Опубликован (https://archives.gentoo.org/gentoo-announce/message/407b99d8...) отчёт (https://wiki.gentoo.org/wiki/Github/2018-06-28) с изложением хронологии событий, связанных с компрометацией (https://www.opennet.me/opennews/art.shtml?num=48870) GitHub-репозиториев проекта Gentoo, в результате которой удалось поместить в код вредоносные вставки. Злоумышленники подобрали пароль от учётной записи администратора репозитория на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте (администратор использовал одинаковые пароли на разных сайтах). Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.
После пяти дней блокировки доступа, целостность GitHub-репозиториев в настоящее время полностью восстановлена. Деструктивные изменения находились в GitHub-репозиториях (зеркала основных репозиториев) gentoo/gentoo, gentoo/musl и gentoo/systemd около 10 часов с вечера 28 до утра 29 июня. Первичные репозитории ebuild и основной код, размещённый на собственных серверах Gentoo, не пострадали.URL: https://archives.gentoo.org/gentoo-announce/message/407b99d8...
Новость: https://www.opennet.me/opennews/art.shtml?num=48914
Просто подобрали админский пароль перебором по базе паролей? Скучно. Никакого трагизма. Никакого suspense. Серая обыденность бытия.
>Просто подобрали админский пароль перебором по базе паролей?Читайте внимательнее.
Мне кажется это всё из-за высоких требований к паролям на разных ресурсах. Тут либо на бумажку записывать, либо действительно один пароль к нескольким ресурсам использовать. Особенно это касается сайтов, на которые редко заходишь.
А ещё есть KeePass, Seahorse ... Отмазка о требовании на сайтах "сложных паролей", это отмазка идиотов.
Если вы используете одно единственное устройство, то вы ещё правы. Но когда у вас дома одна система, на работе другая, в дороге мобильник, а ещё с системы клиента надо зайки на какой сайт, то уже никакие кейпасы. Только что на телефоне открытым текстом хранить список.
Можно и на телефоне, только не открытым текстом, а зашифрованным. Тогда пароль от этого файла - единственный, который придётся помнить.
KeePassXC на десктопе + Keepass2Android + Syncthing
Если требования были бы меньше, На всех ресурсах использовались бы разные пароли?
зато теперь мамкины ИБ-эксперты смогут целую неделю давать Ценные Советы по использованию паролей (и не только на опеннете)
Не понимаю что движет людьми, ведь достаточно немного модифицировать свой qwerty123 и подставить название сайта в произвольное место чтобы пароль никогда не подобрали. Это ведь не сложно. Например, opennet превращается в oepnent.
Создать сложный пароль не сложно, сложно его запомнить.
Да не такая уж и проблема запомнить пароль вида "evil-dead-pumpkin-under-rainbow".
У этого пароля очень низкая энтропия.
KeepassXC показывает 77 бит и говорит что хороший пароль
а мне мама говорила, что я самый умный и самый красивый
> KeepassXC показывает 77 бит и говорит что хороший парольВы неправильно считаете энтропию. Вы уверены, что все буквы случайны.
А это не так. Предположим основной словарь английских слов 20 тыс. (все слова в произведении Шекспира 24 тыс, средний активный словарный запас взрослого носителя английского языка составляет примерно 20 000 слов).
В реальности мы врядли будем использовать для пароля слова типа идиот или перелом.
Так что в реальности намного меньше. Но пусть в среднем это будет 5000.
Тогда энтропия одного символа словаря (английское слово) - 12.28 бит
и вы используете пять таких слов, около 60 бит энтропии.В предложенном ниже варианте ниже на картинке - вообще 4 слова. Это около 48 бит (+/-) в зависимости от словаря.
В случае оффлайн атаки, ну скажем FDE, можно достичь впечатляющих скоростей перебора.
8x Nvidia GTX 1080 Hashcat Benchmarks: SHA256 23GH/s
48 bit = 281,474,976,710,656 хешей.
12238 секунд
3.5 часа60 bit = 580 дней
Но это всего лишь одна машина. Берем таких 10 и уже вуаля 58 дней (максимум), в среднем - месяц.
Вас спасают лишь правила тротлинга онлайн сервисов.
Но чисто теоретически можно попробывать через ботнет.
Шансы увеличиваются. А про офлайн даже не стоит и заикаться.
Глупости какие. Откуда бредовые предпосылки что известна длинна пароля, разделители, корректная орфография, регистр и раскладка?
> Глупости какие. Откуда бредовые предпосылки что известна длинна пароля, разделители, корректная
> орфография, регистр и раскладка?курите hashcat, не вижу смысла разжевывать.
> У этого пароля очень низкая энтропия.
>> У этого пароля очень низкая энтропия.
> https://xkcd.com/936/У pumpkin-а выше слова связаны в отличие от correct-horse-а по ссылке.
Та-а-чта, evil-pumpkin свою энтропию ополовинил.
--[DISCLMR] Нет, я не Форумный Криптограф-Учёный, 1/2 - прямо с потолка).
Держи лучше:
put-in-put-out.1999
man.on.the.Mars-2050
vmeste.veselo.shagat-1988
Да не проблема, если он один, но в реальности как правило over dofiga сервисов где нужен пароль.
Маски
У вас в пароле нет верхнего регистра и нет чисел. Придумайте более сложный пароль.
Предугадаю, нет, первую букву нельзя сделать капсом, тоже не пройдёт валидацию. И цифру в конце нельзя. А ещё ваш пароль подпадает под словарь (в нем слово evil есть, и пофигу, что кроме него ещё десяток символов).
Маразм требования сложных паролей он такой, да. И вот запомнить, каким маразмом страдает какой сайт, чтобы вспомнить принцип формирования пароля для него, и составляет проблему. Потому только записывать пароли и остаётся.
Один сложный пароль запомнить не сложно, сложно запомнить много разных паролей.
Сложно его не запомнить. Сложно и долго его вводить каждый раз. А оставлять залогиненым сводит на нет все преимущества пароля.
> Сложно его не запомнить. Сложно и долго его вводить каждый раз. А
> оставлять залогиненым сводит на нет все преимущества пароля.Почему?
Читайте внимательно именно на такой модификации пароля админ и погорел.Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.
Кстати отседа вывод - пароли надо менять каждые два месяца. :)
Отсюда вывод — двухфакторная авторизация. Потому что заставить большинство людей "нормально" (не qwerty -> qwerty2 -> qwerty3) часто менять пароли — нереалистично. А вот заставить использовать двухфакторную (с токеном+пальцем или SMS), что убьет большую часть атак — реалистично.В этой ситуации, например, взломщику пришлось бы дополнительно еще получать доступ к устройству администратора, что уже усложнило бы и удорожило бы взлом.
В этой ситуации еще помог бы репортинг по неудачным попыткам входа. Их было бы аномально много, а если еще делать анализ схожести неудачных паролей, то можно было бы превентивно без человеческого фактора понять, что пароль подбирают не рандомно, а кружатся вокруг известной базы.
А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входе, заметишь ты что один стал слать чаще?> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора
Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90% всего.
>А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов входеНу есть важное и не очень. Нормальный почтовый клиент письма от разных сайтов может раскладывать по разным папкам и если в папке связанной с работой прилетело оповещение, то наверное заметишь.
Но так то да - фалс алармы они другая сторона палки.
анализировать подозрительную активность может написанный на коленке скрипт, не говоря о том что есть куча готовых решений, возможно теперь прикрутят, а может и нет.
> А теперь представь 1000 и 1 сайт шлет тебе отчет о неудачнов
> входе, заметишь ты что один стал слать чаще?Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя бы. В идеале — если также в неудачных паролях замечена какая-то общность.
>> взломщику пришлось бы дополнительно еще получать доступ к устройству администратора
> Ты новости только на опеннете читаешь, давно уже есть супер-палец открывающий 90%
> всего.Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.
> Зачем на каждую попытку слать? При аномальном всплеске относительно общего количества хотя
> бы. В идеале — если также в неудачных паролях замечена какая-то
> общность.Ну и вот, пытались раз в сутки, стали 100 раз, пришла смс, ну ок, пытаются, снова упала активность, снова выросла опять выросла, ботнет долбит одну сеть потом дгугую, потом первую, что пароль чтoле менять, ну допустим так сделают. Станут специально долбить периодично, чтобы генерировать смс и вынуждать пароли менять, а зачем сложный если раз в неделю меняешь, пароли станут проще, проще ломать.
> Даже для супер-пальца нужен будет доступ к устройству. В этом кейсе (и во многих других) у злоумышленника этого не было.
А ты зайди с другого конца, украли телефон, разлочили, софт там дырявый, или просто трояна подсадили, и оттуда же хакнули, даже пароль не надо, через восстановление, или надо еще почту прикручивать, и на телефоне не хранить пароль/куки-сеанса почты, так потвоему, а почту на другую почту завязывать и ту на другой номер, да это бред.
>Отсюда вывод — двухфакторная авторизацияГлавное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот же смарт запросить смену пароля, и получить ее на почту (sms) в том же смарте. А то ведь большинство "двухфакторных" они такие.
>>Отсюда вывод — двухфакторная авторизация
> Главное, чтоб она не оказалась однофакторной. Ну чтоб нельзя было через тот
> же смарт запросить смену пароля, и получить ее на почту (sms)
> в том же смарте. А то ведь большинство "двухфакторных" они такие.Ну, это уже вопрос реализации, best practices и пр. Благо, количество сайтов с умеренно чувствительными данными на порядки меньше, чем количество пользователей с такими данными, поэтому учесть на большинстве из них эти моменты — можно.
А восстановления первого фактора через SMS со вторым фактором в виде SMS — это, конечно, печаль, согласен. Мне здесь больше нравится вариант с locally generated tokens, в идеале — с доп. аутентификацией по PIN-у или отпечатку.
Нет второго фактора, пока у тебя канал связи один.
Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих токенах.
> Нет второго фактора, пока у тебя канал связи один.
> Для секурного входа есть TLS сертификаты и SSH ключи, для совсем параноиков
> они могут хранится в типа неизвлекаемых девайсах яля смарткартах и прочих
> токенах.Почему меня не спасет одноразовый токен, который высылается в SMS или генерится приложением на моем устройстве при аутентификации, например, по отпечатку или PIN-у? Который я потом через HTTPs-форму ввожу на сайт?
Я же не пытаюсь защиту от всего придумать, но двухфакторка срезает большинство атак. Остаются только те, где атакующий ОЧЕНЬ мотивирован или ему ОЧЕНЬ повезло и достались сразу оба ключа,: еще и от одного пользователя, к тому же.
Если вы — не параноик, а потенциальный объект такой сложной атаки, то вас очень мало, и вашу проблему дополнительными мерами решить намного проще. Такое малое количество людей можно и пароль сложный на чувствительные даныне ставить научить, например. А в особо чувствительных случаях — и смарткарту выдать.
Для защиты большинства ничем не примечательных пользователей будет достаточно того, что я предлагаю.
Я не вижу смысла в какой либо защите вообще в 99% случаев/ресурсов среди тех где есть аутентификация.
Особенно бесит когда заставляют регатся через мобилу. Ладно бы ещё почта.Я против любой аутентификации тушки: она даёт какую то гарантию только в случае если есть отдельный человек который контролирует что и как суют в сканер, будь то отпечатков пальцев или глаз или ещё чего.
ПИН - это просто расширение твоего пароля, с таким же успехом ты можешь дописывать пин к каждому паролю.
> Я не вижу смысла в какой либо защите вообще в 99% случаев/ресурсов
> среди тех где есть аутентификация.
> Особенно бесит когда заставляют регатся через мобилу. Ладно бы ещё почта.
> Я против любой аутентификации тушки: она даёт какую то гарантию только в
> случае если есть отдельный человек который контролирует что и как суют
> в сканер, будь то отпечатков пальцев или глаз или ещё чего.И этот человек может быть подкуплен. ;) Или эксплуатирована уязвимость в системе за человеком. Идеальной безопасности нет. В лучшем случае есть безопасность, которую ещё не взломали (и зачастую здесь есть человеческий фактор, который можно эксплуатировать). Рационально обычно бывает использовать безопасность, которую слишком дорого взломать.
> ПИН - это просто расширение твоего пароля, с таким же успехом ты
> можешь дописывать пин к каждому паролю.Пин делает недостаточным только доступ к устройству.
Смотри, предположим, я обычный Коля Ноунеймыч. У меня есть счёт в банке, где лежит обычно, скажем 100 000.
Мне нет смысла ради этих 100 000 придумывать какие-то сложные решения со смарт-картами — мне это дороже будет. А ради моих копеек уже двухфакторку с SMS ломать никто не будет. Это уже обычным массовым взломом не сломать. А морочиться работой под меня ради таких денег никто не будет.
Если у меня там миллиарды — это другое дело, здесь и поморочиться можно. Но и я, если не дурак, здесь и смарткарту, и лимиты переводов (чтобы локализовать потери, если вдруг все же что случится), и ещё чего применю.
Если у меня ядерные боеголовки —я и вовсе на безопасность разгуляюсь. Неудобно, конечно, запускать будет, но слишком уж велики потери провала.
Но согласись, для защиты от кражи моих 100 000 применять меры защиты от ядерной зимы и вымирания — излишне.
Нищего и нож защитит — никто ради лохмотьев не свяжется, а богатому и армии может быть мало. И нищему морочиться армией — не нужно.
1. 100к для россии большая сумма.
В гермашке не так давно кто то заморочился и поуводил бабло с двухфакторкой по смс.2. Если у тебя ярды то ты попал.
Там совсем не такие проблемы как ты думаешь, и никакой идиот не дарит их банку, их паркуют в каких то фондах и пр, а на счетах держат какие то обычные суммы, при необходимости пополняют за счёт продажи всяких акций или дивидендов.
Это только у нас отморозки от безысходности держат общаки в виде квартир в которых всё забито коробками с налом.3. У амеров одно время стоял код запуска 00000000 - и был прописал везде, чтобы в случае чего любой выживший мог трясущимися руками набрать и отомстить советам.
> Нет второго фактора, пока у тебя канал связи один.В школе про TOTP не рассказывали?
В него как попадёт что то, о чём не знает тот кто по средине (К)?
Твою дивизию. Иди кури RFC 6238
Принципиальная разница в том, что за отсутствием MITM надо проследить ровно один раз.От ssh ничем не отличается в этом смысле.
одновременно на всех сайтах на одни и те же
> Кстати отседа вывод - пароли надо менять каждые два месяца. :)Отседа вывод -- двухфакторная плюс мониторинг.
> Суть в том, что с апреля по июнь никто не замечал, что идет подбор пароля к учетке. Или не мог заметить.Как это можно было заметить? Информация об этом вскрылась только после соответствующего запроса в GitHub:
> 22:14 Gentoo emails GitHub requesting activity logs.
> 22:47 GitHub responds, assuring Gentoo that the audit is ongoing and logs will be produced soon.
> 23:47 GitHub formally responds with audit logs and security recommendations (e.g. 2FA)
Если модификация не словарная, это ничем не отличается от брутфорса. 56 возможных знаков, 8 символов, удачи подобрать. Тем более если модификация позиционная, сложность подбора вырастет ещё на порядки. 8 простых мнемонически ассоциированных символов запомнить не трудно.
> Не понимаю что движет людьми, ведь достаточно немного модифицировать
> администратор использовал похожие паролипохожий == модифицированный
> чтобы пароль никогда не подобрали
> Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом"никогда" кончилось через 3 месяца
А кому вообще могло прийти в голову подналожить Генту, мелкософт просто так развлекался и купил ГитХаб, чтобы замести следы!
Основатель Gentoo Роббинс работал в MS лет пять. Так что если бы MSу был нужен этот дистриб для фриков они бы в то время еще его под себя положили.
>администратор использовал одинаковые пароли на разных сайтахГентушники как и арчеры часто мнят из себя гуру в Linux. Все это ложь.
Не поливайте грязью в ответ, а скажите - "Ну да, молодецкое хвастовство. Мы исправимся".
Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами. Это не от ОС зависит а от прокладки меж монитором и стулом.
> для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволамиТут проблема, что чаще всего такое сделать просто не дают. Стоит ограничение на длину и множество символов. Бесит
>> для каждого ресурса уникальный 30-символьный пароль с буквами разного регистра, цифрами и спецсимволами
> Тут проблема, что чаще всего такое сделать просто не дают. Стоит ограничение
> на длину и множество символов. БеситДа ладно заливать. Ограничение пароля по длине сверху? Не может такого быть. Один же фиг в базе хранятся хэши одинаковой длины.
А не будет такой фигни как в своё время в нетвари, когда разные пароли иной раз имели одинаковый хэш?
> А не будет такой фигни как в своё время в нетвари, когда
> разные пароли иной раз имели одинаковый хэш?Конечно будет, у любого хэша есть пары дающие одинаковый результат, а вот вероятность зависит от длины хэша и качества алгоритма, если хэш в 2 байта, можно на бумажке такие пары найти, если 30 байт, то на старенькой майнинговой ферме за недельку найдешь, если 1024 байта хэш, то хозяева вычислительного ресурса раньше спалят по аномальному потреблению электричества.
А смысл!?
Всё что не связано с зарабатыванием денег или их потенциальной потерей не стоит усилий.Какая ценность пароля от тут? От швабра? От 100500 других форумов и социалок?
Да ничего они не стоят.
И дудль акк тоже ничего не стоит, и всякие реги от торрент трекеров и тп.Чего то стоит акк в сбере онлайн, и доступы на всяких серверах - там хотя бы помайнить можно или траф через них пустить или упереть что то ценное.
>А смысл!?
>Всё что не связано с зарабатыванием денег или их потенциальной потерей не стоит усилий.
>Какая ценность пароля от тут? От швабра? От 100500 других форумов и социалок?
>Да ничего они не стоят.Хакер может пошалить с вами и написать от вашего имени такие слова на форумах и соц. сетях, что они будут подпадать под статьи уголовного кодекса.
Там всё равно по IP пробивают, нервы потрепать только могут.
> Там всё равно по IP пробивают, нервы потрепать только могут.А вот забавно, если найдут на компе vpn, а пост из уругвуя, доказывай потом что не ты сидел через уругвай, хотя ssh умеет же туннели, и на каждом 2м роутере есть, хорошо что менты не в курсе.
> Чего то стоит акк в сбере онлайнне, ничего не стоит. Угоняется на раз-два, если есть доступ к источнику поддельных sim-карт.
И у правильных ребят он - есть.
Там хотя бы есть для чего пароль придумывать, какие то деньги, а вот сюда нафик пароль упал?
думаешь, мои враги украв мой пароль, оплатят за меня те сто тыщ, которые я торчу сберу? ;-)
("какие-то деньги", ага, вот такие)
А учитывая как оно там все устроено - нелепо хранить там что-то, кроме долгов.
Пока мабила не подделана - в целом, хоть 1234. А когда подменят - не поможет. Учитывая, что они аутсорсят кому попало что попало (включая обзвон клиентов) - телефоны+как минимум имена уже сто раз украдены.
А сюда - так ведь и логин нафиг не упал.
> Пока мабила не подделана - в целом, хоть 1234. А когда подменят
> - не поможет. Учитывая, что они аутсорсят кому попало что попало
> (включая обзвон клиентов) - телефоны+как минимум имена уже сто раз украдены.Кстати, спасибо за инфу.
> А учитывая как оно там все устроено - нелепо хранить там что-то,
> кроме долгов.А что мешает ваш долг увеличить? Опсосам абсолютно все равно знали вы про роуминг и платность звонков или нет, есть договор, есть сертифицированный биллинг, скажут что за смс 50 тысяч, значит 50, долги тоже аутсорс выбивает.
> Я вообще винду3ятник, но использую для каждого ресурса уникальный 30-символьный пароль
> с буквами разного регистра, цифрами и спецсимволами.Чем генерируете? В венде ж нет /dev/urandom, чтоб из него дёргать простым способом?
Ну на плюсах просто. Приложений много же
https://docs.microsoft.com/ru-ru/windows/desktop/SecCNG/usin...
Это чистый си.
И для рандома есть CryptoAPI, хз насколько он предсказуемые результаты отдаёт.
зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг?
> зачем генерировать, если можно по клаве вслепую набить какой нибудь абырвалг?Обычно клава лежит одинаково, её ещё и вертеть надо, чтоб улучшить рандомность :). По некоторым своим попыткам пароль сочинить замечал, что часто повторяются значки из второго, например, ряда педалей.
На самом деле просто делается.
Берётся секретный пароль, он скармливается в HMAC, туда же уходит логин и домен в одном регистре, на выходе получаем 128-512 бит пароль в зависимости от выбранного хэш алгоритма.
Пароли к разным ресурсам получаются хоть и связанными но эту связь обратно не провернуть.
хорошая вещь keepassx2 - пароли превращаются в длинные бессмысленные токены.
Вот только щас использовать надо KeePassXC.
В чем отличие от KeePassX?
cpp
Очередная фиговина из серии: храните деньги в сберегательной кассе.
Очень удобно потом только за ней и следить чтобы все пароли намайнить когда ты троян.
это лишь один из инструментов, а не панацея. От троянов и бекдоров спасает только бумажный блокнот, уязвимый при наличии физ доступа
Тут кому что. При общей вменяемости шанс нарваться на троян многократно меньше, чем шанс налететь на брутфорс простого пароля (потому что придумывать 100500 сложных уникальных никакой головы не хватит) или использование утекших данных с одного ресурса на других (если используешь всего несколько, но общих для разных ресурсов). Тем более, когда речь о линуксе - тут трояны как-то не особо водятся.
Ну сбрутят простой пароль, да и хер с ним.
В след раз или регатся там не будет потому что ресурс ненужный или сделает нормальный пароль.
Не нужно делать из этого трагедию всей жизни.
Три месяца долбились. Как хорошо что после компрометации репозиториев и недельного шотдауна - логи кто-то таки заметил.Все что вы хотели знать о генте, но боялись спросить...
в сути не разбирайся — комментарий пиши
Минусуй - не рефлексируй.
> на GitHub путём сопоставления с данными о паролях, полученных в результате утечки базы пользователей на стороннем сайте
> на GitHub ...на стороннем сайтену да... о генте.
не о вантузе же в самом деле.
> ну да... о генте.GitHub-репозиториев проекта Gentoo
проекта Gentoo
проекта Gentoo
проекта Gentoo
Ну долбились то в гитхуб. Как гентушники могли это заметить?
Тут скорее "все что вы хотели знать о хостинге инфраструктуры в облаке, но боялись об этом спросить".
Ага, а администратор с паршивым паролем не виноват. Это всё злобный гитхаб и M$.
Администратор тоже виноват, конечно.
> Ну долбились то в гитхуб. Как гентушники могли это заметить?Логи, де^Wальтернативно одаренный! Логи! Они на гитхабе доступны даже гентушникам, прикинь.
> администратор использовал похожие пароли на разных сайтахУволить животное.
> Попытки получения доступа предпринимались начиная с апреля и только 28 июня увенчались успехом.
С взысканием зарплаты за последние 3 месяца.
Может засланный казачок? Если такие проблемы с бдительностью, что его 3 месяца лапошили как падавана админа.
А что подменили нет инфы?
rm -rf /* добавили в репозитории gentoo/gentoo (e6db0eb4, afcdc03b, 49464b73, fdd8da2e), gentoo/musl (e6db0eb4) и gentoo/ systemd (c46d8bbf, 50e3544d).
> gentoo/ systemdА ведь это был последний шанс.
что значит похожие? они что в открытом виде хранились?
Может быть одинаковые?
Так руководителя-то разжаловали за некомпетентность?
Наделлу? Конечно, лишили 7и клюшек для гольфа из 10и
Руководителя организации Gentoo, который не слышал ни о нормальных паролях, ни о 2FA.
Там защита от преребора есть вообще?
А про fail2ban они не слышали?
Там вполне могли пробовать по 2-3 пароля в сутки. Схема формирования, видимо, была в целом понятна, оставалось подобрать детали.
Ну и что? При правильной настройке, время бана прогрессирует в геометрической прогрессии. У меня в jail объекты с баном на несколько месяцев уже имеются.
И каким образом Вы способны идентифицировать идиота от хакера? Или Вы любому идиоту указываете на дверь?
А загоны про куки и прочих чёртовых гуки - наивность.
Я лично пароли придумываю просто, беру короткое предложение на русском и допускаю в словах ошибки или вставляю цифры в слова, естественно пароль вводится по английски, пример:
Ма2ма мыла рами.
> Я лично пароли придумываю просто, беру короткое предложение на русском и допускаю
> в словах ошибки или вставляю цифры в слова, естественно пароль вводится
> по английски, пример:
> Ма2ма мыла рами.Плавали, знаем, потом на планшете такое удовольствие.
Keep calm and write "ихний"
Лучше в стиле "Фальшивые зеркала" - "40 тысяч АбезЪян в * сунули банан"
> Лучше в стиле "Фальшивые зеркала" - "40 тысяч АбезЪян в * сунули
> банан"Вариаций этих обезьян в словарях уже, наверное, 40 лямов
А ведь до эры компьютеров "пароль" - это была фраза.
Вот кто из "компьютерных гениев" придумал паролем называть несколько букв?
Тот же кто 8 букв для имени файла