, потом поковыряться в недрах реестра?
Воистину, вендузятники должны стр[удалено немодератором из-за возможного нарушения авторских прав пользователя 'Led'] наслаждаться!
А вообще, не первый раз уже. Традиция-с!
https://www.modzero.ch/advisories/MZ-17-01-Conexant-Keylogge...
> * Recent and previous (Q2/2017) HP Audiodriver Packages / Conexant High-Definition (HD) Audio Driver
> The program monitors all keystrokes made by the user to
> capture and react to functions such as microphone mute/unmute
> keys/hotkeys.
> ...
> In addition to the handling of hotkey/function key strokes, all key-
> scancode information [2] is written into a logfile in a world-readable
> path (C:\Users\Public\MicTray.log).
>
> Это сперва нужно поставить винду, потом дровину, потом поковыряться в недрах реестра?Ну а что, MS себе на сервера нажатия кнопок ворует, а с хьлем видимо не поделился, вот они и исправили несправедливость как смогли.
>Наиболее популярным паролем в коллекции является "123456"мой любимый логин/пароль от интернетов - часто подходит даже на тех сайтах, где я никогда ранее не был
кто то может дать нормальную активную ссылку на скачивание??
дайте рабочую ссылку