|
|
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
У меня ламерский вопрос - каким образом хакеры крадут пароли от сайтов? Скажем на сайте аккаунт блокируется после 3-х неудачных попыток. Что-бы перебрать хэши паролей через таблицы - нужно ведь украсть саму базу данных, иначе методом перебора ничего не получится? А если база данных украдена, так и пароли уже особо не нужны.. То-же самое относится к хэшам, зачем хэшировать да еще и с солью - ведь хакер узнает хэш тольно если украдет саму базу? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.05.2016, 02:27 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Трояном воруются cookie веб-обозревателя. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.05.2016, 08:09 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
ну ок, но в куках не лежат-же хэши, зачем тогда такие вещи как соленые хэши, да и вообще хэши? Толку от них если пароль сохранен в куках ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.05.2016, 09:31 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordну ок, но в куках не лежат-же хэши, зачем тогда такие вещи как соленые хэши, да и вообще хэши? Толку от них если пароль сохранен в куках Мягкое с теплым не путай. Если пароль можно украсть на клиенте, то это не значит что на сервере его не надо защищать от кражи. Не у каждого клиента можно украсть. Трояны живут далеко на всех компах. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.05.2016, 09:51 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordА если база данных украдена, так и пароли уже особо не нужны.. Смотря что за база. Далеко не всегда нужны данные из базы, иногда надо просто войти от имени другого пользователя и что-нибудь поделать от его лица. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.05.2016, 10:04 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordУ меня ламерский вопрос - каким образом хакеры крадут пароли от сайтов? Скажем на сайте аккаунт блокируется после 3-х неудачных попыток. Что-бы перебрать хэши паролей через таблицы - нужно ведь украсть саму базу данных, иначе методом перебора ничего не получится? А если база данных украдена, так и пароли уже особо не нужны.. То-же самое относится к хэшам, зачем хэшировать да еще и с солью - ведь хакер узнает хэш тольно если украдет саму базу? Хакеру пароль обычно не особо нужен. Иногда ему достаточно просто сделать какое-то действие от имени залогонненого юзера. А как делают... ну... инструкции тут в форуме давать нельзя. Иначе будет вроде-как публикация методов взлома. Но из общеизвестных фактов - это обычно баги в ПО CMS-ок которые документированы, сырое ПО в стеке LAMP, и детские ошибки в реализации (SQL-инжекция). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.05.2016, 14:37 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
в общем после некоторого гугления вырисовываются следующие подходы к защите паролей: - Не использовать password контролы в браузерах таким образом недопускать сохранения паролей в куках - Использовать картинку с клавиатурой убрав опасность троянов которые записывают все нажатия на клаве - Хэшировать медленным алгоритмом bcrypt с солью, таким образом что если украли базу - то хакнуть большинство паролей не получиться Если у кого есть еще идеи - скидывайте сюда ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 03:06 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenford- Не использовать password контролы в браузерах таким образом недопускать сохранения паролей в куках Поля ввода сами по себе не сохраняют данные в cookie. Кроме того для ввода пароля в текстовом виде у нас больше ничего и нет. stenfordЕсли у кого есть еще идеи - скидывайте сюда Писать сайты без серьезных уязвимостей. Особенно из списка OWASP Top 10 . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 06:50 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
bazileПоля ввода сами по себе не сохраняют данные в cookie. Кроме того для ввода пароля в текстовом виде у нас больше ничего и нет. Писать сайты без серьезных уязвимостей. Особенно из списка OWASP Top 10 . у текстовых контролов есть аттрибут "password", именно так браузеры отличают парольное это поле или нет, если обычное текстовое - то ничего в куках не сохранится. "Писать сайты без серьезных уязвимостей" - это большая тема, ее надо отрабатывать по-кусочкам, вот пароли - такой отдельный кусочек ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 06:59 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordу текстовых контролов есть аттрибут "password", именно так браузеры отличают парольное это поле или нет, Я в курсе, спасибо. stenfordесли обычное текстовое - то ничего в куках не сохранится. Повторяю еще раз - поле password ничего не сохраняет в cookie. Откуда ты взял такую информацию? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 09:12 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
bazileПовторяю еще раз - поле password ничего не сохраняет в cookie. Откуда ты взял такую информацию? где-то в гугле написано было, кроме того это сработало на моем компьютере, по крайней мере как только я убрал аттрибут password браузер больше не предлагает сохранять пароль, у него нет возможности догадаться что это пароль. Понятно что сам пароль при вводе теперь виден, но при использовании виртуальной клавы пофиксить это не проблема ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 09:57 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenford, сохранение паролей на локальном компьютере и cookie это совершенно разные вещи. Специально создавать помехи этому механизму не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 10:10 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Тут главное не перестараться. Все хорошо в меру. Сервисы с параноидальной безопасностью отбивают желание ими пользоваться именно по причине слишком большого количества действий для соблюдения безопасности. Например был у меня счет в одном банке, удачно сделанный ИБ, куча функционала, но параноидальная безопасность (смена пароля раз в три месяца, пароль не запоминается в браузере и т.п.) напрочь отбила желание работать с этим банком. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 10:15 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Dima TНапример был у меня счет в одном банке, удачно сделанный ИБ, куча функционала, но параноидальная безопасность (смена пароля раз в три месяца, пароль не запоминается в браузере и т.п.) напрочь отбила желание работать с этим банком. SMS-ка с сеансовым паролем решают проблему. По крайней мере на сегодняшний день. Вроде-бы случаев кражи СМС-ки не было. Особенно в привязке к хищению денег. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 12:26 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
maytonDima TНапример был у меня счет в одном банке, удачно сделанный ИБ, куча функционала, но параноидальная безопасность (смена пароля раз в три месяца, пароль не запоминается в браузере и т.п.) напрочь отбила желание работать с этим банком. SMS-ка с сеансовым паролем решают проблему. По крайней мере на сегодняшний день. Вроде-бы случаев кражи СМС-ки не было. Особенно в привязке к хищению денег. СМС-ка с паролем тоже была. Кражи СМС-ок есть, и деньги тырят, просто банки это не афишируют. Пользователи ставят банковскую прогу на смартфон, на него же смски с паролями принимают, и до кучи ставят все подряд проги, в некоторых из них трояны оказываются. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 12:49 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
maytonВроде-бы случаев кражи СМС-ки не было. Особенно в привязке к хищению денег. Увы, были http://www.smh.com.au/technology/consumer-security/malware-hijacks-big-four-australian-banks-apps-steals-twofactor-sms-codes-20160309-gnf528.html http://www.pcworld.com/article/3021930/security/android-malware-steals-one-time-passcodes.html ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 13:03 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
bazilemaytonВроде-бы случаев кражи СМС-ки не было. Особенно в привязке к хищению денег. Увы, были http://www.smh.com.au/technology/consumer-security/malware-hijacks-big-four-australian-banks-apps-steals-twofactor-sms-codes-20160309-gnf528.html http://www.pcworld.com/article/3021930/security/android-malware-steals-one-time-passcodes.html Мне не грозит. У меня старая Nokia без Андроида. P.S. Легаси тоже имеет свои преимущества.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 31.05.2016, 13:55 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
я не думаю что найдется хоть один человек, который отказался-бы от работы с системой если она не дает ему запоминать пароли в браузерах, я их сам например никогда не даю запоминать (за исключением мыла), во всех финансовых сервисах всегда ввожу пароль сам. А уж если это предотвратит массовые кражи паролей и кучу гемороя по восстановлению контроля над системой - так тут даже и обсуждать-то особо нечего ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.06.2016, 01:41 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordя не думаю что найдется хоть один человек, который отказался-бы от работы с системой если она не дает ему запоминать пароли в браузерах, я их сам например никогда не даю запоминать (за исключением мыла), во всех финансовых сервисах всегда ввожу пароль сам. А уж если это предотвратит массовые кражи паролей и кучу гемороя по восстановлению контроля над системой - так тут даже и обсуждать-то особо нечегоВ большинстве систем при вводе логина/пароля есть галочка "запомнить". Если её не ставить, то ID пользователя будет храниться во временной cookie, которая не будет сохранена в файле на диске. Так же ничто не мешает при завершении работы нажимать "выход", что удаляет cookie, хранящее ID пользователя. Так что мир не так плох, как кажется на первый взгляд. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.06.2016, 06:11 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordя не думаю что найдется хоть один человек, который отказался-бы от работы с системой если она не дает ему запоминать пароли в браузерах Смотря что за система. Если у неё нет и не может быть конкурентов, и особенно если использование этой системы жёстко и без вариантов обхода прописано в рабочих обязанностях сотрудников - да, будут жрать кактус. Если же это не Oracle Metalink, и не какой-нибудь там купленный конторой SAP, то есть большие сомнения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.06.2016, 19:19 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordя не думаю что найдется хоть один человек, который отказался-бы от работы с системой если она не дает ему запоминать пароли в браузерах Я этот человек, уже написал что сменил банк только из-за гимора с излишними требованиями к безопасности 19239336 . В остальном банк был лучше конкурентов. Закон безопасности прост: "цена взлома должна быть ниже цены полученного". Если то что ты защищаешь не представляет ценности для взломщиков, то и ломать не будут. Даже если всем поставишь пароль "1" и будешь сообщать по телефону. У меня подобная система, несколько сотен юзеров пользующихся вэб-интерфейсом, тупая отправка POSTом по HTTP логина с паролем (т.е. открытым текстом), и никто не сломал за 10 лет. Не потому что не надо, оно надо любому из юзеров посмотреть от лица другого, но не настолько чтобы заплатить за это очень приличные деньги. На всякий случай прикрутил мониторинг что такое произойдет, за 10 лет не произошло. Зато юзеры довольны, многие просто свой логин/пароль не знают, винду переставят и звонят - я зайти не могу, в браузере было запомнено. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.06.2016, 20:06 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
у нас финансовая система, безопасность должна быть на уровне. А интернет-банкинг которым я сам пользуюсь тоже между прочим не позволяет запоминать пароли и ввод только с виртуальной клавы, сейчас я понимаю почему так сделано, мой аккунт там не был взломан ни разу. Если кто-то вдруг действительно откажется из-за этого работать с системой - ну так скатертью дорога, отношение потенциальной прибыли к рискам тут не в его пользу, разгребать сотни звонков от юзеров о несанкционированных транзакциях из-за нескольких ленивых пользователей в наши планы не входит. И более того, на мой взгляд подобные вещи наоборот вызывают только уважение людей и доверие к системе. Но да, я согласен что требовать смены пароля каждые 3 месяца не надо, это действительно перебор. Заодно придумал новую фичу - смена пароля или e-mail'a - только с указанием смс-кода. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 02:05 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
кстати еще один ламерский вопрос, какую задачу решают картинки при регистрации нового аккаунта, когда просят ввести слово что нарисовано. Я так понимаю это против автоматической регистрации роботов, но не совсем понимаю механизм как это им удается, а также какая им от этого польза, ну зарегистрировал робот тысячу левых аккаунтов, а дальше что? Ну и заодно решает-ли эту проблему виртуальная клавиатура, возможно роботы не могут с ней работать? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 02:09 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenford, Картинка нужна для блокировки безостановочных регистраций (ещё плюс уникальное имя почтового ящика для каждого аккаунта). Роботу может быть довольно сложно найти картинку, часто для этого требуется выполнить или "обозначить" выполнение JavaScript-кода, который загружает картинки отдельным "хитрым" запросом на сервер. Виртуальная клавиатура решает ту-же задачу, что и случайная картинка, но ещё больше усложняет работу робота. Гораздо дешевле и проще "ручная" регистрация нескольких аккаунтов, а потом уже запускать роботов... существуют даже сервисы, которые платят деньги людям за ввод кодов с различных рисунков. При желании можно много что сломать (гораздо чаще - только напакостить), но вспоминается анекдот про неуловимого Джо. Самые надёжные и эффективные методы обмана и взлома - социальные, а не технические. От людской доверчивости, лени и "авось пронесёт" не защититься никакими техническими средствами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 02:45 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Супер-пупер защищенный вход не панацея. Троян может поработать за юзера после того как он войдет. Изучал такое в одной знакомой конторе: и-банк известного разработчика (многие банки пользуют), ЭЦП на USB-ключах, втыкаются только на время работы. Бухгалтера следят за Р/С, ежедневные выписки, разноска в свою 1С, сверка, все по взрослому. В итоге ушло в неизвестном направлении 200+ тыс.р. и вскрылось только через несколько месяцев. Работал троян очень интересно: пропатчил Java (на которой написан и-банк), сгенерил и подписал платежки когда с ИБ работали (банк дал эти платежки, я лично проверял ЭЦП, подпись верна), а затем просто скрывал их: при печати выписок не показывал их и корректировал суммы остатков. Вскрылось только когда платежки не ушли, т.к. реальный остаток был на 200+ т.р. ниже. Просто остаток на счете редко снижался ниже этой суммы, поэтому долго не замечали. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 09:26 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Dima TСупер-пупер защищенный вход не панацея. Панацей вообще не существует. Эм.... "энтузиастам" никогда не приходит в голову, что у злоумышленника огромное преимущество: он может выбрать, куда ударить, и выбирает самое слабое место в длинной цепочке, после чего все нагромождения "защит" начинают работать на него, а не против. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 10:54 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Работал троян очень интересно: пропатчил Java (на которой написан и-банк), сгенерил и подписал платежки когда с ИБ работали (банк дал эти платежки, я лично проверял ЭЦП, подпись верна) Я-бы предложил разделить инфо-безопасность в целом и некоторые ее разделы (криптография) касающиеся логинов-паролей-сертификатов, https/ssl e.t.c. Информационная безопасность гораздо шире чем просто криптография к примеру. Криптография в чистом виде (по Брюсу Шнайеру) оперирует субъектами A, B, C, которые используют крипто-средства. И не защищенный канал на котором может быть все что угодно. Изменение любого сообщения (сетевой пакет), удаление сообщения и переадресация. При этом предполагается что A,B,C (Алиса, Боб и Кларк) используют клиентское ПО полностью чистое от троянов и шпионов. Если мы затронем такую тему как трояны - то мы уедем очень далеко.... Если к примеру ПО от Microsoft (Remote desktop ) или сломанный TeamViewer просто следит удаленно за моим скрином и клипбордом то грош цена вообще всем-всем моим ухищрениям с паролями и экранным клавиатурам. Меня (теоретически) уже поимели. Вобщем давайте тему троянов - отдельным топиком - как необходимое и достаточное условие про начало диалога о построении чего-то безопасного в принципе. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 10:56 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Dima TСупер-пупер защищенный вход не панацея. Троян может поработать за юзера после того как он войдет. трояны конечно могут полностью дискредитировать любую безопасность, однако чем сложнее нужен троян - тем в меньшем числе они будут вредить и тем меньшее количество проблем нужно будет разруливать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 12:42 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
softwarerПанацей вообще не существует. Эм.... "энтузиастам" никогда не приходит в голову, что у злоумышленника огромное преимущество: он может выбрать, куда ударить, и выбирает самое слабое место в длинной цепочке, после чего все нагромождения "защит" начинают работать на него, а не против. хорошая логика конечно - зачем защищать если все равно сломают. Одно дело 10 поломанных аккаунтов, другое дело - 10 тысяч. Сломают в самом уязвимом месте - залатаем это место и в следующий раз злоумышленнику опять надо будет искать второе по очереди слабое место. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 12:45 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Кстати господин Касперский (который Евгений) не верит в антивирусы и считает что будущее - за тотальной цифровой сертификацией и подписыванием всех публикуемых бинарей. Я с ним не до конца согласен т.к. не представляю модель распространения или навязывания ПО. Но в этом что-то есть. Хотя надо очень сильно сломать мозг юзеру и перейти от анонимных магазинов ПО к клубам с круговой подпиской (поручительством) на основе коллегиально выбранного сообщества или сообществ экспертов в инфо-безопасности. Антивирусы при этом как класс ПО останутся но перестанут играть ключевую роль. Более важный вопрос не то что скажет сканер а то - кто написал проверяемое ПО и каков уровень доверия к нему от сообщества. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 12:48 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenfordУ меня ламерский вопрос - каким образом хакеры крадут пароли от сайтов? Скажем на сайте аккаунт блокируется после 3-х неудачных попыток. Что-бы перебрать хэши паролей через таблицы - нужно ведь украсть саму базу данных, иначе методом перебора ничего не получится? А если база данных украдена, так и пароли уже особо не нужны.. То-же самое относится к хэшам, зачем хэшировать да еще и с солью - ведь хакер узнает хэш тольно если украдет саму базу? приходят к админу, и говорят: "Братан, нам нужны пароли!" И ставят ему пиво... ну, тут уж никакой файервол не выдержит... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 17:51 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
Про осла, груженного золотом еще писали в древних книгах.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 02.06.2016, 18:05 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
MasterZivприходят к админу, и говорят: "Братан, нам нужны пароли!" И ставят ему пиво... ну, тут уж никакой файервол не выдержит... в базе хэши, да еще соленые, с этим уже разобрались, даже сдав базу все аккаунты не будут сломаны. И кстати в sql server 2016 вроде как появилась замечательная фича по фильтрации колонок в таблице в зависимости от роли доступа, т.е. например только роль приложения будет иметь доступ к тем колонкам, а админ нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.06.2016, 10:33 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
15 лет понадобилось для MS-SQL чтобы создать аналог Oracle Label Security (since 9i (2001 год примерно)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 06.06.2016, 12:36 |
|
||
|
Как крадут пароли
|
|||
|---|---|---|---|
|
#18+
stenford, если у вас финансовое приложение и вам нужна защита от взлома, лучше заплатите кому-нибудь за консультации, если сами не разбираетесь. По этой теме нужно много знать, а сделать что-нибудь неправильно очень просто. Вот вам на подумать: OWASP top 10 https://buildsecurityin.us-cert.gov http://www.grahamlea.com/2015/07/microservices-security-questions/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.06.2016, 11:41 |
|
||
|
|
start [/forum/topic.php?all=1&fid=16&tid=1340697]: |
0ms |
get settings: |
6ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
146ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
64ms |
get tp. blocked users: |
1ms |
| others: | 225ms |
| total: | 471ms |
| 0 / 0 |
