Co za debile takie hasła ustawiają... załamka...

@JHardy: Świadomość ludzi jest bardzo niska.
Hasło "oliwia" wydaje się być wspaniałym hasłem, bo kto mógłby zgadnąć że tak właśnie się nazywa jego matka/żona/córka/itp...
A jeszcze dorzucić 123 na koniec i większość użyszkodników czuje się bezpiecznie jak w Ford Knox :)

@JHardy: @hellfirehe: Ja tam we wszystkich gównosklepach mam gównohasła... Co mi zależy, jeśli ktoś się włamie na moje konto i zobaczy, że kupowałem jakiś szajs.

Choć akurat jak wyszła ta sprawa z morele, to sprawdziłem hasło zapisane w przeglądarce i okazało się, że u nich miałem w ch## skomplikowane - kilkanaście losowych liter i cyfr. Musieli mi jakieś generowane hasło przysyłać kiedyś przez przypominaczkę i nigdy tego nie zmieniłem potem ;)

@hellfirehe a jaką w tym przypadku różnica? Ukradli bazę danych i czy miałeś dorota123 czy też aJshdHa866Hsjeid6H, to twoje hasło wyciekło.

@JHardy: a jakie powinno być? np."e658f8592dcadbf060515f5b6a9b2b6d" tylko po co wtedy hashować XDD

@hellfirehe: Chuja, a nie świadomość.

Po prostu morele to jest gówno, a nie portal i ludzie ustawiają tam hasła z p%!!y. Byle by było, zalogować się raz i elo. Tak poza tym, to hasła w rodzaju "rtgrtgsfaklsjfnglqekrjnalfkjvn';'.>>>!#Q#$QR" nie są wcale lepsze od haseł "Oliwka123" - no ale trudno zapamiętać, to janusz ochrony danych będzie usatysfakcjonowany.

@niebezpiecznik-pl da się gdzieś sprawić jakie konta są już złamane?

@szuineg: @wstawajzs: @mecenas_z_piaseczna: różnica pomiędzy "oliwka123" a "0liWqa!@#" jest taka, że złamanie tego pierwszego hasła zajmuje 2 minuty, a tego drugiego prędzej 2 dni

@letesnox: Złamanie tych dwóch haseł maszynie zajmuje piętnaście sekund. Elo.

Takie hasła PSP potrafi złamać w ciągu sekund XDD

a jaką w tym przypadku różnica? Ukradli bazę danych i czy miałeś dorota123 czy też aJshdHa866Hsjeid6H, to twoje hasło wyciekło.

@szuineg: Z tego co rozumiem w bazie danych hasła były "hashowane", czyli potraktowane jednostronną funkcją skrótu której odwrócenie jest praktycznie niemożliwe.

Takie hasła łamie się najczęściej metodami słownikowymi - gdzie ma się bazę wszystkich możliwych słów, często dodaje się również na koniec/początek kombinacje wielkich/małych liter, cyfry, wykrzyknik, często spotykane frazy (np. "123") itd.

Tu jeszcze mamy dużą ilość haseł do łamania - co jest bardzo wygodne z obliczeniowego punktu widzenia, bo łamanie takich 2mln haseł jednocześnie trwa tylko minimalnie dłużej niż łamanie jednego hasła.

W taki oto sposób "dorota123" pęknie bardzo łatwo (imiona to podzbiór haseł którymi się przelatuje takie zagadnienie w pierwszej kolejności).
A szansa że jakąkolwiek listą słów uda się poskładać hasło typu "aJshdHa866Hsjeid6H" jest praktycznie zerowa.
Dlatego dane oczywiście da się wykraść, ale już nie hasło.

@mecenas_z_piaseczna: jeśli 7 z 8 znaków takiego hasła jest w słowniku to pewnie tak ( ͡° ͜ʖ ͡°)

@letesnox: Ch!! ze słownikiem, brutem takie gówna się łamie w ciągu sekund.

@niebezpiecznik-pl: czy mozna zglosic do UOKiK za to ze maja nielegalna baze danych (nie usuneli) użytkownikow) ( ͡° ͜ʖ ͡°)

@mecenas_z_piaseczna: nie ( ͡° ͜ʖ ͡°)
zwróć uwagę że nie bez powodu włamywacze odhashowali łatwe hasła. przy użyciu brute force na złamanie takiej bazy potrzeba by było czasu i i energii całej cywilizacji

@JHardy: do gówno serwisów typu morele mam gówno hasło, gorzej że teraz obskoczą mi wszystkie gówno serwisy tym hasłem XD

@niebezpiecznik-pl: Hej. Wiele osób które znam używa 1password do swoich kont bankowych i innych istotnych rzeczy. Czy waszym zdaniem powierzanie takich informacji temu serwisowi to dobry pomysł ?

Takie hasła łamie się najczęściej metodami słownikowymi - gdzie ma się bazę wszystkich możliwych słów, często dodaje się również na koniec/początek kombinacje wielkich/małych liter, cyfry, wykrzyknik, często spotykane frazy (np. "123") itd.

@hellfirehe: jeszcze dochodzą setki GB tablic tęczowych.

@letesnox: Bo są typowo słownikowe.

Przy użyciu brute force'a na złamanie takiej bazy wystarczy dziesięć ojro. Płaci się Ruskom PayPalem i następnego dnia odbierasz całą bazę.

@mecenas_z_piaseczna:

hasła w rodzaju "rtgrtgsfaklsjfnglqekrjnalfkjvn';'.>>>!#Q#$QR" nie są wcale lepsze od haseł "Oliwka123"
Nie

Złamanie tych dwóch haseł maszynie zajmuje piętnaście sekund
Nie

Takie hasła PSP potrafi złamać w ciągu sekund
Nie

Ch@@ ze słownikiem, brutem takie gówna się łamie w ciągu sekund
Nie

Co za debile takie hasła ustawiają... załamka...

@JHardy: Co za debile robili ich sklep... załamka...

@onechaos: jeżeli studenci, to jedyna firma, która ubóstwia studentów to... ( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)

@niebezpiecznik-pl Straszne i co zrobią z kontent do sklepu morele?
Wezmą kredyt bez mego podpisu? wow już się boję.

@kubako patent jest prosty trzeba się logować kluczem ja ma do każdego konta inne hasło. W każdym haśle jest powtarzalny początek spełniający wymogi trudnego hasła (duże małe litery sekwencja cyfr znak specjalny) nazwa portalu bądź skrót i wszystkim rządzą trzy zmienne ktore utrudniają sprawę w razie przejęcia jednego hasła

W każdym haśle jest powtarzalny początek spełniający wymogi trudnego hasła

@gabaoth: Tylko w przypadku ataku celowanego w Ciebie, jeśli takiego hasła użyjesz w jakimkolwiek serwisie który nie trzyma hasła jako hash (a to niestety jest częste), to możesz założyć że ktoś już zna Twój "silny początek".

Nawet jeśli automatycznie go nie będzie w stanie użyć, to jeśli to Ty jesteś celem ataku, może to ułatwić dostęp do Twoich bardziej zastrzeżonych haseł.

Na dziś jednak najsensowniejsze się wydaje mieć do każdego serwisu zupełnie inne, silne hasło, a zamiast je pamiętać korzystać z managera haseł.

@hellfirehe no mówię ze zasada działania opiera sie na silnym haśle ale zmienne robią robotę. Nie jestem paranoikiem i dopóki na moich subkontach nie ma milionów nie planuje osobnego lapka do banków choć i taki by. Sir znalazł

@niebezpiecznik-pl: solone chociaż były te hasła?

@szuineg: Nie hasło wyciekło a hash hasla, a to jest roznica. Poki masz skomplikowane haslo i nie istnieja komputery kwantowe jestesmy bezpieczni :P

@niebezpiecznik-pl na bogato!

@mecenas_z_piaseczna: xD

Z tych wypowiedzi tego Pana aż przypomniało mi się jak dawno, dawno temu dwóch gimbusów wpadło na pomysł, żeby sprawdzić ile kont GG ma hasło "12345". Okazało się, że kilka, kilkanaście tysięcy. Nie zapomnę ówczesnych tytułów "Hakerzy, przejęli kilkanaście tysięcy kont GG!", "Wyciekło kilkanaście tysięcy haseł!". Tak samo w tym przypadku, znając adresy e-mail na 99% setki kont mają hasło typu "kurczak1" (mając na myśli coś bardziej wulgarnego)

@szuineg: w bazach nie przechowuje się haseł w postaci "czystego tekstu" tylko tzw. hash, który należy rozkodować. O wiele łatwiej jest rozkodować hasło "oliwia" niż to, które Ty podałeś ;)

@DuzeIksMaleDe: do gównoserwisów najlepiej używać 10minutemail i zapomnieć zarówno o mailu jak i haśle do serwisu.

@niebezpiecznik-pl: nie chce mi sie czytac artykulu, wiec skad informacja ze zostalo zlamane tylko 350k hasel z 2 milionow? ( z tego co pamietam 2 miliony wycieklo nie?) przeciez wystarczy hashcat i dobra karta graficzna i wszystkie te hasla pekna w mig, nawet nieslownikowe. Ten kto ma ta baze na pewno juz wszystko odhaszowal, no chyba ze dopiero teraz dowiedzial sie ode mnie co to jest hashcat :-)

@niebezpiecznik-pl: aha wlamywacz was poinformowal ze zlamal 350k, to cos sie chlopak malo stara albo siedzi na nvidia gt 720 :-)

@mecenas_z_piaseczna : "gówno się znam, to się wypowiem"
A ode mnie minus. Nie marnuj więcej klawiatury

Świadomość ludzi jest bardzo niska.

@hellfirehe: p#@@!@@enie – po prostu wymóg konta i hasła na każdej gównostronce to jest pięta achillesowa internetu. Nikt normalny nie będzie wymyślał porządnych haseł, bo nie spamięta nawet jednego takiego, nie mówiąc o większej ilości. To jest po prostu natura ludzka.

zamiast je pamiętać korzystać z managera haseł.

@hellfirehe: znaczy, pokojowo przekazać swoje hasła programistom/właścicielom tego programu? Seems legit...

@niebezpiecznik-pl: a jak moje hasło to np. Qwe!Rty@Asd#66 to mam szanse ?

@niebezpiecznik-pl: tu jest napisane, że mają SSL i są bezpieczni, więc o co Wam chodzi? ( ͡º ͜ʖ͡º) https://www.morele.net/info/bezpiecznie/ #pdk

@JHardy: co Ci po mocnych hasłach jak nawet dane z Twojego dowodu wyciekają ;)

@niebezpiecznik-pl: na bank ( ͡° ͜ʖ ͡° )つ──☆*:・ﾟ

@JHardy: po ch%# mi lepsze hasło do sklepu? Tym bardziej że jak widać bazy takich sklepów nie są nawet dobrze zabezpieczone

@DuzeIksMaleDe: teraz Chrome generuje spoko hasła przy zakładaniu kont. Nawet szybciej to wyjdzie niż wpisanie dupa1.

@Juzef: wreszcie ktoś nazwał problem. Zawsze mnie do szału doprowadza każde kolejne wpisywanie hasła.

@hellfirehe: jaka świadomość chłopie? Czyli Twoim zdaniem mam tam ustawiać silne hasło żeby... Zapobiec wyciekniecia tego hasła? Bo cała reszta I tak dostała się w jego ręce bez łamania hashy. A hasło chroni jedynie samo siebie. Zajebista strategia.

@wstawajzs: A skąd ty, kurna, masz moje hasło?

@DuzeIksMaleDe @qwertty321 ( ͡° ͜ʖ ͡°)

@isonil

MD5 hash for 0liWqa!@ is : b5ce4bb9634b6f3f2368fe9c5c04db62
Status: Cracked
We found 1 hashes! [Timer: 165 m/s] Please find them below...

nie mam pytań.

@exportbiere: MD5 został złamany, nie używa się go do takich celów

Złamanie tych dwóch haseł maszynie zajmuje piętnaście sekund

Nie

@isonil: tak, jeśli hasło jest w bazie danych mysql odszukanie go zajmuje całe 165m/s ( ͡º ͜ʖ͡º)

@tojastefan: @exportbiere: Z poprzedniego artykułu wynikało, że każde hasło miało własnego salta (zresztą trzymanie md5 bez salta to kryminał). W takim przypadku trzeba dla każdego usera bruteforce'ować oddzielnie hasha. Dlatego wyciekły hasła "proste" (słownik + cyfry). I żadne tablice hashy czy to, że wielu userów ma to samo hasło nic tu nie dają.

Tu jeszcze mamy dużą ilość haseł do łamania - co jest bardzo wygodne z obliczeniowego punktu widzenia, bo łamanie takich 2mln haseł jednocześnie trwa tylko minimalnie dłużej niż łamanie jednego hasła.

@hellfirehe: Dlaczego tak jest?

Dlaczego tak jest?

@Jasiu780:
Bo listę hashy do łamania można przed operacją posortować i szukając pasującego hasha nie trzeba porównywać wszystkich 2mln, tylko wystarczy 21 porównań wyszukiwania binarnego.

W ten sposób wydłużenie listy łamanych kont dwukrotne powoduje zwiększenie czasu potrzebnego na sprawdzenie jednego hasła tylko minimalnie (o jeden krok).

@hellfirehe: Ok, rozumiem, dziękuję.

@JHardy: A po co lepsze? Do różnych serwisów mam hasła takie, że szok :P Dopóki nie mam tam podpiętej żadnej karty to mi to tam lotto.

hasła w rodzaju "rtgrtgsfaklsjfnglqekrjnalfkjvn';'.>>>!#Q#$QR" nie są wcale lepsze od haseł "Oliwka123"

@isonil: Nie do końca - jeżeli przeciętny użytkownik ma tak skomplikowane hasło to albo je gdzieś zapisze albo zapamięta jedno trudne hasło i będzie go używać do każdego serwisu. Pozostałe 100% "nie".

@niebezpiecznik-pl: polecicie jakiś dobry VPN?

@resource_1337 to nie jest takie proste bo inne przepisy wymagają trzymania tych danych do czasu zakończenia ewentualnych roszczeń. Dopiero potem możesz skasować i zamazać ślad.

@resource_1337: Bardzo delikatnie ująłeś sprawę. Zawsze mnie zadziwiało w Polsce, że dość łatwo przechodzi się nad ważnymi kwestiami usypiając czujność ludzi albo ich okłamując. I w grę wchodzą zarówno media, jak i tzw. aparat sprawiedliwości (wiadomo dlaczego tzw.). Przecież w większości szanujących się krajów po takim numerze, że ktoś zażądał usunięcia konta a firma dane zostawiła, łapki zacieraliby już prawnicy. A w powietrzu fruwałaby groźba milionowych odszkodowań. A u nas pewnie klasycznie będzie pójście w zaparte i na przeczekanie... Teraz pan premier powinien powołać służbę cyberhakerów, którzy włamywaliby się do sklepów i sprawdzali, czy dane zostały usunięte :>

@Wolrad: W takim razie nie powinien otrzymać twierdzącej wiadomości zwrotnej o usunięciu konta? Jak na razie to wygląda że taką dostał, bo po co mieliby zmieniać dane dostępowe, a następnie odmawiać usunięcia danych bo nie mogą?

@resource_1337: @niebezpiecznik-pl
mnie wcale też nie dziwi takie soft delete, korzystasz z promocji dla nowych kont kasujesz konto i gdy pojawi się nowa zakładasz kolejne.

@niebezpiecznik-pl: ale mimo wszystko 'jakieś' dane muszą zostać.

@jarzyn88: Jakich danych potrzebujesz? Imię, nazwisko, adres? Można zrobić z tego hash i żadnych danych osobistych nie zostawiać.

@jarzyn88: nie. User usuwa konto, Ty robisz md5 czy jakiś sha1 z jego adresu e-mail i lokujesz je do tabeli usuniętych kont. Potem, gdy zakłada ponownie profil sprawdzasz hash czy już taki istniał w bazie czy nie. To co zrobiło morele jest niedopuszczalne.

@resource_1337: @niebezpiecznik-pl: do celów podatkowych dane trzeba przetrzymywać 5-7 lat. Pewnie myślicie że można wziąć kredyt na 30 lat i nakazać bankowi wykasować swoje dane? ( ͡º ͜ʖ͡º)

@Wolrad: a co za problem przerzucić te dane do bazy na jakimś komputerze nie wpiętym do netu? tak żeby nie było fizycznego dojścia do nich..

@marusz: mówisz tak jakbyś sam miał jeden adres email..
@Gippo86: to nie wiele zmienia, bo do takich baz danych też rodo się odnosi, tak samo jak do kartki papieru z danymi osobowymi.

@jarzyn88: Jeżeli gromadzisz dane typu PESEL, czy e-mail (unikalne dla użytkownika) to możesz zostawiać po nich ślad w bazie w postaci zahaszowanej. W momencie powtórnej rejestracji użytkownika, po wpisaniu takiego samego np. PESELu zostaje on zahaszowany w taki sam sposób jak wcześniej i porównany z rekordami w bazie. Jeżeli znajdzie taki sam - odrzut. Nie trzeba trzymać całych kont ani wrażliwych danych plain textem.

@klarkia: Numery PESEL nie są unikalne.

@resource_1337: Dobrze że nie wyciekły dane tych, co jeszcze konta nie założyli

@TehNoLogic są.

@resource_1337: Teoretycznie tak, praktycznie nie. Gdyby były, to do identyfikacji obywatela wystarczyłby sam numer - a jednak zawsze podaje się zestaw dodatkowych informacji (imię, nazwisko, rok urodzenia etc).
https://dziennikpolski24.pl/kosztowny-blad-peselu/ar/3293958

@TehNoLogic o grubo. Jednak będę się upierał, że PESEL jako system zawiera wartości unikalne.

@dedik: w 2013 byli bezpiecznym esklepem ( ͡º ͜ʖ͡º)

@dedik: Ja bym im dał to ( ͡° ͜ʖ ͡°)

źródło: 1545942837699.jpg

@dedik tyle są warte to konkursy, nagrody i laury konkubenta, płacisz parę groszy i dostajesz. Ludzie się dalej na to nabierają?

@mistrz_tekkena: milion razy było na wypoku jak to źle i że nikt tam nie kupuje... a okazuje sie, że każdy miał tam konto ( ͡° ͜ʖ ͡°)

@AnimeJestSuper: ja mam taki mail od jakiegoś czasu, a na morele nigdy nic nie kupiłem ani ni założyłem konta - to musi być skądś indziej

@wormik: Kurła ale ja tego po 20 dziennie potrafie dostać xD Onet upośledz nie czyta jako spam ;-;

@AnimeJestSuper: widzę, że cumpel też na onecie :D

pokaż spoiler może to onetowi wyciekła baza?( ͡° ͜ʖ ͡°)


@wormik: Tak się zastanawiam :/ Ja nie wyczymie zaro

źródło: c.png

@AnimeJestSuper: widzę, że e same laski piszą do Ciebie co do mnie, na bank legitne( ͡° ͜ʖ ͡°)

Mi to łapie jako spam - tylko ja stworzyłm sobie sam folder, nazwałem go spam 2 i tam wrzuca mi te wszystkie napalone laski!

pokaż spoiler i czekają w backlogu aż je tam oporządzę ( ͡~ ͜ʖ ͡°)


@wormik: >widzę, że e same laski piszą do Ciebie co do mnie, na bank legitne( ͡° ͜ʖ ͡°)
Widocznie mieszkamy blisko siebie xD

@AnimeJestSuper prawie 2019 a ktoś używa poczty na Onecie xD

@turok2016: Co w tym złego? poczta założona z 5 lat temu. za dużo stron do przenoszenia, tylko 1 raz się taka akcja zdażyła (teraz)

@AnimeJestSuper: ja mam lepsze akcje. W 2016 był wielki wyciek z serwisu LinkedIn. Jakieś dwa miesiące temu udało się kradziejom złamać moje hasło (którego używałem zresztą tylko na linkedinie). Od tego momentu dostaję codziennie po kilka maili z informacją, że mnie zhackowano (moje hasło jest załączone w mailu jako dowód), zhackowano moją kamerkę w laptopie i nagrano jak trzepię kapucyna do dziwnych stronek porno ( ͡° ͜ʖ ͡°) W wiadomości grożą mi, że jeśli nie przeleję BTC na wskazane konto, to film zostanie rozesłany do moich znajomych ( ͡° ͜ʖ ͡°)

pokaż spoiler You may not know me, and you are most likely wondering why you are receiving this email, right?
In fact, I posted a malicious program on adults (pornography) of some websites, and you know that you visited these websites to enjoy
(you know what I mean).
While you were watching video clips,
my trojan started working as a RDP (remote desktop) with a keylogger that gave me access to your screen as well as a webcam.
Immediately after this, my program gathered all your contacts from messenger, social networks, and also by e-mail.
What I've done?
I made a double screen video.
The first part shows the video you watched (you have good taste, yes ... but strange for me and other normal people),
and the second part shows the recording of your webcam.
What should you do?
Well, I think $873 (USD dollars) is a fair price for our little secret.
You will make a bitcoin payment (if you don't know, look for "how to buy bitcoins" on Google).
BTC Address: XXX
(This is CASE sensitive, please copy and paste it)
Remarks:
You have 2 days (48 hours) to pay. (I have a special code, and at the moment I know that you have read this email).
If I don't get bitcoins, I will send your video to all your contacts, including family members, colleagues, etc.
However, if I am paid, I will immediately destroy the video, and my trojan will be destruct someself.
If you want to get proof, answer "Yes!" and resend this letter to youself.
And I will definitely send your video to your any 11 contacts.
This is a non-negotiable offer, so please do not waste my personal and other people's time by replying to this email.


@byferdo: ja nawet lapa nie mam- niech rozsyłają xD

@turok2016 ta skrzynka to historyczna jest! Chyba prawie pełnoletnia, więc wiesz

@AnimeJestSuper no to si jakoś nimi obdzielimy xD

@byferdo: I co?wysłali znajomym? ( ͡° ͜ʖ ͡°)

@Matarix: zabezpieczyłem się przed tym - nie mam znajomych ( ͡º ͜ʖ͡º)

@byferdo: prawdziwy bordo ( ͡° ͜ʖ ͡°)

@AnimeJestSuper: Mam maila kilkanaście lat, spamu tyle że jakby ktoś do mnie pisał to bym nie zauważył. Jak ktoś mi coś wysyła na niego to musi mi na fb dać znać i szukam

@AnimeJestSuper: załóż konto na gmail, zrób przekierowanie, to poleci do spamu. Auotmaty przestaną pisać za jakiś czas

@AnimeJestSuper: Do mnie też takich maili przychodzi kilkanaście dziennie od paru tygodni. Skrzynka na onecie, podpięte trzy adresy op.pl, ale ten spam od "panienek" wysyłany jest tylko na dwa z nich. Jedyne, co je łączy, to to, że podawałam je w Poczcie Polskiej jako maile przy nadawaniu paczek (ʘ‿ʘ)

@AnimeJestSuper: też mnie to zaczeło prześladować. całe szczęscie google wszystko puszcza do spamu ale i tak mnie denerwuje jak widzę, że coś w spamie siedzi.

PS.
Jak mail to tylko google (najlepsze AI) lub proton mail (prywatność)

@altell: hu*ja im zrobią ¯\_(ツ)_/¯

@dedik im więcej zgłosi tym wieksza szansa ze im dop??@%%$a

@dedik: jeżeli to polska firma to polskie niemieckie urzędy mogą doj%@@ć srogo, tak mi się wydaje