•  

    pokaż komentarz

    Sprawdziłem jedno ze swoich haseł najwyższego poziomu w google, nieźle się przestraszyłem jak zacząłem wpisywać hasło i nagle w proponowanych wyskoczyło całe! Okazało się, że mam za hasło cheat do jednej gry, a dziwne, bo w zamyśle był to losowy ciąg znaków. ;p

  •  

    pokaż komentarz

    co to za pomysl, zeby nie podac nazwy portalu? A jak ja jestem tam zarejestrowany? Nawet nikt mnie nie poinformuje, ze teraz kazdy zna moje haslo (a brak wynikow w google po wpisaniu mojego hasla moze znaczyc tyle, ze juz naprawili problem - co wiele nie zmienia, jesli ktos sobie zapisal hasla na dysku).

    •  

      pokaż komentarz

      Wystarczy chwila z Google:
      http://www.tinyurl.pl/?dCl0QB3r
      żeby dowiedzieć się że chodzi najprawdopodobniej o popularny serwis PDAclub.pl

    •  

      pokaż komentarz

      ciągle można stamtąd trochę wyciągnąć.
      http://www.tinyurl.pl?wvxXmzWD
      można wpisywać po kolei podglądy które są w opisie i będzie pełna lista ;-)

    •  

      pokaż komentarz

      To raczej nie PDAClub, spójrzcie na nazwę tematu "Poland PdaClub (Jooma +SMF Forum )" a gość pisał że dane wyciekły z forum postawionego na phpBB.

    •  

      pokaż komentarz

      To PDAClub.pl, rozmawiałem przed chwilą z kolegą, który od kilku lat ma tam konto i potwierdził, że jakiś czas dostał informację o możliwym wycieku haseł.

    •  

      pokaż komentarz

      @Revolas

      Po kiego wala to podajesz? Chcesz komus narobic problemow?
      Powinien tu byc wlasciciel tych kont i zglosic, ze pakujesz sie na cudze konta.

    •  

      pokaż komentarz

      @Revolas
      Taką wiedzę należało zostawić dla siebie ew. przekazać odpowiednim służbom. Wiele z tych haseł działa na nk, allegro, co już zresztą zauważyłeś. Wystarczy, że dorwie się do tego jakiś mało rozgarnięty dzieciak, co by chciał poszpanować kolegom i może kogoś tym zniszczyć. Przy okazji stawiając siebie przed odpowiedzialnością karną.

    •  

      pokaż komentarz

      Ja tylko informuje, że problem nie jest taki błachy jak się może wydawać. Zaznaczam to tutaj, żeby te osoby pozmieniały swoje hasła, bo w innym wypadku obudzą się a na ich konto będzie kupione 10 koparek. Trzeba się liczyć z tym, że nie wszyscy są uczciwi
      Zresztą jakby nie patrzeć, nierozsądne są te osoby. Hasła w zasadzie do odgadnięcia bez problemu metodą brutal force

      Nie sądzę, żeby to był jakiś poważny serwis bo jak się robi rejestracje to się robi warunki takie jak np. jedna duża litera, przymus występowania liczby itp

    •  

      pokaż komentarz

      I myslisz, ze wszystkie osoby z tamtej listy czytaja akurat wykop i twoj komentarz, podajac jeszcze konkretne dane do sprawdzonych kont. W ten sposob zwiekszyles szanse, ze ktos wykorzysta czyjes konto. Zero wyobrazni.

      [edit] Chciales ostrzec to trzeba bylo poinformowac te osoby, a nie podawac instrukcje jak sie zalogowac do ich kont.

    •  

      pokaż komentarz

      bibu, zgłosiłem to administratorowi kilka miesięcy temu i żadnej odpowiedzi/reakcji nie odnotowałem.

    •  

      pokaż komentarz

      Wczesniej podal taki sam pajac, tylko mniej pomyslowy bo bez podania na tacy co i jak zrobic.

    •  

      pokaż komentarz

      lol, naprawdę myślałeś, że podałbym takiego linka? milordi ma rację, ja tylko mówię o tym co już ktoś wcześniej w tym wykopie wspomniał o tym.
      @ALATOA_LATO:Jak wyobrażasz sobie pisanie do iluś tam osób nie mając do nich danych kontaktowych?
      Ktoś kto chce zaszkodzić innym nie potrzebuje mojej pomocy (ani tym bardziej pmslo, sam znajdzie te informacje i je wykorzysta. Z tym wykopem zwiększymy szanse, że ktoś wpisze swój nick w google i znajdzie ten wykop z tym komentarzem i pójdzie po rozum, żeby uważać gdzie się rejestruje
      btw myślisz, że tylko ty jesteś taki inteligentny, który zna php i wie jak to wykorzystać oraz, że taka osoba potrzebuje moich jakże oczywistych wskazówek? zatem powodzenia :>

    •  

      pokaż komentarz

      @ALATOA_LATO:
      Jakkolwiek sprawa rzeczywiście jest poważna, a przedpiszca dał pokaz bezmyślności, pozwól że zapytam: skąd u ciebie troska o zainteresowanych?

    •  

      pokaż komentarz

      @Revolas
      Jak nie majac danych? Masz loginy i hasla, pisales, ze wybrane dane sa poprawne, czyli mozesz im zostawic wiadomosc na mejlu, jesli chciales im pomoc. A ty pokazales ludziom, ktorzy nie maja o tym zielonego pojecia jak za pomoca tego spisu przejac komus konto. Okazja czyni zlodzieja. Nie widzisz zadnego problemu?
      A o haslach i ich zmianie traktuje ten wykop.

      @filo86
      Jak to skad, jest roznica miedzy moim glupim pisaniem na wykopie, a podawaniem linka z danymi do kont na roznych portalach i jeszcze krok po kroku napisania co z tym zrobic. Ja nie szkodze nikomu, ich wymadrzanie moze. C'mon.

  •  

    pokaż komentarz

    ja wpisalem swoje haslo w google i nic nie wyskoczylo... zakopane.

    •  

      pokaż komentarz

      Osobiście nie polecam trzymania haseł gdziekolwiek, lepiej jest stworzyć sobie klucz, który pozwoli nam "generować" w głowie hasło przypisane do konkretnej strony. Np. tytuł strony + coś tam + ilość samogłosek nazwie. W ten sposób każde hasło będzie inne, natomiast kiedy wchodzę na stronę gdzie nie pamiętam hasła to wiem po prostu jak je stworzyć i na pewno zadziała. Klucz musi być wymyślony w ten sposób, aby po ewentualnym wycieku jednego z haseł nie mozńa było domysleć się jakie są hasła do innych stron. No bo można trzymac hasła w jakimś programie do tego stworzonym, ale teraz praktycznie na każdej stronie trzeba się rejestrować i później trzeba mieć dostęp do tego programu, aby przeszukać nasze 1000 haseł.

    •  

      pokaż komentarz

      Portal powinien dostać j!%utny pozew.
      Nawet jeśli używam tych samych haseł do wszystkich loginów, mam prawo do tego.

    •  

      pokaż komentarz

      Super - haker znajdzie jedno, to po odrobinie wysiłku umysłowego znajdzie wszystkie.

    •  

      pokaż komentarz

      ja piernicze... Ja też wpisałem moje hasło i wyszło tysiące wyników... W sumie to teraz wam mogę powiedzieć, jak już wszyscy wiedzą: mamaija.

    •  

      pokaż komentarz

      jaki to portal? z ktorego wyciekly dane?!

    •  

      pokaż komentarz

      już lepiej chyba jakąś inną mnemotechnikę stosować, niż kombinowanie z nazwą, co?

    •  

      pokaż komentarz

      Dobra a czy mógłby ktoś wrzucić zrzut jakiś w powiązanych ? Albo wysłać mi na mejla ?

      pawe.zakrzewski9@gmail.com

    •  

      pokaż komentarz

      ee tam, ja mam 1 standardowe haslo do for, portali itp, do maili, bankow, mam mocniejsze.. niebezpiecznie? a co mi zrobia włamia sie na wykop albo nk i nagadaja bzdur ? nie popadajmy w paranoje

  •  

    pokaż komentarz

    Wystarczy hasła zapisywane w bazie zaszyfrować md5 i wykradzione nie będą stanowiły zagrożenia...

    •  

      pokaż komentarz

      Średnio-proste hasło zahashowane md5 można domowym komputerem "rozkodować" w kilka minut metodą brute force.

    •  

      pokaż komentarz

      Sam czysty md5 nie jest już od dawna bezpiecznym algorytmem szyfrującym.

    •  

      pokaż komentarz

      pmslo, jesli to twój serwer, to poukrywaj foldery/zablokuj dostep ;p

    •  

      pokaż komentarz

      Oczywiście wszystko da się złamać ale jak ktoś ma trzymać w bazie "gołe" hasła to niech już lepiej zakoduje je w md5 ( przerobienie skryptu to parę minut ). Zawsze to jakieś utrudnienie 50.000 x kilka minut = i tak nie wszystkie odkodowane hasła, a w jakim czasie...

      Acha no i nie wiem jak Wy ale ja kodując hasła w md5 dodaje np. adres e-mail lub coś innego, rozkodujcie mi metodą brute-force 50.000 tak zakodowanych haseł :>

    •  

      pokaż komentarz

      Tobol, to serwer DNS mojego dostawcy internetu, nie mam pojęcia do czego są te hasła.

    •  

      pokaż komentarz

      dzafel: md5 można "odkodować" (piszę w cudzysłowach, ponieważ prawdziwe odkodowanie jest oczywiście niemożliwe) w kilka minut pod warunkiem, że:
      1) hasło złożone jest z 6 lub mniej znaków
      2) jest wyrazem możliwym do znalezienia w pewnym słowniku.
      Inne hasła po wyliczeniu hashu md5 powinny być bezpieczne.

    •  

      pokaż komentarz

      @tymon_
      Zarzuć jakimś hashem kodowanym tylko md5 (bez soli i innych bajerów), to sobie sprawdzę. Bo czuję, że crackery dostępne w internecie poradzą sobie.

      Oczywiście z umiarem, nie jakies 100 znakowe dziwadło :P

    •  

      pokaż komentarz

      masz ode mnie.
      ab80fdac911ad9d77b0bc69a6199b942

    •  

      pokaż komentarz

      Nawet podwójny md5 jest chyba do przejścia .. sorki, że tak wtrące ale zdarzały i zdarzają się także ataki na strony o tematyce Need For Speed z których także bazy danych po 20 000 userów wyciakają i nikt o to takiego wielkiego halo nie robi .. A ja tylko jako mały spamik do powiązanych dorzucam linka o tym temacie .. jakby kogoś to interesowało.

    •  

      pokaż komentarz

      http://3.14.by/en/md5 "Right now on nVidia 9600GT/C2D 3Ghz CUDA version does 350 M keys/sec, SSE2 version does 108 M keys/sec."

      A, i jeszcze o Rainbow tables sobie poszukajcie.

    •  

      pokaż komentarz

      Zacznijmy od tego, że każdy rodzaj szyfru jest do przejścia.

    •  

      pokaż komentarz

      Sześcioznakowe hasło to około 280 000 000 M (zaokrąglając w dół) wariacji z powtórzeniami (ze zbioru 36 elementów - licząc jedynie małe litery alfabetu łacińskiego i cyfry). Licząc 300M/sekunda sprawdzenie wszystkich zajęłoby około 900 000 sekund - prawie 260 godzin. Wnioski jakie kto chce.

      kolnay: md5 to nie szyfr a skrót, hashowanie jest nieodwracalne.

    •  

      pokaż komentarz

      jak będziesz w stanie odwrócić haszowanie md5 zostaniesz publicznie okrzyknięty bogiem, nie tylko przezemnie :) film w jakości HD w 32 znakach? Będziesz bogatszy nawet od Bila Gejtsa !

    •  

      pokaż komentarz

      Mi wychodzi
      36^8 = 2 821 109 907 456
      300M = 300 000 000
      2 821 109 907 456 / 300 000 000 = ~9403 sekund
      9403/60 = 156 minut

    •  

      pokaż komentarz

      Poprawka - liczyłem dla 8 znaków, ale należy zwrócić uwagę na pominięcie dużych liter. Powiedzmy więc, że hasło może zawierać dowolne 6 z 62 znaków (pominę już znaki specjalne i np. diakrytyczne) i znaki mogą się powtarzać. Wariacji jest 56 800 235 584. 300M/sekundę pozwala sprawdzić wszystkie w 190 sekund ^^ - lepiej jest więc wymyślać dłuższe hasła, składające się z dużych i małych liter, cyfr i znaków specjalnych. Niech mnie ktoś poprawi jak się znowu pomyliłem.

      macz - rzeczywiśnie machnąłem się o kilka rzędów wielkości ale już nie mogę edytować

    •  

      pokaż komentarz

      @kubi, a jezeli robi to farma komputerów? Albo tysiące, dziesiątki tysięcy komputerów zombi? No, albo używa się rainbow tables :] (http://freerainbowtables.com)

    •  

      pokaż komentarz

      @Akira: więc 6-znakowe hasła nie są bezpieczne. Tylko trzeba przyznać, że nikt nie będzie zaprzęgał takich narzędzi, żeby zdobyć moje hasło do Allegro.

    •  

      pokaż komentarz

      Haszowanie nie jest odwracalne, ale nie trzeba go wcale odwracać, bo każde z np. 4 haseł zadziała. "Zgadywanie" jest dostatecznie łatwe, żeby było opłacalne, szczególnie, jeżeli danych jest dużo, a do pracy zaprzęgnie się do pracy wielkie słowniki i np. algorytmy genetyczne.
      Tyle tylko, że nic lepszego dotąd nie wymyślono.

    •  

      pokaż komentarz

      No i jak @tymon_ już wspomniał jeśli nie mamy w słowniku danego ciągu znaków, który będzie naszym hasłem to sobie można łamać w nieskończoność :)
      Jak zrobię md5(szejqer@@@moj@mail.com.pl@@@aToJ3stmoJeH4sL0) to jestem w 99.999% przekonany, że takiego hasła nie będziecie mieli w swoim słowniku :D
      Chociaż zawsze zostaje ten 0.001% szans, że jednak ktoś będzie miał takie hasło, wtedy po okresie 300.000.000 lat zakosi mi hasło do wykopu ;(

    •  

      pokaż komentarz

      ale jeżeli tak samo haszuje się "Tn4k_.17@o" - wtopisz po tygodniu

    •  

      pokaż komentarz

      Tylko przy sprawdzaniu poprawności hasła wpisując nawet identyczny jako hasło nic Ci to nie da bo jest on drugi raz hashowany by sprawdzić czy ten sam znajduje się w bazie :)

    •  

      pokaż komentarz

      pogram:
      http://github.com/jensp/passcracking/tree/master
      www:
      http://milw0rm.com/cracker/
      http://passcracking.com/
      http://gdataonline.com/

      dalej czujesz się bezpiecznie? jak jest słabe hasło to i sha1 czy ntlm niestraszny

    •  

      pokaż komentarz

      macz: ale to tylko z kart graf. do tego dochodzi jeszcze procesor i ja np. mam około 470M/sek. Chociaz komp jeszcze nigdy mi sie tak nie ciął :D Poza tym pokazuje ze odhash#$e to w kilkanaście minut. (chodzi o hash który podal pmslo)

      PS. nie chce sie chwalić kompem bo to taka przecietna maszyna do grania - Q6600, GF9600gt, 4gb ram.(ale tnie :O)

    •  

      pokaż komentarz

      pmslo:możesz napisać z czego składa sie hasło? bo jednak jak sie te 15 min skonczylo to 19 godzin wyskoczyło :D wziąłem wszystkie mozliwe znaki a to baaardzo wydłuża proces.

      Mam ogółem jakieś 515M hashy/sek(po podkręceniu karty)

      ps. jestem lekko zaniepokojony, moje hasło na wszystkich forach itd mozna zbuteforcować w kilkanaście minut a do kompa w ... nic, jest od razu :D