Paroles, sekoman, and stuff
- 2009. gada 21. septembrī, plkst. 16:16
- 41 komentārs
Šodien saņēmu jauku ēpastu no servisa, kuru nelietoju – Latvijas twitter wanna-be sekoman.lv.
Tā kā viņi visiem lietotājiem liek nomainīt paroli, neļaujot ielogoties ar veco, tad uzprasās tikai viens secinājums. Proti – mana sekoman.lv parole ir nokļuvusi nelabu ļaužu rokās un, visticamākais, uzradīsies kaut kur internetos citu nelabu ļaužu lietošanai. Diez vai būtu bijis nepieciešams mainīt paroles, ja urķi būtu ieguvuši kriptētās to versijas. Tātad – sekoman.lv atļāvās manu paroli glabāt pie sevis brīvā tekstā. Ko tas liecina par servisu? Par tā veidotājiem?
Protams – no kļūdām mācās. Cerams, ka visu nedēļas nogali prasījušie drošības uzlabojumi ietver sevī arīdzan paroļu glabāšanu kriptētā veidā…
Nav jau tā, ka tas mani personīgi dikti satrauktu. Tur esošā (bijusī) parole man tiek izmantota citām nesvarīgām lietām, bet tomēr – arī tā tagad būs jāmaina.
Šis ir tas 41 komentārs (pievienot savu)
Palūgt nomainīt paroli var arī gadījumā, ja tā ir šifrēta. Kaut gan bildītē redzamais teksts liecina, ka tur tik tiešām parolēs varētu būt glabātas nešifrētā veidā. Taču tādi gājieni ir novēroti no Boot.lv puses arī agrāk. Arī forumam viņiem paroles uzglabājās nešifrētā formā, paralēli šifrētajām, taču tas bija saistībā ar migrēšanu no vienas foruma platformas uz citu. Par laimi, toreiz, kad noklīda foruma DB dumps, es jau ilgus gadus tur izmantoju citu paroli un tur esošo plain text paroli sen nebiju lietojis arī citur. Tātad reizēm ir izdevīgi pamainīt savas paroles.
Vēl izdevīgāk ir vispār nereģistrēties, kurā katrā portālā ;-D
pats lietoju https://lastpass.com/. Apnika čakarēties ar atcerēšanos, u.t.t., tagad grūžu 12 simbolu brīnumus, kurus ik pa laikam nomainu + svarīgās (internetbanka, etc) atstāju tomer pašam pārziņā.
Nē, paroles netika un netiek glabātas plain text’ā. ;)
Domāju, ka diezvai tika pieļauta tik triviāla kļuda, kā nekriptētas paroles.
Bet arī kriptēta parole var izrādīties vērtīga, ja to uzlauž var izrādīties, ka tā 45% gadījumos derēs arī e-pastam un vēl sazin kur.
Nu ja pie ļaundariem nokļuva paroļu md5 heši arī tādos gadījumos liek mainīt, jo ja nav pietiekoši sarežģīta/gara parole to var dabūt vaļā.
“Ļaunie hakeri, rūpējoties par jūsu drošību,” jap.
Drīzāk “piektdienas vakarā mūsu puikas nejauši izdzēsa paroļu tabeli un visas brīvdienas domāja, ko darīt, un rezultātā uzrakstīja skriptu, kas nosūtīja jums šīs paroles maiņas vēstules.”
Atcerēsimies, ka iekš sekoman tika iereģistrēti arī pārdesmit tūkstoši kaut kāda cita būtistu izbijušā portāla lietotāji. Vai tie bija manidraugi.lv vai kas tur vel, neatceros.
Hmm, škiet, ka šie lietotāju tūkstoši tagad ir pazuduši.
kartejais iemesls, kapec neregjistreties ne boot.lv ne sekoman
Cienījamais Kaspar Foigt!
Mēs zinām, ka savulaik tev pašam bija projekts kurā tu atļāvies paroles glabāt plain tekstā. Tāpēc vispirms izkasi baļķi no savas acs un tad meklē skabargas citiem.
Šis nav tas gadījums, kad paroles glabājās plain tekstā. Vienkārši pastiprinājām kodēšanas līmeni un viss. Vecās paroles brutāli tika izdzēstas un pieprasīts visiem lietotājiem nomainīt jaunās. Ar āmuru pa pieri, bet tikai tā varam pieprasīt katram lietotājam izdarīt to ko no viņa lūdzam.
Bez tam. Šis ir lielisks veids kā sakārtot datubāzi nu atsijāt “mirušos” lietotājus.
“pastiprinājām kodēšanas līmeni” LOL.
Par šito vispār pārrēcos – “Šis ir lielisks veids kā sakārtot datubāzi nu atsijāt “mirušos” lietotājus.” Par Last login time timestampu neesi dzirdējis?
Neizklausās nopietni kaut kāds p0k3 koders laikam…
Man joprojām ir projekts, kurā paroles glabājas plaintekstā :) projekts developējas LRk vidē – pierakstīts manā Lielajā Rūtiņu Kladē :-)
Tā lapa vispār nav lietojama uz mazākas izšķirtspējas Netbooka – viss aiziet aiz redzamā robežām pat samazinot logu var redzēt. Līkročainie spaiņi.
Nu laacz, Tev piemīt laikam telepātija :) Neko gan nezinu par konkrēto portālu, bet, ja izdomā pāriet no md5 uz, piemēram, kādu no sha, tad nu bez paroļu nomaiņas neiztikt – neies jau viņi lauzt veco paroļu hash-us, lai varētu nohešot pa jaunam ar citu algoritmu… tā tomēr daudz vienkāršāk nekā uzturēt abas paroles kādu laiku.
Type911, ja mainījāt backendu, hash algoritmu vai ko citu, tad to varēja izdarīt arī eleganti, lietotājam neko nezinot, bet nomainot pie pirmās ielogošanās. Tas, protams, ir spēkā, ja nav noticis nekāds “iebrukums”. Citādi pieprasīt nomainīt paroli no jūsu puses ir pareizs solis.
P.S. “pastiprinājām kodēšanas līmeni” tiešām skan nožēlojami smieklīgi.
laacz, brr, kur ir kāda kripatiņa apjausmas par security industriju? Paroles ir jāmaina jebkurā (veiksmīga uzbrukuma) gadījumā, pat ja tās nav bijušas plain/text.
Nav obligāti var, piemēram, to pašu pwd pie logina salīdzināt ar md5 uztaisīt atzīmi, ka pareizs un pārlaist ar sha1 pāri vecajam md5. Un nekāda usera čakarēšana.
ps. nav obligāti laist pāri vecajam hesham pie logina arī var savākt ja sakrīt ar md5 un nohehot pāri parolei uz sha1 salīdzināšanas brīdī.
bet ja kontrolsummas kompromitētas tad bez paroļu nomaiņas nekādi. Var jau arī neko nedarīt un vienkāršākās paroles tiks atlauztas parasti ~40% ja runa ir par md5. Bet tas nebūtu prāta darbs palaist visu pašplūsmā, labāk ir tā kā tika darīts.
ENDRJU PWNZ!
neredzu jēgu pist lietotājam smadzeni ar kaut kādu paroļu nomaiņu utt. gribi atgādināt par sevi – izsūti gaumīgu epastu.
atradušies te mārketinga guru bļe – hakeru uzbrukumi, pasaulesslavenais sekoman, kodēšanas līmeņi, utt.
90% md5, sha1 hešu atlaužās ar vārdnīcām + bišku bruteforce. Un tas ir uz veselu datubāzi. pat md5(salt), ja salt turpat blakus rūtiņā stāv.
90% lietotāju vienas un tās pašas paroles lieto arī citur.
Vidējais paroles garums: 7.22 simboli
http://blackhalt.files.wordpress.com/2008/07/nedro...
LV populārākie simboli:
http://blackhalt.files.wordpress.com/2008/07/nedro...
Zinu vienu projektu ar simtiem tūkstošu aktīvu lietotāju kur paroles glabājas plain text formātā tieši drošības apsvērumu dēļ. Jocīgi, vai ne? :) Tiesa tur ir nedaudz cita fīča apakšā. Un ja visa sistēma ir pietiekami droša, tad to paroli tā kā tā ārā nedabūs.
Es zinu vienu slavenu lv banku kas ibankas paroles glabā plainā.. Lai userim to pašu varētu iedot ja aizmist. Imo, tas ir pilnīgi lieki.
Dienas bizness glabāja plain tekstā.
Atceros, ka pazaudējām mēs to paroli un uzzvanījām uz db.
Tanta apskatījās savā db un teica:
- Tā jau nav parole, bet kaut kas nesakarīgs!
:)
Nu ja jau visi kriptogrāfijas ģēniji ir pateikuši visu, ko zina par paroļu drošību, tad arī man ir variants, manuprāt nav nekā drošāka, par paša veidotu kriptēšanas algoritmu. Tādēļ, ka tādu nezinās no kura gala sākt lauzt. Ja šādu algoritmu savieno ar, kādu md5, sha1 vai kādu citu, tad parole ir drošībā. Tā kā, iespējams, 90% “hakeru” izmanto gatavus softus, tad šīnī situācijā būs jāpieaicina, kāds kurš prot kaut ko arī izveidot nevis tikai uzlauzt.
–>>Mārtiņš Štāls: Ar web sistēmām galvenā problēma ir faktā, ka lielākā daļa ir veidota PHP un tikai retos gadījumos kods ir nelasāmā formā, taču arī to var atrisināt. Un ja ļaundaris tiek tik tālu, ka var paņemt visu DB, tad viņš var paņemt arī visus failus un paskatīties to tevis rakstīto paroles šifrēšanas algoritmu. MD5 un SHA kombinācijas vienmēr būs drošākas, par paša veidotu šifrēšanu, ja tās kods ir pieejams plain text formā. Kompilētu ASM kodu būs grūtāk izmantot pretējā algoritma izstrādei.
nelietoju sekoman.lv, bet pēc tavas replikas arī visa interese pazuda jebkad pamēģināt :)
ir lieta, kas saucas uzņēmuma/projekta publiskais tēls – sēdies, 2, type. Pildi cītīgāk mājasdarbus lūdzu
kaadi veel backendu upgreidi – user tables dumps nokliida. attieciigajaas vietaas bija pieejams. (moka veel taga ir). backenda vieniigais ‘uzlabojums’ droshi vien bija hasha nomainja un pwd resettoshana visiem useriem.
pizgjec leimisms…tipo nevar ieviest papildus kolonnu tabulaa un pie pirmaa logina ieraxtit taja jauno heshu :)
Ehm. Salt? “SALT!?!?!?”
Man pajaat vai paroles ir glabaatas pleintekstaa vai nee, bet ja kaa alternatiivas tiek piedaavaats visu gruust hashos neidziljinoties ka videejais (unsalted) md5 vai sha1 ir akuraat tikpat veertiigs kaa plaintext (rainbow tables, to start with), rodas dazhi stulbi jautaajumi.
Jebshu – ja tev foruma paroles glabaajaas kaa sql “insert md5(x) into…)” tad iedod man parolju tabulu – dienas laikaa tev buus 99% plaintexta.
“manuprāt nav nekā drošāka, par paša veidotu kriptēšanas algoritmu”
muahahhahaaa…
šajā pasaulē nekas nav drošs.. domā kā gribi un ko gribi… ja gribēs uzlauzt – uzlauzīs
Nu nu googli vai dr jau naviens nav uzlauzis… tāpēc, ka tur līkroči nestrādā!
“Mēs zinām, ka savulaik tev pašam bija projekts kurā tu atļāvies paroles glabāt plain tekstā.”
-0/10
to Mārtiņš Štāls:
“manuprāt nav nekā drošāka, par paša veidotu kriptēšanas algoritmu”
Nu šitais apgalvojums gan jau ir pilnīgi pretējs tam, ko saka kriptogrāfijas teorija. Tas ko Tu piedāvā saucas “Security through obscurity”. Un teorija saka, ka šādā veidā nu galīgi nevajadzētu būvēt sistēmas drošību:
http://en.wikipedia.org/wiki/Security_through_obsc...
Lielākā problēma ir tā, ka par savu “slepeno” metodi Tev objektīvi nebūs nekādas jausmas cik tā patiesībā ir droša un cik vienkārši vai sarežģīti tā ir apejama. Un no otras puses ja kāds to salauzīs, tas var ilgi palikt nepamanīts. Turpretī, ja kāds salauzīs SHA, tas visai ātri būs zināms.
Vieni no pēdējiem, kas ielidoja uz šāda tipa ideju bija GSM operatori.
Jo kā izrādās tieši dēļ šādas ģeniālās pieejas kādus pāris gadus atpakaļ pieeju GSM tīkliem (arī Latvijā) varēja lauzt uz velna paraušanu.
Ohohō, bērni zin ka tev bijis projekts kurā tev paroles glabājās plain textā ! Lācz, drebi mla. Bērni par tevi vēl daudz ko zin, un visu ko viņi zin viņi te postēs, un tad viņi izskatīsies balti un pūkaini, nevis mazi tizli gremžas. Ja piekakā bikses tad labākais veids kā izkulties no ķibeles ir nevis tās iztīrīt, bet gan norādīt vēl uz dažiem kuriem tā reiz ir sanācis, īsti vīri tā tikai dara ;)
Atvainojos, ja kāds jau ir nācis klajā ar šādu ideju, bet, zinot sekoman autoru reputāciju, es uzskatu, ka šī drīzāk ir kārtējā “ģeniālā kampaņa” ar kuru popularizēt savu fakino servisu, jo pēc idejas tagad visiem lietotājiem jāielogojas servisā, un kaut kāds % no zudušajiem dēliem iespējams [at]sāks arī to figņu lietot. Pat ja hakerēšana tiešām ir bijusi, tad viņi kārtējo reizi mēģina no sūda uztaisīt konfekti, jo visiem taču zināms, ka defekts ir efekts :))
@ wii, jā, DB dumpu var atrast netā…
damps ir pieejams visiem labi zināmajā LV 1337 script kiddy forumā :)
Kristap, ja tu uzskati ka kiddy spēj veikt šādas lietas, tad tu laikam esi mazliet aprobežots cilvēks. :)
wii, smagi maldies, viņi ir pārāk neloģiski domājoši lai ko šādu izdarītu, šī nu nav viņu ideja. ;)
“Vecās paroles brutāli tika izdzēstas” ,
un tagat apskatīsimies augstāk:
“piektdienas vakarā mūsu puikas nejauši izdzēsa paroļu tabeli un visas brīvdienas domāja, ko darīt, un rezultātā uzrakstīja skriptu, kas nosūtīja jums šīs paroles maiņas vēstules.”
nuf said
njaa melot tu neesi iemaaciijies …