zmień szerokość

wykop.pl

Dodaj znalezisko

Wyszukiwarka
419 wykop

Gadu-Gadu przechowuje hasła plaintextem

Gadu-Gadu poczuło się na tyle bezpiecznie by przechowywać hasła plaintextem lub metodą odwracalną. Aż jestem ciekawy co by się stało podczas wycieku, jak by się tłumaczyli :)

Dodane przez

Kubofonista Kubofonista
Kubofonista
7 mies. temu dodał
  • obserwujących (7)
  • ranking (2997)
  
  
 
 
  2. ustaw jako domyślne
  • [ pokaż komentarz ]
    AgresywnyKaloryfer Avatar
    +156 AgresywnyKaloryfer 7 mies. temu

    Tak wspaniale działająca sieć, cudowny oficjalny program klienta pozbawiony reklam, nieograniczone możliwości i takie niedopatrzenie... Jak to możliwe?!

  • [ pokaż komentarz ]
    Kubofonista Avatar
        +32 Kubofonista odpowiedział 7 mies. temu

    Niestety tak jest od dawna. Może czują się bezpiecznie, ale po wycieku, uhuhuhuu ;)

  • [ pokaż komentarz ]
    badboy Avatar
        +57 badboy odpowiedział 7 mies. temu

    Przecież to GG, czego się spodziewaliście? Może jeszcze szyfrowania chcecie?
    Use XMPP luke.

  • [ pokaż komentarz ]
    argothiel Avatar
        +53 argothiel odpowiedział 7 mies. temu

    A może brute-force'em łamią?

  • [ pokaż komentarz ]
    macz Avatar
        -7 macz odpowiedział 7 mies. temu

    Jesli sa zakodowane w sposob odwaracalny to wcale nie musi byc zle, pod warunkiem ze zostal uzyty przyzwoity algorytm.
    Wiecie jakie dzis szybkosci uzyskuje sie przy brute force md5/sha1 z uzyciem CUDA? http://bvernoux.free.fr/md5/index.php more than 200 Millions MD5 hash per sec on GeForce 8800GT

    Przy takiej szybkosci mozna sobie stosunkowo szybko znalezc 3-4 hasla (albo nawet 1 jak masz szczescie) i bedziesz juz wiedzial co jest sola, czy byly podwojnie itd, a wtedy tylko odpowiednio przygotowana metoda slownikowa i juz masz kupe hasel.
    A jesli uzyty zostal jakis algorytm ktory nie jest powszechnie znany, to juz na poczatku problem jest wiekszy bo nie wystarczy znac kilku trikow od sql injection i zapuszczania lamaczy hasel.

  • [ pokaż komentarz ]
    JoLemon Avatar
        +2 JoLemon odpowiedział 7 mies. temu

    I tak wszystko wycieka, więc czym się martwić. Ostatnio mamy jakieś święto wszelakich wyciągaczy haseł.

  • [ pokaż komentarz ]
    glasswalker Avatar
        +3 glasswalker odpowiedział 7 mies. temu

    zapomina się o jednej małej dupereli hashe przechowywane w każdej bazie danych mają ograniczoną liczbę pól i hash MD5 z hasła "cjcireicji2089fj5cv9jkkv-o5608jj07tjk43fhg873q64grcj9tv6t0-k6u76" może być taki sam jak z np. hasła "1".

  • [ pokaż komentarz ]
    stfor Avatar
        +18 stfor odpowiedział 7 mies. temu

    @macz coś mi tu ściemniasz z tymi szybkościami

    Oczywiście hasz bez soli można łatwo złamać przy pomocy tablic tęczowych (i nie potrzeba do tego żadnego specjalnego sprzętu) ale właściwe zahaszowanego hasła sobie tak łatwo nie złamiesz (w każdym haśle sól jest przecież inna).

    Ale jeśli twierdzisz inaczej pozwolę udowodnić Ci swoją rację, w tym celu policzyłem sha1 z ciągu 60 losowych cyfr oto on
    c9fdd133a3a482a239c2629c0b90918a4e8336ba
    a tu 50 pierwszych cyfr tego ciągu
    42743153513150121197085575104804409949582833739616
    zadanie polega na podaniu 10 ostatnich cyfr
    Prosty rachunek - do sprawdzenia góra 10 miliardów haszy, jeśli posiadasz narzędzie pozwalające policzyć 200milionów haszy na sekundę rozwiązanie zajmie Ci maksymalnie 50 sekund.

    Ja twierdzę, że nawet znalezienie hasła złożonego z samych cyfr, zajmie wiele godzin a nawet dni (a co dopiero mówić tu o normalnych hasłach zawierających litery), dlatego hasła należy kodować właśnie przy pomocy nieodwracalnych funkcji takich jak wspomniane sha1/md5, tyle że z solą. W obecnej chwili nie istnieje lepszy sposób (co najwyżej dłuższe hasze).

    @glasswalker występowanie kolizji to odrębny temat, jeśli potrafił byś znajdować kolizje od tak na zawołanie, mógł byś fałszować dowolne podpisy elektroniczne, podrabiać certyfikaty i tak dalej, w takiej sytuacji znajomość głupiego hasła mało znaczy.
    Tak swoją drogą to dla md5 sztuka ta się już raz udała - dzięki połączonym wysiłkom bardzo wielu osób, po bardzo długim czasie.

  • [ pokaż komentarz ]
    PadmaN Avatar
        +4 PadmaN odpowiedział 7 mies. temu

    Bawiłem się ostatnio w łamanie hashy Brute Forcem szyfrowanych w MD5 przy użyciu CUDA. Na moim GTX 260 core216 oraz C2Q 9550 osiągnąłem około 1000mln hashy/sec. Niestety nie były to hashe z solą :)

  • [ pokaż komentarz ]
    jedilando Avatar
        +1 jedilando odpowiedział 7 mies. temu

    zapomina się o jednej małej dupereli hashe przechowywane w każdej bazie danych mają ograniczoną liczbę pól i hash MD5 z hasła "cjcireicji2089fj5cv9jkkv-o5608jj07tjk43fhg873q64grcj9tv6t0-k6u76" może być taki sam jak z np. hasła "1".

    I co z tego? To wpisze w polu hasło "1" i będzie to równoważne wpisaniu "cjcireicji2089fj5cv9jkkv-o5608jj07tjk43fhg873q64grcj9tv6t0-k6u76". W obu przypadkach zdobywam dostęp do konta.

  • [ pokaż komentarz ]
    hofi Avatar
        +9 hofi odpowiedział 7 mies. temu

    Z tego co słyszałem to nawet nie mają firewalla sprzętowego bo "nie sprawdził się".

  • [ pokaż komentarz ]
    leszekpiesek Avatar
        0 leszekpiesek odpowiedział 7 mies. temu

    Sorry ale z serwerów Gadu Gadu haseł jeszcze nikt nie wykradł a z Wykopu tak!

  • [ pokaż komentarz ]
    milordi Avatar
        +6 milordi odpowiedział 7 mies. temu

    Tylko że jak wykradną hasła z GG to od razu będą się mogli włamać setkom tysięcy osób na inne konta, a wyciek hashy jest groźny tylko dla beztroskich osób używających hasełek typu '1234'.

  • [ pokaż komentarz ]
    cofko Avatar
        +3 cofko odpowiedział 7 mies. temu

    @leszekpiesek: ależ wykradł, sam widziałem wycieki haseł do numerków pięciocyfrowych.

  • [ pokaż komentarz ]
    spaceman Avatar
        -1 spaceman odpowiedział 7 mies. temu

    @leszekpiesek

    Wykradł, była gdzieś w necie lista numerów od 1000 do kilkunastu tysiecy. Z mailami i hasłami.

  • [ pokaż komentarz ]
    bachoo Avatar
    +57 bachoo 7 mies. temu

    Gratulujemy znalezienia błędu w działaniu systemu Gadu-Gadu! Nagrodę przekaże Panu osobiście Łukasz Foltyn ;]

  • [ pokaż komentarz ]
    Sklejany Avatar
        +108 Sklejany odpowiedział 7 mies. temu

    Do wygrania było:
    Za I miejsce - 5 lat więzienia
    Za II miejsce - 3 lata więzienia w zawieszeniu na 2 lata
    Za III miejsce - 30 tysięcy złotych grzywny

  • [ pokaż komentarz ]
    olito Avatar
        +28 olito odpowiedział 7 mies. temu

    Ostatni dobry program Pana Łukasza to Foltyn Commander;)

  • [ pokaż komentarz ]
    lukaszsz Avatar
        +30 lukaszsz odpowiedział 7 mies. temu

    w starszych wersjach hasło potrzebne do włączenia gaduradio było przesyłane w postaci niezakodowanego tekstu. wystarczyl sniffer i mozna bylo odczytac nr gg+hasło..

  • [ pokaż komentarz ]
    Xxx12321 Avatar
        +13 Xxx12321 odpowiedział 7 mies. temu

    W starszy - nie starszych.
    Obecnie, w najnowszym protokole hasło nadal przesyłane jest do serwera plain-textem.

  • [ pokaż komentarz ]
    Vein Avatar
        -4 Vein odpowiedział 7 mies. temu

    xxx - samo hasło nie jest przesyłane nigdy. Przesyłane jest po przepuszczeniu przez algorytm szyfrujący wykorzystujący seed przesłany przez serwer

  • [ pokaż komentarz ]
    franko Avatar
        +150 franko odpowiedział 7 mies. temu

    To se nie pogadamy.

  • [ pokaż komentarz ]
    baxiu90 Avatar
        +53 baxiu90 odpowiedział 7 mies. temu

    Osobiście preferuje Jabber'a. Tam szyfrowanie to podstawa.

  • [ pokaż komentarz ]
    edel Avatar
        +93 edel odpowiedział 7 mies. temu

    a ja tam najbardziej lubię gadać z ludźmi na żywo.

  • [ pokaż komentarz ]
    AgresywnyKaloryfer Avatar
        +15 AgresywnyKaloryfer odpowiedział 7 mies. temu

    Dodatkowo korzystając z transportu GG w Jabberze można mieć szyfrowane połączenie z siecią GG. Co prawda tylko do serwera Jabbera, ale to niezastąpione przy nieszyfrowanym połączeniu WiFi.

  • [ pokaż komentarz ]
    uryziel Avatar
        -6 uryziel odpowiedział 7 mies. temu

    A ja widzę że sami tajni agenci na wykopie siedzą że do rozmów towarzyskich potrzebują szyfrowania, bo przecież każdy tylko czyha aby Ciebie podsłuchać. A z tym hasłem to racja, powinni zahashować i dać możliwość tylko resetu hasła.

  • [ pokaż komentarz ]
    jedilando Avatar
        +3 jedilando odpowiedział 7 mies. temu

    A ja widzę że sami tajni agenci na wykopie siedzą że do rozmów towarzyskich potrzebują szyfrowania, bo przecież każdy tylko czyha aby Ciebie podsłuchać. A z tym hasłem to racja, powinni zahashować i dać możliwość tylko resetu hasła.

    Wystarczy, że podasz komuś przez nieszyfrowaną sesję hasło do czegokolwiek i nara. Przykład: hasło na allegro.

    Gdyby na przykład w UPC nie było odpowiednich zabezpieczeń (odpowiednia konstrukcja sieci) to sniffowanie byłoby powszechne. Poza tym nigdy nie wiadomo, czy jakiś koleś sobie nie sniffuje na jakimś pośredniczącym serwie nielegalnie. Nie bez powodu wymyślono https i gmail z tego korzysta.

  • [ pokaż komentarz ]
    przemo240zp Avatar
    +31 przemo240zp 7 mies. temu

    a z prawej reklama AQQ "Prawdziwie męski komunikator" ;]

  • [ pokaż komentarz ]
    baxiu90 Avatar
        +24 baxiu90 odpowiedział 7 mies. temu

    Kiedy AQQ wypuściło pierwszą wersje komunikatora z reklamami google'a, też zaliczyli wpadkę, mianowicie w reklamach na początku były wyświetlane oferty innych komunikatorów, jednak dość szybko rozwiązali problem :)

  • [ pokaż komentarz ]
    baxiu90 Avatar
        +14 baxiu90 odpowiedział 7 mies. temu

    @fik43pobme
    Przynajmniej wiesz, że coś robią koło tego, rozwijają, ulepszają, a nie ciche aktualizacje albo na własną rękę trzeba ściągnąć binarke..

  • [ pokaż komentarz ]
    ropusz Avatar
        +9 ropusz odpowiedział 7 mies. temu

    trzeba było sobie odznaczyć żeby nie informowało o aktualizacjach..

  • [ pokaż komentarz ]
    baxiu90 Avatar
        -5 baxiu90 odpowiedział 7 mies. temu

    "To raczej wyglada jakby codziennie latali dziure ktora zrobili dnia poprzedniego."
    Nie czaje tego stwierdzenia, jak się coś łata to jest załatane. Nie robi się nowej dziury.

  • [ pokaż komentarz ]
    przemo240zp Avatar
        +15 przemo240zp odpowiedział 7 mies. temu

    @fik43pobme
    jeżeli tak rozumujesz, to pewnie korzystasz jeszcze z Internet Explorer'a 6

  • [ pokaż komentarz ]
    Pol753 Avatar
        0 Pol753 odpowiedział 7 mies. temu

    @fik43pobme
    Jeżeli chcesz dalej używać dziurawego Gadu to nikt Ci nie broni, ja cienie AQQ za naprawę błędów i za ulepszanie funkcji :)

  • [ pokaż komentarz ]
    Jarasmen Avatar
        +4 Jarasmen odpowiedział 7 mies. temu

    Ok, pierwszy raz się spotykam z tym, że ktoś ma pretensje, że wychodzą nowe wersje jego programu. To tak jakby się pluć, że dranie wpłacają tą cholerną pensję co miesiąc :|

    Poza tym codziennie jeśli już to wychodziły bety. Jak interesują cię tylko stabilki co półtora miecha, to przecież jest taka opcja, chyba domyślnie nawet.

  • [ pokaż komentarz ]
    Keraj Avatar
        +3 Keraj odpowiedział 7 mies. temu

    @fik43pobme
    Idiota... Mój pewien znajomy tak zrobił i tak samo się oburzał... włączyłeś sobie powiadamianie o betach i się żalisz?
    Weź, sp!$!##!aj...

  • [ pokaż komentarz ]
    Ryu Avatar
        +26 Ryu odpowiedział 7 mies. temu

    @adrenaline
    Nie no, wcale. Co tam, że na przykład używasz gg do kontaktu z klientami, współpracownikami, rodzina itp. Ktoś Ci wykradnie hasło, wejdzie na Twoje konto i zacznie robić grube zamieszanie.

  • [ pokaż komentarz ]
    cp_ Avatar
    +17 cp_ 7 mies. temu

    W sumie ostatnio jakaś moda jest na wykradanie haseł, oby sie nic nie stało ;]

  • [ pokaż komentarz ]
    matogo Avatar
        0 matogo odpowiedział 7 mies. temu

    A ja bym chciał, żeby wszystkie hasła zostały wykradzione i żeby popoalili im serwery. Byłoby troche zamieszania, a ludzie moze by przeszli na icq, msn, albo po prostu by bylo napisane lepsze gg od nowa. :)

  • [ pokaż komentarz ]
    baxiu90 Avatar
        +2 baxiu90 odpowiedział 7 mies. temu

    @matogo

    Nie wierz w cuda, że napisali by od nowa coś lepszego, Tak samo NK miało nie być podobne do Fotki, i co? KASA, KASA i jeszcze raz KASA liczy się w biznesie.

  • [ pokaż komentarz ]
    unnamed Avatar
        +10 unnamed odpowiedział 7 mies. temu

    Tylko dzisiaj czytałem to z 17 razy - może by tak dać sobie z tym już spokój? Po czuje zażenowanie, a to chyba nie nie stan który powinienem poczuć?

  • [ pokaż komentarz ]
    DJ_Armando Avatar
        +10 DJ_Armando odpowiedział 7 mies. temu

    taaaa, zDDoSujmy serwery GG

    ;)

  • [ pokaż komentarz ]
    seur Avatar
    +43 seur 7 mies. temu

    Z gg jest ten sam problem co z allegro jeżeli chodzi o monopol. Jeżeli nie zaliczą poważnej wpadki to ludzie nie zaczną nawet myśleć o jakiejś alternatywie. A do tego czasu mogą robić co chcą, wprowadzać przedziwne opłaty i wtykać reklamy gdzie tylko się da.

  • [ pokaż komentarz ]
    WhiteWolf Avatar
        +7 WhiteWolf odpowiedział 7 mies. temu

    Niestety. W sumie ponarzekać możemy, to prawda.
    Od kilku dni wisiałem na gadu z opisem "Kto ma Jabbera - podawać."
    I odezwało się... 2 osoby. Bida.
    I cóż, jabber jest i transport z gg niestety, krfa, też...

  • [ pokaż komentarz ]
    RooTer Avatar
        +7 RooTer odpowiedział 7 mies. temu

    głównie dlatego bo dużo osób nawet nie wie że go ma..
    przecież każdy user gmail'a ma, aqq, ba, nawet tlen

  • [ pokaż komentarz ]
    BialoCzerwony Avatar
        +2 BialoCzerwony odpowiedział 7 mies. temu

    @WhiteWolf
    To ustaw opis nie kto ma Jabbera, ale: Kto ma Jabbera, Google Talk, AQQ, Konnekta albo Spika - zgłaszać się.
    Ludzie nie wiedzą jakiej sieci używają (prócz gg) w tych komunikatorach ;)

  • [ pokaż komentarz ]
    milordi Avatar
    0 milordi 7 mies. temu

    Przecież od zawsze tak robią, więc z czego robić sensację? Jak się zapomni hasła, to też je w taki sposób przysyłają.

  • [ pokaż komentarz ]
    Gniii Avatar
        +15 Gniii odpowiedział 7 mies. temu

    Jak się zapomni hasła, to powinni wygenerować nowe.

  • [ pokaż komentarz ]
    milordi Avatar
        0 milordi odpowiedział 7 mies. temu

    Powinni, ale nigdy tego nie robili i nigdy nie ukrywali, że trzymają na serwerze hasło w postaci jawnej. Więc nie rozumiem waszego zdziwienia/oburzenia.

  • [ pokaż komentarz ]
    AgresywnyKaloryfer Avatar
        +11 AgresywnyKaloryfer odpowiedział 7 mies. temu

    Przechowywanie hasła metodą odwracalną nie ma właściwie żadnych zalet - zaprogramowanie czegoś takiego to więcej roboty niż przechowywanie hasha, a jedyną realną korzyścią z takiego rozwiązania jest możliwość "odzyskania" swojego hasła. Wątpliwe jest więc żeby porwali się na coś takiego. Takie kodowanie to "security by obscurity", bo do złamania zwykłych hashy trzeba nawet z tablicami trochę czasu. Po rozkodowaniu algorytmu odwracania, wszystkie hasła ujawnią się od razu.

    Nawet gdyby było tak jak twierdzisz, włamywacz ma dostęp do pewnej ilości rozkodowanych haseł (założył pewnie trochę kont), co może dodatkowo ułatwić mu zadanie.

  • [ pokaż komentarz ]
    macz Avatar
        -6 macz odpowiedział 7 mies. temu

    Tez jestem zdania ze przechowywanie hasel zaszyfrowanych opracowana/zmodyfikowana przez siebie metoda odwracalna moze byc dzis bezpieczniejsze niz uzycie md5/sha1.
    Popatrz na soft ktory do brute force ktory uzywa GPU. http://bvernoux.free.fr/md5/index.php Crack more than 200 Millions MD5 hash per sec on GeForce 8800GT
    Dostajesz baze z hashami nawet niech bedzie podwojne z sola i co tam jeszcze. Przy takiej szybkosci mozna sobie stosunkowo szybko znalezc 3-4 hasla (albo nawet 1 jak masz szczescie) i bedziesz juz wiedzial co jest sola, czy byly podwojnie itd, a wtedy tylko odpowiednio przygotowana metoda slownikowa i juz masz kupe hasel.
    A jesli uzyty zostal jakis algorytm ktory nie jest powszechnie znany, to juz na poczatku problem jest wiekszy bo nie wystarczy znac kilku trikow od sql injection i zapuszczania lamaczy hasel.

    No ale coz, wszedzie na necie sa tutoriale w ktorych stoi ze trzeba hashowac, to potem znajduja programisci cos takiego i odrazu z wrzaskiem ze nie zabezpieczone.

  • [ pokaż komentarz ]
    ogur Avatar
    +54 ogur 7 mies. temu

    - Co mi pan za głupoty pieprzy, myśli pan że w to uwierzę? Jakim cudem w takim razie te hasła by działały jakby ich odczytać nie można było! Idiotę pan ze mnie robi!

    No cóż można więcej powiedzieć...

  • [ pokaż komentarz ]
    slavkowsky Avatar
    -1 slavkowsky 7 mies. temu

    Osobiście uważam że w żadnym serwisie nie powinno być opcji przypominania hasła a jedynie ustalanie nowego hasła. I nie mam tutaj konkretnie na myśli sposobu przechowywania haseł w bazie na serwerze (bo dobrze zabezpieczony serwer może sobie te hasełka trzymać w czystej postaci) ale głównie o to że niepowołana osoba po dostępie do maila może sobie uzyskać hasło dzięki któremu będzie zdobywać kolejne konta ofiary... Efekt łańcuchowy

  • [ pokaż komentarz ]
    Rychuu Avatar
        +13 Rychuu odpowiedział 7 mies. temu

    bo dobrze zabezpieczony serwer może sobie te hasełka trzymać w czystej postaci

    Dobrze zabezpieczony serwer nigdy nie będzie przechowywał haseł w takiej postaci.

  • [ pokaż komentarz ]
    bachoo Avatar
        +5 bachoo odpowiedział 7 mies. temu

    ... Bo jeśli trzyma to znaczy że nie jest dobrze zabezpieczonym serwerem ;]

  • [ pokaż komentarz ]
    revoked Avatar
    -4 revoked 7 mies. temu

    Gadu Gadu ZAWSZE trzymało hasła plaintextem! ZAWSZE to tak działało ...
    No ale jak się neostrade dostało na komunie i sie bawi w CSI-Gimnazjum to sie takie "sensacje" znajduje

  • [ pokaż komentarz ]
    Kubofonista Avatar
        +7 Kubofonista odpowiedział 7 mies. temu

    Wypraszam sobie tego typu określenia. Po pierwsze - nie nam neostrady, po drugie nie chodzę do gimnazjum, po trzecie wiem o tym od dawna a po czwarte w wieku gimnazjalnym napewno miałem większe pojęcie o Internecie od osoby która wszędzie widzi DN

  • [ pokaż komentarz ]
    WhiteWolf Avatar
        +5 WhiteWolf odpowiedział 7 mies. temu

    Ok, ale do czasow gg8 trzymało plaintext również na localu, więc jakby nie patrzeć jakiś progress jest. Pozostaje poczekać, aż dojrzeją. Chociaż w sumie... jak często zdarza sie kradzież hasła? W sumie to tylko numerek, nie nick. Nie znasz numerku = nie znajdziesz.

  • [ pokaż komentarz ]
    Ryu Avatar
        +27 Ryu odpowiedział 7 mies. temu

    Skończycie w końcu z tymi tekstami o neostradzie? W wielu okolicznosciach neo jest własnie najlepszą opcją.

  • [ pokaż komentarz ]
    TakieButy Avatar
        -8 TakieButy odpowiedział 7 mies. temu

    @Ryu
    W wielu okolicznościach... przyrody?

  • [ pokaż komentarz ]
    Wojot Avatar
        0 Wojot odpowiedział 7 mies. temu

    już nie, netia ma o wiele lepsza ofertę

  • [ pokaż komentarz ]
    jonny Avatar
    +9 jonny 7 mies. temu

    Ma to też pewne zalety. Przykładowo hasło samo w sobie nigdy (poza rejestracją) nie jest przesyłane jawnym tekstem. Przy logowaniu serwer losuje i wysyła 32 bitową liczbę która łączona jest w aplikacji klienta z hasłem i hashowana algorytmem sha-1. Taki hash jest odsyłany do serwera który porównuje odpowiiedź od klienta z obliczonym hashem z hasła zapisanego w bazie danych i liczby uprzednio wylosowanej. Jeśli hashe się zgadzają to klient zostaje zalogowany. Fakt że przy każdym logowaniu losowa liczba jest inna powoduje że także hash przesyłany od klienta do serwera jest za kazdym razem inny. Co daje w efekcie większą odporność na podsłuchy. Coś za coś.
    Swoją drogą całe logowanie powinno się odbywać z wykorzystaniem SSL'a lub TLS'a, ale widać nowe bajery w GG są ważniejsze od bezpieczeństwa.

  • [ pokaż komentarz ]
    Jarasmen Avatar
    -1 Jarasmen 7 mies. temu

    Problem/zaleta leży w tym, że poza zwykłym rozbójnictwem nie widzę raczej profitów z kradzieży haseł z GG. Konta nie zawierają żadnych konkretnych danych osobistych (poza danymi publicznymi, ale te przecież z definicji widać i bez hasła), nie da się ich skutecznie używać do spamowania, a i podsłuch odpada. Co najwyżej można by mieć satysfakcję, że każdemu w Polsce dałoby się ustawić opis "obciągam pederastom" czy cośtam.

  • [ pokaż komentarz ]
    TakieButy Avatar
        +2 TakieButy odpowiedział 7 mies. temu

    To ja już wolę "czy cośtam"

  • [ pokaż komentarz ]
    dawidg Avatar
    +3 dawidg 7 mies. temu

    ilość kombinacji łatwo policzyć. jeśli twoje hasło ma 10 znaków składające się z mały i wielkich liter oraz cyfr, to kombinacji jest:
    (26+26+10)^10 = 839299365868340224
    // mniej niż długość skrótu 2^64, czyli jest mała szansa na trafienie kolizji.
    zakładając, że sprawdzasz 200kk kombinacji na sekundę, to sprawdzenie wszystkich zajmie:
    (26+26+10)^10/200000000/3600/24/365 ~= 133 lata
    sól dodatkowo komplikuje sprawę.
    i to by było na tyle, jeśli chodzi o wyższość hashy nad szyfrowaniem odwracalnym. a jeśli by dodać znaki inne niż alfanumeryczne i jeszcze dłuższe hasło (w sumie co to jest tylko 10 znaków?)...

  • [ pokaż komentarz ]
    dawidg Avatar
        +14 dawidg odpowiedział 7 mies. temu

    aha. no i jedna ważna sprawa. mówicie, że włamywacz nie wie jakiego algorytmu używa się do szyfrowania odwracalnego. a skąd ma wiedzieć jakiego użyłem algorytmu hashowania? mogłem użyć sha-512 gdzie np. usuwałem parzyste bajty... albo zostawiałem tylko te bajty, których indeks jest liczba fibonacciego lub potęgą 2. powodzenia włamywaczu w zgadywaniu...

  • [ pokaż komentarz ]
    uhceiP Avatar
        -3 uhceiP odpowiedział 7 mies. temu

    masz całkowitą racje

  • [ pokaż komentarz ]
    baxiu90 Avatar
        +1 baxiu90 odpowiedział 7 mies. temu

    jakbyś zauważył, to w treści meila nie ma linku do wygenerowania nowego hasła, jest tylko stare hasło. -.-

  • [ pokaż komentarz ]
    Uriziel Avatar
        +6 Uriziel odpowiedział 7 mies. temu

    Brawo, oblałeś nawet egzamin na zostanie script kidem

  • [ pokaż komentarz ]
    Yunneck Avatar
    -2 Yunneck 7 mies. temu

    Gadu jest jak youtube.

    Oba są popularne bo byly pierwsze w swojej funkcjonalności. Oba mają po 10 razy lepsze zamienniki, ale ciężko się na nie przesiąść bo 'wszyscy mają gg a nikt np. skajpa' albo 'wszyscy wrzucają na YT a nie na vimeo'

    No i co zrobić?

  • [ pokaż komentarz ]
    amz Avatar
        -2 amz odpowiedział 7 mies. temu

    znasz chociaz temat na ktory sie wypowiadasz? zeby zrobic wiekszy upload na vimeo trzeba wykupic konto, bo za free masz limit 500 GB, dodatkowo za byle co ci usuna filmiki, tak bylo w przypadku lockerz.com, ktory jest ostatnio potega w internecie, wszystko im usuneli bo jakas tam polityke smieszna vimeo naruszyli, chyba dotyczaca obciazenia...

  • [ pokaż komentarz ]
    Yunneck Avatar
        -2 Yunneck odpowiedział 7 mies. temu

    to był tylko przykład na serwis oferujący dobrej jakości filmiki, zanim wpadło na to YT

    luzuj brew

  • [ pokaż komentarz ]
    amz Avatar
    +1 amz 7 mies. temu

    odkryles ameryke, od paru lat tak hasla sa przechowywane w gg

  • [ pokaż komentarz ]
    kukers Avatar
        +1 kukers odpowiedział 7 mies. temu

    właśnie to samo chciałem napisać, mam jedno wspomnienie z mroków dziejów coś okolo gg 4-5 i tam było tak samo :)

    są dwie drogi :

    -mozesz hasla przemielic przez md5 z saltem i otworzyc baze danych :D (prawie jak wykop tylko tam nie bylo salta)

    -mozesz trzymac hasla w plaintexcie i co ? i mogą ci skoczyć, bo zabezpieczasz odpowiednio serwer. Sorry, ale mysle, ze juz dziesiatki hakerów próbowało dobrać się do tak łakomego kąska. I co slyszeliscie o jakims wycieku ? A hasla w formacie odszyfrowanym trzymaja od poczatku istnienia GG :)

  • [ pokaż komentarz ]
    ShooleR Avatar
        +2 ShooleR odpowiedział 7 mies. temu

    A jak będą chcieli przetestować jakiś serwer i skopiują tam istniejącą bazę ludzi nie zabezpieczając serwera hasłem? Wiesz - różnie to bywa ;)

  • [ pokaż komentarz ]
    JabLuszko Avatar
        +1 JabLuszko odpowiedział 7 mies. temu

    Skoro są przechowywany od kilku lat... to może pora to zmienić?
    Co prawda nie sądzę, aby 'wykop' się do tego przyczynił, ale ;-)

    @kukers
    Nie ma czegoś takiego jak 'zabezpieczony odpowiednio serwer' przez cały okres swojego istnienia. Chyba, że postawili tam swój własny system operacyjny, swoją własną bazę, swoje własne programy. Oczywiście także zrobili super audyt w (nie) swoim zakresie.
    Wiesz jaki serwer jest bezpieczny? Taki, który nie ma połączenia z żadnym innym. Najlepiej, żeby był wyłączony ;)

  • [ pokaż komentarz ]
    amz Avatar
        0 amz odpowiedział 7 mies. temu

    pytanie po co obciazac serwer skoro 90% userow ma hasla dupa.8 adam123 ewelina69 itd

  • [ pokaż komentarz ]
    lubczasopisma Avatar
    -1 lubczasopisma 7 mies. temu

    Najfajniejsze są komentarze pod pokazywarką dziewczyny którą swędzi

  • [ pokaż komentarz ]
    loopez Avatar
    0 loopez 7 mies. temu

    no i co - GG ma to gdzies.

    Stracilem haslo - Support techniczny nie odpowiada ani nie jest w stanie pomoc . ( 2 miesiace - 6 maili )

    Maile do rzecznika prasowego GG tak samo pozostaja bez odpowiedzi. ( 2 miesiace - 3 maile z prosba o komentarz )

    Niemniej zdrowia szczescia i pomyslnosci zycze tym, ktorych cos dotknie i beda zwracac sie do nich o pomoc.

  • [ pokaż komentarz ]
    WhiteWolf Avatar
        0 WhiteWolf odpowiedział 7 mies. temu

    A tutaj to racja, racja.
    Support ssie i nijak nie można się z nimi dogadać.

  • [ pokaż komentarz ]
    Manwe89 Avatar
    0 Manwe89 7 mies. temu

    Niekoniecznie to byl plaintext. Może pass jest wysylany mailem a w bazie siedzi juz zahashowany :)

    Sorki, że nie czytałem tego co powyżej, ale zazwyczaj jest masa bzdurnych komentarzy.

  • [ pokaż komentarz ]
    milordi Avatar
        +2 milordi odpowiedział 7 mies. temu

    Szkoda, wiedziałbyś że w przypomnieniu też przysyłają hasło zamiast opcji wygenerowania nowego.

  • [ pokaż komentarz ]
  • [ pokaż komentarz ]
    Kubofonista Avatar
    +2 Kubofonista 7 mies. temu

    Podziwiam zakopujących jako informacja nieprawdziwa.
    Pozdrawiamwykop w mailu to nie nazwa użytkownika, bo takowej w GG nie stosuje się, ani też nie nazwa konta mailowa. To hasło, o czym świadczy zapis Twoje hasło: obok zaznaczonego na czerwono obszaru, ale to trzeba przecież popatrzyć...

  • [ pokaż komentarz ]
    retsef Avatar
    +1 retsef 7 mies. temu

    Kiedy studiowalem cieszylem sie, ze w informatyce przepisy nie narzucają standardów działania tak jak w innych dziedzinach, jak chociażby w budowlance gdzie ściśle określone i licencjonowane jest wszystko od uprawnień architekta kreślącego zarys fundamentów po przepisy okreslajace jakie powinny byc otwory w drzwiach od łazienki.

    Teraz gdy mam już troche pojęcia o biznesie śmiem stwierdzic, ze jest bardzo źle. Do banku można sie wlamac poprzez podeslanie zlych odpowiedzi DNS - bo skoro nie musza byc podpisywane to po co sie meczyc? Hasla przechowuje sie czystym tekstem bo tak mozna podeslac je uzytkownikowi, bez resetowania. A najlepsza metoda dostania sie do czyjegos konta na serwisie X jest metoda slownikowa bo zadko kto wprowadza ograniczenie na liczbe blednie wprowadzonych hasel. Nawet na Politechnice Łódzkiej był niedawno taki przypadek, ze student zlamal haslo wykladowcy metoda brute force bo bylo krotkie i serwer (nalezacy do PL) nie ograniczal liczby prob logowan.

    Niestety, jest zle. Kazdy praktycznie moze wszystko, wszystko jest dozwolone, lepiej nie trzymac niczego wartosciowego w sieci. Osobiscie korzystam z skomplikowanych generowanych hasel ktore przechowuje mi manager. Dzieki temu nie musze sie przejmowac ze jakis gimnazjalista podebral baze z haslami i teraz bedzie probowal mi sie logowac na allegro.

  • [ pokaż komentarz ]
    milordi Avatar
        +6 milordi odpowiedział 7 mies. temu

    No, faktycznie wyciek danych np. z banku czy innej ważnej instytucji mogący spowodować wielomilionowe straty to faktycznie zaledwie "małe zamieszanie".