54 ответов в теме

[Korvin]

Для этого же есть всякие KeePass софтинки + плагины к ним для хромов и фаерфоксов. Правда из минусов - таскать постоянно с собой портабл версии на флешке или хранить в облаке.

На самом деле это так же не секурно. Могут с того же кипера все пароли оптом спереть.

Самое надежное - иметь систему ориентиров, по которой для каждого ресурса пароль окажется уникальным, но при этом будет легко запоминаем.

 

Например взять любимый свой стих, типа:

Матросская шапка,
Веревка в руке,
Тяну я кораблик
По быстрой реке,
И скачут лягушки
За мной по пятам
И просят меня:
— Прокати, капитан!

Первая буква заголовка сайта допустим eve-ru.com это E, отсчитываем от алфавита A B C D E, 5я буква = 5я строчка. Если строчки кончились, крутим стих по кругу.

 

Получаем для сайта eve-ru.com пароль iskachutlyagushki5, при этом у разных людей даже в одной системе результат может быть разным, т.к. транслитерация может отличаться. К паролю можно добавить универсальный для всех паролей префикс или окончание, если необходимо его усложнить.

 

Еще проще способ, берется каждая вторая буква сайта, выкидываются символы, например eve-ru.com = eeu, прибавляется имя любимой собачки, типа lessy, получаем пароль eeulessy, в случае если сайт просит обязательно цифру, ставим в конце стабильно 42, если не просит - не ставим.

 

Таких способов можно нарожать за 15 минут миллионы, подобрать такие пароли на порядок сложнее, чем восьми символьные Aa1@kEr$ и прочие извращения. При этом лично для себя можно всегда "угадать" пароль для любого места.

 

пы.сы.

16 посетителей читают тему

6 members, 7 guests, 1 anonymous users

    Korvin, nikitas, Google (2), err0r, Karnaval, LikVlDAT0R, MegaDocent

Большой брат следит за тобой
 

Сообщение отредактировал Korvin: 08 September 2014 - 16:45

[nikitas]

Корвин дело говорит. Как первый шажок к секьюрности.

 

У меня же для важных ящиков пароли в виде склейки разных select encrypt('какая-нить белиберда') , в нижнем регистре.

За годы помнишь наизусть (вернее пальцы помнят) + периодически меняешь местами фрагменты.

А для сайтов как иврушечке и левых ящиков: select encrypt('какая-нить белиберда') as is.

Далее сей пароль или в текстовом файлике валяется с соотв. тегом (файл с кучей паролей и ахинее слева от пароля, которую понимаю только я) или в браузере вбит.

 

Никогда не юзаю авторизацию на сайтах без https (окромя иврушечки) и никогда не использую почтовые клиенты кроме как по TLS.

Топик о защите паролей на иврушечке тут - http://forum.eve-ru....howtopic=111241

[Tihiy]

Имея листинг мыло:пасс можно пробовать этим логиниться в какие-нибудь танчики. Там какраз имя пользователя == мыло, а пароли чаще всего юзают кругом одинаковые.

 

Add:

По словам Korvin'а вспомнил комикс:

Сообщение отредактировал Diego Virt: 08 September 2014 - 17:22

[nikitas]

Новые новости:

 

4 664 478 паролей от мейла.ру - http://habrahabr.ru/post/236077/

 

Проверил рандомный - работает. Ждите новую простынь и переходите в топик http://forum.eve-ru....howtopic=111241 чтобы защитить то, что осталось на иврукоме!

upd: на счет файлика с мылами мейла

785 083 - с паролями

оставшиеся 3.8кк просто адреса, не факт, что не нетронутые.

[Korvin]

Новые новости:

 

4 664 478 паролей от мейла.ру - http://habrahabr.ru/post/236077/

 

Проверил рандомный - работает. Ждите новую простынь и переходите в топик http://forum.eve-ru....howtopic=111241 чтобы защитить то, что осталось на иврукоме!

upd: на счет файлика с мылами мейла

785 083 - с паролями

оставшиеся 3.8кк просто адреса, не факт, что не нетронутые.

Судя по частоте вбросов - какой-то бот.нет успешно отработал и следы заметает.

[Karnaval]

Судя по частоте вбросов - какой-то бот.нет успешно отработал и следы заметает.

Думаешь яндекс закрывают?

[Korvin]

Думаешь яндекс закрывают?

Нет, скорее кто-то собрал пароли банальным трояном, вероятнее всего каким андроид приложением, потом вбросил этот список в открытый доступ, после чего произвел те действия с этой базой, какие планировал, десятки любопытных с их ип адресами залезли туда и скрыли ип злоумышленника своей массой.

[nikitas]

Нет, скорее кто-то собрал пароли банальным трояном, вероятнее всего каким андроид приложением, потом вбросил этот список в открытый доступ, после чего произвел те действия с этой базой, какие планировал, десятки любопытных с их ип адресами залезли туда и скрыли ип злоумышленника своей массой.

Но письма-то не отсылали. Яндексу ничего не мешает отфильтровать авторизации и авторизации и отправку писем, учитывая ресурсы яндекса.

[Korvin]

Но письма-то не отсылали. Яндексу ничего не мешает отфильтровать авторизации и авторизации и отправку писем, учитывая ресурсы яндекса.

 

Не факт, что ящики для спама были нужны.

Например они использовались для массовой регистрации на определенных ресурсах.

 

Просто очень странная выборка, не похоже это на утечку от самого яндекса, больше похоже на рандом сбор с какой шпионской софтины.

Сообщение отредактировал Korvin: 08 September 2014 - 18:21

[Fire_Fly]

а если не сложно киньте в лс ссылку на файлик со списком от яндекса, надо бы проверить

[RTC]

http://www.rg.ru/201...site-anons.html

 

Маленькое дополнение. На 4,5кк паролей. Енжой фри мейл хостс.

[Psihius]

Яндекс на хабре уже отписался ещё днём

[София]

У мя угоняли акк от евы. Кейлогером. Все.

 

А так имею примерно 4-6 ящиков (привычка паранойя с младых ногтей):

 

Рабочий. который строго для работы. Висит в открытом доступе где-то на сайте нашей конторы. На него пореган рабочий акк Фэйспалбука и Линкедин.

Плюс отдельный ящик для дублирования рабочего (тупо пересылка). Захожу раз в полгода ужасаюсь 10-15к не прочтенных писем закрываю, иду гулять дальше.

 

От 3 до 4 ящиков для спама (тупо регаюсь на них, на разных форумах). В том числе и на этом. Вроде там даже какая-то система у меня была: от более спамосборочного до более менее приличного ящика.

 

Ящик для логина Евы. Хз как он там выглядит, сделан был строго под евку и нигде принципиально не висит, имя ящика шо ппц дурное (записан с паролем, где то на бумажке). С него идет вроде как пересылка на дублирующий рабочий, но хз там такой Ад, что я не проверяю. Дубль кстати тоже нигде особо не засвечен.

 

Отдельный ящик для Скайпа, ВК-фейка и ряда подобных ресурсов (торрентов и порносайтов). Месяц назад делала чистку, сносила все левые подписки и прочее со всех имеющихся ящиков. 

 

Вроде ничего не забыла. 

 

Ах да у каждого свой специфический пароль, не особо сложный, но в списках его нет. 

[Gamefreak]

На мейлсру потерять ящик можно имея какой угодно пароль. Полгода не заходишь на него и он становится свободным. У меня так их ящик вместе с танковым аккаунтом увели. Доступ к танкам мне восстановили, а ящик я через полгода таким же образом себе вернул.

[walt]

утечка преднамеренная, чтобы принудительно привязать емейлы к телефонам

так уже делали Одноклассники и ВК только не сразу миллионами

на очереди мейлру и яндекс

[Tester128]

Для этого же есть всякие KeePass софтинки + плагины к ним для хромов и фаерфоксов. Правда из минусов - таскать постоянно с собой портабл версии на флешке или хранить в облаке.

 

ага, чтобы уже сразу пропарить все пароли ко всему

[Fijneman]

Что значить "пропарить"? Вроде по отзывам это надежная софтинка и база с паролями криптостойкая. Мастер пароль у меня в виде строчки из одного стихотворения на 50 символов. А сами автосгенерированные 20-ти символьные пароли от 30+ различных аккаунтов в сети я не знаю. Там идет автоподстановка через спец плагины, минуя буфер.

З.Ы. Если наступит тот момент, когда база вдрух потеряется или повредится (хотя бэкапы никто не отменял), тогда подумаю над вариантом Корвина

[DIMFIRE]

Само надежное хранилище паролей-бумажный блокнот. Никакие хакеры не сопрут, разве что домушники

[Tihiy]

Само надежное хранилище паролей-бумажный блокнот. Никакие хакеры не сопрут, разве что домушники

Пока есть социальный инжиниринг и люди - даже это не является надежным хранилищем. Вообще, взломать и получить доступ можно к любой системе, которой так или иначе могут пользоваться люди - даже не подключенной к какой-либо сети. Вопрос затрат. Соответственно цель спеца по ИБ сделать затраты на взлом больше, чем ценность полученного, а затраты на защиту - меньше.

[Arnage]

Раздражают конечно эти утечки и угоны с мейлов, соцсетей, игр и прочих сиськохранилищь. Хоть не включай пк