🪨 Wyciekły miliardy haseł
Вставка
- Опубліковано 9 вер 2024
- Na popularnym forum z wyciekami pojawiła się kompilacja prawie dziesięciu miliardów unikalnych haseł
Źródła:
tinyurl.com/y5...
tinyurl.com/yr...
#hasło #bezpieczeństwo #uwierzytelnianie #wyciek
Podaję hasło: OKOŃ
Ja grab ja grab
Zawęzili poszukiwania hasła do naszych kont do zaledwie dziesięciu miliardów.
Kilka miliardów to znacznie mniej niż nieskończenie wiele
Dla komputerów to tyle co nic.
Ciekawe ile procent się powtarza😊
Wyciekła baza wszystkich 4 cyfrowych numerów PIN 😂
Większość ma pin " 1111 "
@@krotson6767ja mam 2137
4 cyfrowe PINy to 10^4 czyli 10 000 kombinacji.
Niektóre banki blokują 1234, 1111, 0000 itp
Paradoks wycieków haseł - z jednej strony ułatwiają życie przestępcom, z drugiej możesz sprawdzić jakich haseł nie używać i jeśli ich nie używasz to te tablice tęczowe przestają być użyteczne
A co za problem dodawać do bazy hasła które wyszukujesz żeby sprawdzić czy takie już jest 😂
Z managerów też wyciekają hasła. Chcesz zwiększyć bezpieczeństwo- trzymaj je w głowie lub poza siecią.
Promocja managera haseł zawsze pomija jeden malutki szczegół. Łamiąc zabezpieczenia samego managera, albo jeśli jest wypuszczony na rynek z backdoorem zaimplementowanym na polecenie służb kraju z którego jest firma to atakujący będzie miał dostęp do wszystkiego i nikt się nawet nie kapnie. To jak promowanie VPN jako prywatności, bzdura totalna bo cały ruch wtedy idzie przez węzeł obsługiwany przez jednego dostawcę. Ja nie ufam nikomu tylko sobie, jak ktoś lubi wygodę to poświęca bezpieczeństwo.
Dlatego nie stosuje się webowych managerów haseł.
Zgadzam się, tylko to zakłada że tego oprogramowania nie aktualizujesz, bo niespodziankę możesz dostać w aktualizacji. Chyba że rozwiązania open source bo są bardziej transparentne i da się to wyłapać zanim wyjdzie na świat. Ja po prostu nie ufam nikomu i nie powierzę żadnej firmie haseł na których mi zależy
@@szatan44 używam Debiana stable. Więc, nawet jak malware znajdzie się w open-source, to zostanie wyłapane co najmniej rok wcześniej, zanim trafi do repozytorium, a tym bardziej na mój sprzęt. Niedawno był jeden taki przypadek. Dosłownie jeden (dotyczył SSH i tylko na x86).
Pierwszy głos rozsądku brawo! Wszyscy zakochani w bitworden albo proton pass(menedżer haseł od proton vpn tej super bezpiecznej firmy ze szwajcari która regularnie przekazuje adresy IP służbą) itp. Ja osobiście używa KeePass XC menedżer haseł opensource działa tylko offline, backupy robisz kopiując plik bazy np na drugi dysk.
@@szatan44 chyba YT standardowo usunął mi komentarz (schodzi ten serwis na nie powiem co). Open Source pod kontrolą Debiana (stable) jest nieporównywalnie bezpieczniejsze od rozwiązań zamkniętych czy tym bardziej webowych - gdzie nic nie wiesz co się dzieje na serwerach.
Hasła jak w każdym sklepie z hasłami
A nie wystarczyłoby kilkusekundowe opóźnienie po nieudanym, logowaniu, żeby nie dało się zrobić ataku brute force?
Jeszcze prościej:
Niech system, do którego próbujesz się zalogować zlicza ilość wpisywanych haseł na minutę i jeżeli np. ilość ta przekroczy 6 na minutę, to system narzuca czasową blokadę logowania na np. 30 minut.
Brutforsiarze i słownikowcy szybciutko dadzą sobie siana, a zwykły użytkownik będzie mógł się spokojnie logować nawet po pijaku drżącymi rękami robiąc pomyłki przy wpisywaniu hasła po kilka razy.
Do tego z każdą nie udana próba blokada podwaja się na 1h później 2h itp tak jak w starych radiach na pin.@@miza9665
Wiecie że często bruteforce jest wykonywany na bazie która wyciekła? I wtedy jedyne co stoi na przeszkodzie by łamać hasła w milisekundy to matematyka i wydajność komputera
@@smarkorMoże nie musi ale najczęściej faktycznie tak jest. Proszę też nie gadać z mikisekundami. Bo silnego hasła nie złamiesz za życia atakującego.
A panowie wyżej wymyślili zabezpieczenie które już istnieje. I btw to też można obejść posiadając jakiś botnet i po prostu zmieniać ip
Przecież, tak się robi. Nawet bardziej bo w banku masz limit trzech prob.
TY MASZ ŁEPETYNE MĄDRĄ BRAWA DLA CB❤
DLA CB RADIO?
Do ważnych stron jak bank trochę dłuższe hasło, a do śmieciowych stronek typu facebooki, youtuby, gry, maile i fora mam jedno i to samo hasło.
Tymczasem moje ultra długie hasło
Taaa, jak onepass :)
Bitwarden i mogą mi polizać łokieć:D
Pro tip: tworząc hasło ponapierdalaj randomowo na klawiaturze. Potem pomiędzy dodaj znaki specjalne. I wszystko zapisz na kartce. I nigdy nie zgadzają się na zapisanie hasła
Gorzej jak przypadkiem wywalisz kartkę z kilkoma tak stworzonymi hasłami XD
Ja raz zrobiłam coś podobnego ale na szczęście nie aż tak istotna rzecz była na kartce zapisana.
Świetny loop 😂
A co jak znowu wyciekną dane z managera???
Jeżeli myślisz, że "Messenger" jest bezpieczną aplikacją dla jakiegokolwiek zwykłego użytkownika to się głęboko mylisz...
Wystarczy korzystać z jakiegoś lokalnego managera (np. KeePassXC), a nie z usług chmurowych.
jesli nie jest łączony z siecią, to jedynie sam możesz się przyczynić aby hasła wyfrunęły. Dobrym sposobem jest hashowanie głownego hasła, kluczem gpg
Kiedy niby wyciekły dane z managera?
To prosta sprawa zrobić publiczne repozytorium po API by sprawdzać hasła :)
Jak zakończę realizację najbliższych zadań to zrobię takie coś i udostępnię ;)
Mam nadzieję że jakąś kawę ktoś mi postawi :)
Haveibeenpwned istnieje plus wiele komercyjnych baz danych z dark weba :)
Może i postawię ale baza jest po to niedostępna by osoby z white cybersecurity zarobiły. Średni budżet na bezpieczeństwo to tylko ubezpieczenie a nie realne działanie. To prawdziwa kasa jest. Nie chciałbyś mieć pasywnego dochodu? no właśnie. Stąd nikt tego nie robi jak należy czyli w ramach fundacji
Używam trzech managerów haseł... i żaden nie jest takim, który po prostu działa. Chodzi o to, że logowanie nie jest wykrywane przez nie wszystkie - czasem przez jedne tak a inne nie, a potem się wszystko duplikuje i cholera wie które jest poprawne... najgorzej jak masz parę stron w jednej domenie... wtedy ŻADEN z tych które sprawdzałem manager dobrze nie działa i proponuje hasła z innej subdomeny...
Poważne aplikacje webowe powinny przy tworzeniu konta przeszukiwać takie bazy i informować, jeżeli podane hasło przy tworzeniu konta znajduje się w ów bazie
@@developer217 słyszałeś o przeszukiwaniu binarnym?
@@developer217 Zauważyłeś, że gdy się logujesz, system musi przeszukać bazę wszystkich użytkowników w poszukiwaniu twojego profilu? Na dużych portalach to też są miliardy recordów
Takie bazy robią kasę Cybersecurity. Na tym polega biznes. Zamiast udostępnić bezpłatnie to należy płacić.
Wolę jak żadna apka lub strona tego nie robi bo wtedy tracę do niej zaufanie. Jestem świadomy, a nie ułomny.
Owej, to nie jest on tylko ona
Ta. Do ściagniecia z torenta ,pewnie z prezentem.
niekoniecznie, może być i nawet czyste, ale i tak jest raczej mało-użyteczne. w dzisiejszych czasach sporo serwisów ma blokadę czasową po kilku nieudanych próbach logowania. To się chyba tylko nadaje jak ktoś aktualnie posiada twoje zahashowane hasło, z reguły przetrzymywane po stronie serwera, i może sobie poświęcić kilka godzin na znalezienie pasującej kombinacji.
O to to
Ciekawe z jakiego kraju ta lista jest, bo rockyou w pierwszej wersji z tego co kojarze to amerykańska a nie polska lista haseł, więc dla polskich użytkowników webu nie ma za bardzo znaczenia, chyba że Polact stosują najczęściej stosowane hasła w USA
Najlepiej używać generatora haseł i 2 atapowej weryfikacji
Mateusz może odcinek z omówieniem co warto wybrać na pocztę e-mail a co nie? Plusy i minusy każdej popularnej, alternatywy itp.
Co polecacie? Najłatwiej wybrać Gmaila lub Protonmaila, ale każdy ma duże wady na swój sposób
O, to to. Zbieram się od wielu lat by zmienić na coś wolnościowego.
Ale do menagera też ostatnio mówiłeś że się włamali
Lrawda jest taka, że jezeli twoje hasło wyciekło gdzieś to dostaniesz powiadomienie od Google i zmienisz je. Można też używać różnych aplikacji autoryzacyjnych i po problemie
A to przypadkiem nie jest tak, że cos musi "WYCIEC" żeby potem mozna było zgonic wykorzystanie tego na cyberprzestepców?
Jakostrzeba handlowac zakazanym towarem a taki który "ukradziono " dosyc łatwo jest opierdolić.
Wy tam w tym IT całym to macie jakies blade pojęcie o tym jak funkcjonuje swiat?
Oho, nowy słownik do CTFów właśnie wyszedł 😅
Edit: poczytałem trochę o analizie tego wycieku. Sporo bezwartościowych śmieci w środku :/
Tzn chodzi o wycieki z przeglądarek tak? Czy z zaatakowanych serwisów?
fajne te hasla
...a menadżery są bezpieczne?
"Wyciekły miliardy haseł."
-No i?
i jak znając hasło do googla przeskoczą weryfikację dwuetapową?
już myślałem że link w opisie a tu jakieś strony z artykułami.
Ja sprawdzić czy jest się w takiej bazie i jakie własne hasło wyciekło?
a jest jakis problem napisac w pajtonie wlasny menager hasel? i trzymac go na pendrive... podpiety do laptofa ktory zawsze jest ofline?
Czemu nie zrobiłeś cięcia w 55 sekundzie?
I jakie jest najpopularniejsze ?
alamakota
I gdzie jest ta lista ? Jedyna jaka znalazlem to z tak daremnymi haslami ze szkoda gadac
Jaki manager hasel do firmy polecasz ?
No dobra... a co jeżeli wycieknie hasło do managera? xD
*_Mati opisz obszernie strzał w stopę CrowdStrike._*
Mam to w du, wszędzie mam inne hasło
takie tam proste haslo A4602C119147E00F4C50C61C50B348ADA1318DECC62969AAC60E08559C163387
na moje konto microsoft mam po kilka nieudanych prób logowania dziennie z różnych krajów xd
zbadajcie jak działa manager haseł Google, to jest dopiero dramat
ehh... czyli jedno haslo menedzera ma strzec wszystkie chasla xD
to juz lepiej stosowac algorytmy...
kazda strona jest inna... kazda ma inny kontekst... wystarczy miec jeden algorytm ktory szyfruje kontekst.... i niegdy nie zapomisz hasla.... xD
Czy są jakieś darmowe menadżery haseł warte uwagi?
keepass?
takie tam haslo A4602C119147E00F4C50C61C50B348ADA1318DECC62969AAC60E08559C163387
"chasuo"
zgłoś sie do dermatologa - nawet tego z nfz w sprawie tej narośli nad brwią - moze samo zamrażanie pomoże ci sie tego pozbyc
A co ja hydraulik jestem czy cos?
Szukalem nie znalazlem
Niech zgadnę, breachedforums?
Qwerty321 xD
Ja mam admin123 wszędzie i nikt się nie włamał
Właśnie pokazujesz, ze zmienianie i komplikowanie haseł i tak nie ma sensu, i tak je wykradna
Mam problem z manadzerami taki ze nie uzupelniaja czesto hasel wlformularzu tylko musze je odnalezc , skopiowac i wkleic. Przynajmniej tak bylo jak probowalem tego uzywac. Jest tak nadal? Jesli tak to wole uzywac jednego hasla do logowania sie do miejsc na ktorych mi nie zalezy. Ale moze niedostrzegam zagrozen z tym zwiazanych. Mozecie mnie oswiecic :p
Tez tak kiedys mialem. Do gowno forow(od forum) mialem jedno haslo. Az ktos sie wpakowal popisal jakis bzdury (karalne)i potem policja dotarla do mnie bo kiedys zamowilem cos od usera tego forum podajac swoje dane....
Naszczescie odpuscili. Ale niesmak pozostal....
To da się ustawić. Trochę bezpieczniejsze rozwiązania jest to klik ale są też opcję wystawiania od razu. Nie musisz tych haseł przepisywać czy nawet mieć w schowku dopóki korzystasz z przeglądarki bądź innego miejsca z którym menadżer działa
@@wojtas710Brzmi jak zaniedbanie od ciebie i świetlna nauczka aby korzystać z menadżera
@@BxOxSxS ok, to zastanawia mnie inna kwestia. Dosc czesto zdaza mi sie reisntalowac system, moze mi sie zgubic/moge stracic baze hasel menadzera. Co mi to daj jesli uzywam tego samgeo hasla TYLKO do kont co do ktorych nie obawiam sie ze ktos zhakuje?
@@waraiotoko374 da ci to gorsze zabezpieczenia w zamian za nico większą wygodę. Możesz korzystać z menadżera online gdzie twoja hasła są trzymane w chmurze (zaszyfrowane)
Raczej idz w to rozwiązanie bo jest dużo bezpieczniejsze prawie żadnym kosztem
War thunder?
ja z tej okazji zrobilem nawet kawalek ua-cam.com/video/KkGTqeRt52I/v-deo.html
Dobra ta pętla :D
dupa123 nie do złamania
dupadupa123
Fajnie zapętlone 😂
Pierwszy
Każdy menedżer w końcu zdradzi
Offline nie zdradzi
@@adam1709Marzenie ściętej głowy.
Cały problem z menadżerami haseł polega na tym, że wszyscy atakujący właśnie na nich i tylko na nich się skupiają, bo mają pewność, że jeżeli ktoś się nimi posługuje to na pewno tam jest wszystko co najważniejsze.
To tak jakbyś na własnej działce wybudował dwa budynki i na jednym napisał wielkimi literami "SKARBIEC". Jak myślisz, gdzie najpierw uderzą złodzieje?
Przy okazji pragnę przypomnieć, że współcześnie słowo OFFLINE praktycznie nie istnieje w praktyce. Użytkownicy kompletnie nie zdają sobie sprawy jaką aktywność wykazują wszystkie ich systemy i urządzenia elektroniczne nawet wtedy, gdy wyglądają jakby były odłączone od sieci komórkowej, wi-fi itd.
@@miza9665 Masz rację, ale tylko w małym %. Owszem atakują, ale właśnie te online, a nie offline. Dlatego ja stawiam na nie.
Ale co sugerujesz, że telefon patrzy jakie gdzie masz hasło czy co? I później szantażuje, że je ma? Każdy może mieć inne zagrożenia i poziomy zabezpieczeń jak właśnie Mateusz czy przeciętny Kowalski. Trzeba znaleźć jakiś balas między bezpieczeństwem a wygodą. Nie ma idealnego rozwiązania, ale menadżer haseł na tę chwilę jest najlepszą opcją i osoby, które je stworzyły nie zrobiły ich w jeden dzień na kolanie. Gdzie chcesz trzymać wiele różnych, skomplikowanych haseł? Na kartce papieru? W notatniku?
Nawet jeśli ktoś Ci ukradnie bazę danych jakimś cudem (mam na myśli offline) to przecież musi jeszcze znać hasło, + drugie hasło w postaci pliku (nie wiem czy każdy menadżer ma takie opcje). Przy czym na niemal 100% strzelam że taka osoba samemu byłaby sobie winna gdyby do tego doszło poprzez jakiś wyciek czy podgląd. No jak ktoś jest głupi, czy nie zna podstawowych zasad poruszania się w sieci no to najpierw powinien się z nimi zapoznać chcą poruszać się w sieci bezpiecznie.
A ataki na kompy czy telefony polegają nie na szukaniu gdzie masz hasła, a w 99% na tym aby przenieść ofiarę na jakąś stronę do podania danych czy wyłudzenia pieniędzy.
Powiedz Mateuszowi aby nie korzystał z menadżera haseł bo na pewno polują na jego hasła.
@@adam1709Z tymi atakami na menadżerów nie masz za bardzo racji. Ba ataki jeśli już są na obydwa rodzaje są zazwyczaj takie same: infostealerzy z komputera. Tylko nie opłaca się nawet kraść zaszyfrowanego pliku ale dopiero gdy klucz do nich też da się zdobyć (np podatnością z pamięci bo sejf jest odblokowany).
Ataki na infrastrukturę menadżerów online są naprawdę nie opłacalne i jest to bezpieczne rozwiązanie. Zazwyczaj coś się dzieje gdy producent nawali. A nawet wtedy pozostaje główna linia obrony: szyfrowanie. Rozumiem dodatkową pewność korzystania z tego offline ale oba rodzaje są bezpieczne. Przy okazji jest też rozwiązanie pośrodku: hostowanie menadżera online samemu. I tutaj można mocnk sterować poziomem zabezpieczeń
@@adam1709 Z tymi atakami nie masz za bardzo racji. Ba ataki jeśli już są to zazwyczaj takie same: infostealerzy. Tylko nie opłaca się nawet kraść zaszyfrowanego selfu ale dopiero gdy klucz też da się zdobyć (np podatnością z pamięci bo sejf jest odblokowany).
Ataki na infrastrukturę tych online są naprawdę nie opłacalne i jest to bezpieczne rozwiązanie. Zazwyczaj coś się dzieje gdy producent nawali. A nawet wtedy pozostaje główna linia obrony: szyfrowanie. Rozumiem dodatkową pewność korzystania z tych offline ale oba rodzaje są bezpieczne. Przy okazji jest też rozwiązanie pośrodku: hostowanie samemu. I tutaj można mocnk sterować poziomem zabezpieczeń
Dużo mówisz o skomplikowanych rzeczach z zakresu bezpieczeństwa a Twój widz (mój znajomy)padł ofiarą prostego oszustwa „na kredyt” ze z banku dzwonią niby itp. Dobrze byłoby jakbyś kiedyś powiedział ludzią o takich właśnie najabardzirej popularnych oszustwach jakie pokazuje scammer payback.
LudziOM
Wszedzie mam takie samo od 15 lat. Od metina po onet po nk po fb gmail hotmail netflix hbo prime. Nie zmienię bo szansa na to że ktoś je przejmie i połączy z moim mailem jest bliska zeru
qwerty12345😆