Paroles, sekoman, and stuff
Šodien saņēmu jauku ēpastu no servisa, kuru nelietoju - Latvijas twitter wanna-be sekoman.lv.
Tā kā viņi visiem lietotājiem liek nomainīt paroli, neļaujot ielogoties ar veco, tad uzprasās tikai viens secinājums. Proti - mana sekoman.lv parole ir nokļuvusi nelabu ļaužu rokās un, visticamākais, uzradīsies kaut kur internetos citu nelabu ļaužu lietošanai. Diez vai būtu bijis nepieciešams mainīt paroles, ja urķi būtu ieguvuši kriptētās to versijas. Tātad - sekoman.lv atļāvās manu paroli glabāt pie sevis brīvā tekstā. Ko tas liecina par servisu? Par tā veidotājiem?
Protams - no kļūdām mācās. Cerams, ka visu nedēļas nogali prasījušie drošības uzlabojumi ietver sevī arīdzan paroļu glabāšanu kriptētā veidā...
Nav jau tā, ka tas mani personīgi dikti satrauktu. Tur esošā (bijusī) parole man tiek izmantota citām nesvarīgām lietām, bet tomēr - arī tā tagad būs jāmaina.
Didulis
2009. gada 21. septembrī, plkst. 16:51
Palūgt nomainīt paroli var arī gadījumā, ja tā ir šifrēta. Kaut gan bildītē redzamais teksts liecina, ka tur tik tiešām parolēs varētu būt glabātas nešifrētā veidā. Taču tādi gājieni ir novēroti no Boot.lv puses arī agrāk. Arī forumam viņiem paroles uzglabājās nešifrētā formā, paralēli šifrētajām, taču tas bija saistībā ar migrēšanu no vienas foruma platformas uz citu. Par laimi, toreiz, kad noklīda foruma DB dumps, es jau ilgus gadus tur izmantoju citu paroli un tur esošo plain text paroli sen nebiju lietojis arī citur. Tātad reizēm ir izdevīgi pamainīt savas paroles. Vēl izdevīgāk ir vispār nereģistrēties, kurā katrā portālā ;-D
pyro
2009. gada 21. septembrī, plkst. 16:52
pats lietoju https://lastpass.com/. Apnika čakarēties ar atcerēšanos, u.t.t., tagad grūžu 12 simbolu brīnumus, kurus ik pa laikam nomainu + svarīgās (internetbanka, etc) atstāju tomer pašam pārziņā.
Mārtiņš Lūsis
2009. gada 21. septembrī, plkst. 16:53
Nē, paroles netika un netiek glabātas plain text'ā. ;)
Mārtiņš Štāls
2009. gada 21. septembrī, plkst. 16:54
Domāju, ka diezvai tika pieļauta tik triviāla kļuda, kā nekriptētas paroles. Bet arī kriptēta parole var izrādīties vērtīga, ja to uzlauž var izrādīties, ka tā 45% gadījumos derēs arī e-pastam un vēl sazin kur.
Anon
2009. gada 21. septembrī, plkst. 17:13
Nu ja pie ļaundariem nokļuva paroļu md5 heši arī tādos gadījumos liek mainīt, jo ja nav pietiekoši sarežģīta/gara parole to var dabūt vaļā.
spic
2009. gada 21. septembrī, plkst. 17:35
"Ļaunie hakeri, rūpējoties par jūsu drošību," jap. Drīzāk "piektdienas vakarā mūsu puikas nejauši izdzēsa paroļu tabeli un visas brīvdienas domāja, ko darīt, un rezultātā uzrakstīja skriptu, kas nosūtīja jums šīs paroles maiņas vēstules."
Mārtiņš
2009. gada 21. septembrī, plkst. 18:03
Atcerēsimies, ka iekš sekoman tika iereģistrēti arī pārdesmit tūkstoši kaut kāda cita būtistu izbijušā portāla lietotāji. Vai tie bija manidraugi.lv vai kas tur vel, neatceros.
Mārtiņš
2009. gada 21. septembrī, plkst. 18:06
Hmm, škiet, ka šie lietotāju tūkstoši tagad ir pazuduši.
edza
2009. gada 21. septembrī, plkst. 18:07
kartejais iemesls, kapec neregjistreties ne boot.lv ne sekoman
Type911
2009. gada 21. septembrī, plkst. 18:37
Cienījamais Kaspar Foigt! Mēs zinām, ka savulaik <b>tev pašam bija projekts kurā tu atļāvies paroles glabāt plain tekstā</b>. Tāpēc vispirms izkasi baļķi no savas acs un tad meklē skabargas citiem.
Šis nav tas gadījums, kad paroles glabājās plain tekstā. Vienkārši pastiprinājām kodēšanas līmeni un viss. Vecās paroles brutāli tika izdzēstas un pieprasīts visiem lietotājiem nomainīt jaunās. Ar āmuru pa pieri, bet tikai tā varam pieprasīt katram lietotājam izdarīt to ko no viņa lūdzam.
Bez tam. Šis ir lielisks veids kā sakārtot datubāzi nu atsijāt "mirušos" lietotājus.
Anon
2009. gada 21. septembrī, plkst. 19:02
"pastiprinājām kodēšanas līmeni" LOL.
Par šito vispār pārrēcos - "Šis ir lielisks veids kā sakārtot datubāzi nu atsijāt “mirušos” lietotājus." Par Last login time timestampu neesi dzirdējis? Neizklausās nopietni kaut kāds p0k3 koders laikam...
UL
2009. gada 21. septembrī, plkst. 19:28
Man joprojām ir projekts, kurā paroles glabājas plaintekstā :) projekts developējas LRk vidē - pierakstīts manā Lielajā Rūtiņu Kladē :-)
LMAO
2009. gada 21. septembrī, plkst. 20:25
Tā lapa vispār nav lietojama uz mazākas izšķirtspējas Netbooka - viss aiziet aiz redzamā robežām pat samazinot logu var redzēt. Līkročainie spaiņi.
Knaģis
2009. gada 21. septembrī, plkst. 21:27
Nu laacz, Tev piemīt laikam telepātija :) Neko gan nezinu par konkrēto portālu, bet, ja izdomā pāriet no md5 uz, piemēram, kādu no sha, tad nu bez paroļu nomaiņas neiztikt - neies jau viņi lauzt veco paroļu hash-us, lai varētu nohešot pa jaunam ar citu algoritmu... tā tomēr daudz vienkāršāk nekā uzturēt abas paroles kādu laiku.
endrju
2009. gada 21. septembrī, plkst. 21:28
Type911, ja mainījāt backendu, hash algoritmu vai ko citu, tad to varēja izdarīt arī eleganti, lietotājam neko nezinot, bet nomainot pie pirmās ielogošanās. Tas, protams, ir spēkā, ja nav noticis nekāds "iebrukums". Citādi pieprasīt nomainīt paroli no jūsu puses ir pareizs solis. P.S. "pastiprinājām kodēšanas līmeni" tiešām skan nožēlojami smieklīgi.
laacz, brr, kur ir kāda kripatiņa apjausmas par security industriju? Paroles ir jāmaina jebkurā (veiksmīga uzbrukuma) gadījumā, pat ja tās nav bijušas plain/text.
to Knaģis
2009. gada 21. septembrī, plkst. 22:36
Nav obligāti var, piemēram, to pašu pwd pie logina salīdzināt ar md5 uztaisīt atzīmi, ka pareizs un pārlaist ar sha1 pāri vecajam md5. Un nekāda usera čakarēšana.
to Knaģis
2009. gada 21. septembrī, plkst. 22:39
ps. nav obligāti laist pāri vecajam hesham pie logina arī var savākt ja sakrīt ar md5 un nohehot pāri parolei uz sha1 salīdzināšanas brīdī.
to
2009. gada 21. septembrī, plkst. 22:44
bet ja kontrolsummas kompromitētas tad bez paroļu nomaiņas nekādi. Var jau arī neko nedarīt un vienkāršākās paroles tiks atlauztas parasti ~40% ja runa ir par md5. Bet tas nebūtu prāta darbs palaist visu pašplūsmā, labāk ir tā kā tika darīts.
yeahhhh
2009. gada 22. septembrī, plkst. 01:54
ENDRJU PWNZ!
neredzu jēgu pist lietotājam smadzeni ar kaut kādu paroļu nomaiņu utt. gribi atgādināt par sevi - izsūti gaumīgu epastu. atradušies te mārketinga guru bļe - hakeru uzbrukumi, pasaulesslavenais sekoman, kodēšanas līmeņi, utt.
BlackHalt
2009. gada 22. septembrī, plkst. 02:33
90% md5, sha1 hešu atlaužās ar vārdnīcām + bišku bruteforce. Un tas ir uz veselu datubāzi. pat md5(salt), ja salt turpat blakus rūtiņā stāv. 90% lietotāju vienas un tās pašas paroles lieto arī citur.
Vidējais paroles garums: 7.22 simboli http://blackhalt.files.wordpress.com/2008/07/nedrosas-paroles-1.png
LV populārākie simboli: http://blackhalt.files.wordpress.com/2008/07/nedrosas-paroles-3.png
Pipuks
2009. gada 22. septembrī, plkst. 12:12
Zinu vienu projektu ar simtiem tūkstošu aktīvu lietotāju kur paroles glabājas plain text formātā tieši drošības apsvērumu dēļ. Jocīgi, vai ne? :) Tiesa tur ir nedaudz cita fīča apakšā. Un ja visa sistēma ir pietiekami droša, tad to paroli tā kā tā ārā nedabūs.
Cock
2009. gada 22. septembrī, plkst. 12:31
Es zinu vienu slavenu lv banku kas ibankas paroles glabā plainā.. Lai userim to pašu varētu iedot ja aizmist. Imo, tas ir pilnīgi lieki.
BlackHalt
2009. gada 22. septembrī, plkst. 12:38
Dienas bizness glabāja plain tekstā.
Atceros, ka pazaudējām mēs to paroli un uzzvanījām uz db. Tanta apskatījās savā db un teica:
:)
Mārtiņš Štāls
2009. gada 22. septembrī, plkst. 16:26
Nu ja jau visi kriptogrāfijas ģēniji ir pateikuši visu, ko zina par paroļu drošību, tad arī man ir variants, manuprāt nav nekā drošāka, par paša veidotu kriptēšanas algoritmu. Tādēļ, ka tādu nezinās no kura gala sākt lauzt. Ja šādu algoritmu savieno ar, kādu md5, sha1 vai kādu citu, tad parole ir drošībā. Tā kā, iespējams, 90% "hakeru" izmanto gatavus softus, tad šīnī situācijā būs jāpieaicina, kāds kurš prot kaut ko arī izveidot nevis tikai uzlauzt.
Didulis
2009. gada 22. septembrī, plkst. 17:12
-->>Mārtiņš Štāls: Ar web sistēmām galvenā problēma ir faktā, ka lielākā daļa ir veidota PHP un tikai retos gadījumos kods ir nelasāmā formā, taču arī to var atrisināt. Un ja ļaundaris tiek tik tālu, ka var paņemt visu DB, tad viņš var paņemt arī visus failus un paskatīties to tevis rakstīto paroles šifrēšanas algoritmu. MD5 un SHA kombinācijas vienmēr būs drošākas, par paša veidotu šifrēšanu, ja tās kods ir pieejams plain text formā. Kompilētu ASM kodu būs grūtāk izmantot pretējā algoritma izstrādei.
rick'james -> Type911
2009. gada 22. septembrī, plkst. 19:51
nelietoju sekoman.lv, bet pēc tavas replikas arī visa interese pazuda jebkad pamēģināt :)
ir lieta, kas saucas uzņēmuma/projekta publiskais tēls - sēdies, 2, type. Pildi cītīgāk mājasdarbus lūdzu
vdl
2009. gada 22. septembrī, plkst. 21:57
kaadi veel backendu upgreidi - user tables dumps nokliida. attieciigajaas vietaas bija pieejams. (moka veel taga ir). backenda vieniigais 'uzlabojums' droshi vien bija hasha nomainja un pwd resettoshana visiem useriem.
noisex
2009. gada 22. septembrī, plkst. 23:05
pizgjec leimisms...tipo nevar ieviest papildus kolonnu tabulaa un pie pirmaa logina ieraxtit taja jauno heshu :)
lupus
2009. gada 22. septembrī, plkst. 23:39
Ehm. Salt? "SALT!?!?!?"
Man pajaat vai paroles ir glabaatas pleintekstaa vai nee, bet ja kaa alternatiivas tiek piedaavaats visu gruust hashos neidziljinoties ka videejais (unsalted) md5 vai sha1 ir akuraat tikpat veertiigs kaa plaintext (rainbow tables, to start with), rodas dazhi stulbi jautaajumi.
Jebshu - ja tev foruma paroles glabaajaas kaa sql "insert md5(x) into...)" tad iedod man parolju tabulu - dienas laikaa tev buus 99% plaintexta.
darkYuris
2009. gada 23. septembrī, plkst. 11:30
"manuprāt nav nekā drošāka, par paša veidotu kriptēšanas algoritmu"
muahahhahaaa...
Delfins
2009. gada 23. septembrī, plkst. 11:57
šajā pasaulē nekas nav drošs.. domā kā gribi un ko gribi... ja gribēs uzlauzt - uzlauzīs
to Delfins
2009. gada 23. septembrī, plkst. 12:22
Nu nu googli vai dr jau naviens nav uzlauzis... tāpēc, ka tur līkroči nestrādā!
Kidijs
2009. gada 23. septembrī, plkst. 15:24
"Mēs zinām, ka savulaik tev pašam bija projekts kurā tu atļāvies paroles glabāt plain tekstā."
-0/10
Reinis
2009. gada 23. septembrī, plkst. 15:41
to Mārtiņš Štāls: "manuprāt nav nekā drošāka, par paša veidotu kriptēšanas algoritmu"
Nu šitais apgalvojums gan jau ir pilnīgi pretējs tam, ko saka kriptogrāfijas teorija. Tas ko Tu piedāvā saucas "Security through obscurity". Un teorija saka, ka šādā veidā nu galīgi nevajadzētu būvēt sistēmas drošību: http://en.wikipedia.org/wiki/Security_through_obscurity#Arguments_against
Lielākā problēma ir tā, ka par savu "slepeno" metodi Tev objektīvi nebūs nekādas jausmas cik tā patiesībā ir droša un cik vienkārši vai sarežģīti tā ir apejama. Un no otras puses ja kāds to salauzīs, tas var ilgi palikt nepamanīts. Turpretī, ja kāds salauzīs SHA, tas visai ātri būs zināms.
Vieni no pēdējiem, kas ielidoja uz šāda tipa ideju bija GSM operatori. Jo kā izrādās tieši dēļ šādas ģeniālās pieejas kādus pāris gadus atpakaļ pieeju GSM tīkliem (arī Latvijā) varēja lauzt uz velna paraušanu.
Scorpion
2009. gada 24. septembrī, plkst. 07:59
Ohohō, bērni zin ka tev bijis projekts kurā tev paroles glabājās plain textā ! Lācz, drebi mla. Bērni par tevi vēl daudz ko zin, un visu ko viņi zin viņi te postēs, un tad viņi izskatīsies balti un pūkaini, nevis mazi tizli gremžas. Ja piekakā bikses tad labākais veids kā izkulties no ķibeles ir nevis tās iztīrīt, bet gan norādīt vēl uz dažiem kuriem tā reiz ir sanācis, īsti vīri tā tikai dara ;)
wii
2009. gada 24. septembrī, plkst. 10:23
Atvainojos, ja kāds jau ir nācis klajā ar šādu ideju, bet, zinot sekoman autoru reputāciju, es uzskatu, ka šī drīzāk ir kārtējā "ģeniālā kampaņa" ar kuru popularizēt savu fakino servisu, jo pēc idejas tagad visiem lietotājiem jāielogojas servisā, un kaut kāds % no zudušajiem dēliem iespējams [at]sāks arī to figņu lietot. Pat ja hakerēšana tiešām ir bijusi, tad viņi kārtējo reizi mēģina no sūda uztaisīt konfekti, jo visiem taču zināms, ka defekts ir efekts :))
Gakh
2009. gada 25. septembrī, plkst. 02:59
@ wii, jā, DB dumpu var atrast netā...
Kristaps Kūlis
2009. gada 25. septembrī, plkst. 03:12
damps ir pieejams visiem labi zināmajā LV 1337 script kiddy forumā :)
rūķītis
2009. gada 29. septembrī, plkst. 20:27
Kristap, ja tu uzskati ka kiddy spēj veikt šādas lietas, tad tu laikam esi mazliet aprobežots cilvēks. :)
wii, smagi maldies, viņi ir pārāk neloģiski domājoši lai ko šādu izdarītu, šī nu nav viņu ideja. ;)
zingmars
2009. gada 6. oktobrī, plkst. 15:56
"Vecās paroles brutāli tika izdzēstas" , un tagat apskatīsimies augstāk: “piektdienas vakarā mūsu puikas nejauši izdzēsa paroļu tabeli un visas brīvdienas domāja, ko darīt, un rezultātā uzrakstīja skriptu, kas nosūtīja jums šīs paroles maiņas vēstules.” nuf said
DeadmaroZ-TLOTL
2009. gada 6. oktobrī, plkst. 21:43
njaa melot tu neesi iemaaciijies ...