The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

GitHub предупредил об атаке, использующей перехваченные с других сайтов пароли

16.06.2016 10:30

GitHub сообщил о выявлении крупной атаки, пытающейся получить доступ к учётным записям пользователей, используя базу известных логинов, email и паролей, полученную на основе происходивших ранее утечек персональных данных пользователей различных online-сервисов (например, eBay и LinkedIn). Разбирая связанную с атакой активность, инженеры GitHub выявили, что ряд попыток оказался успешным и атакующим удалось захватить некоторые из аккаунтов, владельцы которых используют одинаковые пароли на разных сайтах. Пользователям рекомендовано выбрать для GitHub уникальный пароль и воспользоваться двухфакторной аутентификацией.

  1. Главная ссылка к новости (https://github.com/blog/2190-g...)
  2. OpenNews: В знак протеста исследователь опубликовал базу, содержащую 10 млн паролей
  3. OpenNews: Благодаря вредоносному ПО, накоплена база из миллионов паролей пользователей Yandex, Mail.ru и Gmail
  4. OpenNews: Выявлена возможная утечка хэшей паролей разработчиков Mozilla
  5. OpenNews: Утечка базы пользователей eBay. SourceForge инициировал смену паролей
  6. OpenNews: Крупнейшая утечка хэшей паролей, включающая пароли социальной сети LinkedIn
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/44609-github
Ключевые слова: github, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (45) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:40, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Гитхаб вынужден рассказывать хипсторам очевидные вещи. Дожились.
     
     
  • 2.2, Аноним (-), 12:35, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно это лишь косвенный способ ещё раз привлечь внимание к проблеме, озвученной Марком Барнеттом годом ранее.
     
     
  • 3.3, Undefined (?), 13:31, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Какой еще Барнетт, проблема повторного использования паролей уже боян почти. Даже в xkcd было https://xkcd.com/792/
     
  • 2.37, Наркоман (?), 03:51, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажи это хипсторам из aws, нехипстор. Те то же самое сделали.
     
     
  • 3.40, Аноним (-), 08:17, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты небось такое же даунито, как и целевая аудитория советов гитхаба? Один ник, один пароль, один смузи?
     
     
  • 4.42, Наркоман (?), 08:58, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вслух произнеси что написал и подумай над своим поведением, клоун.
     

  • 1.4, Аноним (-), 14:20, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хех, сапожники-то все до единого без сапог. :)))))))

    А еще поют повсюду о безопасности. :))))))

    В том числе и здесь :))))

     
  • 1.5, Аноним (-), 14:41, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Просветите как такое может быть, если пароли хешируются с солью, и не один раз?
     
     
  • 2.6, Andrey Mitrofanov (?), 14:48, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Просветите как такое может быть, если пароли хешируются с солью, и не
    > один раз?

    Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.

    Продолжать или сделаешь вид, что понял?

     
     
  • 3.13, Аноним (-), 21:31, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Просветите как такое может быть, если пароли хешируются с солью, и не
    >> один раз?
    > Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
    > Продолжать или сделаешь вид, что понял?

    Это где же пароль передается открыто? Что за протокол?

     
     
  • 4.15, Ilya Indigo (ok), 22:35, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ftp, http. Кэп.
     
     
  • 5.18, Аноним (-), 23:28, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http не протокол аутентификации. ftp - древний как мамонт, когда аутентификация была чисто на доверии
     
  • 5.19, Аноним (-), 23:33, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ftp, http. Кэп.

    pap еще вспомни.

     
     
  • 6.20, Ilya Indigo (ok), 23:50, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я могу вспомнить только pop3. Что за протокол pap, мне не ведомо.
    При этом ВСЕ 3 протокола актуальны и самые часто используемые.
     
     
  • 7.22, Аноним (-), 00:03, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    pop3 - почтовый протокол. POP3 поддерживает различные методы аутентификации для предоставления разных уровней защиты от незаконного доступа к пользовательской почте.
    PAP - Password Authentication Protocol. Самый простейший и древний протокол аутентификации.
    Многие протоколы прикладного уровня используют механизм PAM для "прикручивания" модуля поддержки безопасности
     
     
  • 8.24, Ilya Indigo (ok), 00:12, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, буду знать Вы можете понять простую вещь, что в вебе для доступа к об... текст свёрнут, показать
     
     
  • 9.26, Аноним (-), 00:22, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, кэп ... текст свёрнут, показать
     
     
  • 10.30, Ilya Indigo (ok), 00:46, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да не за что - Сам вот задумался, а как сделать-то по нормальному Можно испо... текст свёрнут, показать
     
     
  • 11.32, Аноним (-), 01:00, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Как вариант Сервер хранит hash пароля, полученного при регистрации В дальнейш... текст свёрнут, показать
     
     
  • 12.34, Аноним (-), 01:11, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    важно, чтобы куки и временный билет передавались вместе один раз запрос-ответ ... текст свёрнут, показать
     
  • 11.33, Аноним (-), 01:04, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Соль без хэша бесполезна перехватившей же не знает пароль А парольный хэш не п... текст свёрнут, показать
     
  • 11.35, Аноним (-), 01:15, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    еще вариант подумать в сторону взаимного изменения куки сервер отдает куки кли... текст свёрнут, показать
     
  • 11.46, nonamed anon (?), 20:38, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    у вас что, совещание капитанов Или почетный слет велосипедистов гуглите digest... текст свёрнут, показать
     
     
  • 12.48, Ilya Indigo (ok), 22:05, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    https ru wikipedia org wiki CRAM-MD5 Это вообще не относится к вэбу https r... текст свёрнут, показать
     
  • 4.23, Andrey Mitrofanov (?), 00:10, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Просветите как такое может быть, если пароли хешируются с солью, и не
    >>> один раз?
    >> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
    >> Продолжать или сделаешь вид, что понял?
    > Это где же пароль передается открыто? Что за протокол?

    Я, наверное, опять! непонятно написал? Ай-ай... Я испралюсь:

    При хранении паролей в хешированном виде на сервере, с которого их _уводят_ плохие плохиши, хороший малыш при _логине_ на этот сервер/сервис _должен_ передавать серверу свой пароль открытым текстом.

    Лучше?

    /// И да, для ненаблюдательных: я ничего не писал про "протоколы" -- потому что это всё **независимо от** протокола. То есть при любом п. авторизации, не знаю уж почему оно тебя взбудоражило...

     
     
  • 5.27, Аноним (-), 00:31, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    >>> Продолжать или сделаешь вид, что понял?
    >> Это где же пароль передается открыто? Что за протокол?
    > Я, наверное, опять! непонятно написал? Ай-ай... Я испралюсь:
    > При хранении паролей в хешированном виде на сервере, с которого их _уводят_
    > плохие плохиши, хороший малыш при _логине_ на этот сервер/сервис _должен_ передавать
    > серверу свой пароль открытым текстом.
    > Лучше?
    > /// И да, для ненаблюдательных: я ничего не писал про "протоколы" --
    > потому что это всё **независимо от** протокола. То есть при любом
    > п. авторизации, не знаю уж почему оно тебя взбудоражило...

    Открытый пароль может быть передается при регистрации.

    https://var.pp.ua/Materialy/Old-lessons/Security/Less-2/1-Authentication_Autho

    Только не надо упоминать прикладные протоколы, криво прикрученные к процессу авторизации или аутентификации.

     
  • 4.41, Аноним (-), 08:20, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Это где же пароль передается открыто? Что за протокол?

    Какая разница, как передаётся пароль, если linkedin хранил твой пароль от gmail открытом виде?

     
  • 3.14, Аноним (-), 22:04, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну ты ... chap md5 отменили? как и прочие протоколы без разглашения секрета..
     
  • 3.25, Andrey Mitrofanov (?), 00:12, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
    > Продолжать или сделаешь вид, что понял?

    А давайте уже кто-нибудь напишет что-нибудь про challenge-response и _не_передачу открытого пароля?  -----

     
     
  • 4.28, Crazy Alex (ok), 00:40, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда он хранится на сервере не в виде хэша - неизвестно, что хуже...
     
     
  • 5.47, nonamed anon (?), 20:48, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда он хранится на сервере не в виде хэша - неизвестно, что
    > хуже...

    Не обязательно. Паролем может быть хеш от реального пароля.

     
  • 2.8, S.Atahl (?), 16:49, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    О чём ты вообще? С других сайтов произошла утечка паролей (ну и походу логинов). И эти пароли тупо ввели в аккаунты на гитхабе
     
  • 2.11, Аноним (-), 21:28, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Использована утечка из базы паролей. То что добавляется к "соли". Сервер добавляет к соли хэш из базы.

     

  • 1.7, юран (?), 15:01, 16/06/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Генерирую длиннющие пароли для каждого нового сайта и храню их в KeepassX. Брат жив, зависимость огромная.
     
     
  • 2.10, АнонимХ (ok), 17:12, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Я - это ты. Одно бесит: некоторые сайты накладывают ограничения на пароли, когда настроенный дефолтный генератор keepassx приходится тюнить в сторону ослабления.
     
     
  • 3.16, Ilya Indigo (ok), 22:42, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Я - это ты. Одно бесит: некоторые сайты накладывают ограничения на пароли,
    > когда настроенный дефолтный генератор keepassx приходится тюнить в сторону ослабления.

    А нативный "pwgen -(s|y) 16" чем плох?

     
     
  • 4.43, Аноним (-), 17:59, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее 1 цифры, не более 8 символов, символы помимо этих 36 запрещены. Это мой бывший провайдер.
     
     
  • 5.44, Аноним (-), 18:01, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее
    > 1 цифры, не более 8 символов, символы помимо этих 36 запрещены.
    > Это мой бывший провайдер.

    То есть не 36, а 62. Районный провайдер из ЮВАО Москвы, давно купленный Акадо.

     
  • 5.45, Ilya Indigo (ok), 19:06, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее
    > 1 цифры, не более 8 символов, символы помимо этих 36 запрещены.
    > Это мой бывший провайдер.

    pwgen -s 8

    > не более 8 символов

    А если вы, таки, ошиблись и имели ввиду не МЕНЕЕ 8 символов, что логично предположить, то, как приводил ранее:
    pwgen -s 16

     
  • 2.12, Аноним (-), 21:30, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хранитель паролей изолирован надежно? ))
     
  • 2.17, Аноним (-), 23:16, 16/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для мобильных ОС приложение кажется отсутствует? Тогда в 2016 году уже не надо.
     
     
  • 3.29, Crazy Alex (ok), 00:42, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    http://keepass.info/download.html выбирайте на вкус
     
     
  • 4.31, Аноним (-), 00:55, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > http://keepass.info/download.html выбирайте на вкус

    Нет, Contributed/Unofficial KeePass Ports, не нужно. Под iOS всё равно нет. Далее не трудитесь, я в состоянии купить себе приличное ПО. Купил 1password для двух платформ - вот это ПО.


     
     
  • 5.38, Andrey Mitrofanov (?), 07:13, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> keepass.info/download.html
    > Нет, Contributed/Unofficial KeePass Ports, не нужно.

    KeePassX с которого ты начал своё "восхождение" -- сразу не keepass.info-"оригинал". Не знал? Не заметил? Не осилил.

    //У меня для мобильн[B]ой[/B] ос - https://f-droid.org/wiki/page/KeePassDroid //тебе не подойдёт -- не для тебя написал.

    >Под iOS всё равно нет.
    >Купил 1password для двух платформ - вот это ПО.

    Какой Ви жЫрный., фу.
    Купил какой-то "Contributed/Unofficial".
    Нет, чтоб, как Большой, купить офисьяльно! без-СМС!! не-лоX!1адын порт MS Mono на свою недо"платформу".

     
  • 2.21, Аноним (-), 00:01, 17/06/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Генерирую длиннющие пароли для каждого нового сайта и храню их в KeepassX.
    > Брат жив, зависимость огромная.

    а как ввести те же самые логины/пароли с iOS? синхронизация какая-нибудь есть? Приложения для мобильных ОС есть?


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру