Пользователь под ником ObamaCare опубликовал в сети самую большую из когда-либо существовавших базу паролей. Он собрал порядка 10 миллиардов секретных комбинаций. С учётом того, что на счету этого человека уже есть несколько подтвердившихся утечек, отнестись к новой стоит со всей серьёзностью.
В файле под названием rockyou2024.txt собраны 9 948 575 739 уникальных паролей в текстовом виде. Сам ObamaCare уточняет, что в его базе есть как свежие пароли, так и те, что уже появлялись в сети ранее. Специалисты компании Cybernews изучили подборку и подтвердили реальность присутствующих в ней паролей.
«По своей сути утечка RockYou2024 представляет собой компиляцию реальных паролей, используемых людьми по всему миру. Раскрытие такого количества паролей для злоумышленников существенно повышает риск атак кражи учётных данных. Злоумышленники могут использовать подборку паролей RockYou2024 для проведения атак методом подбора и получения несанкционированного доступа к различным онлайн-аккаунтам, используемым лицами, которые используют пароли, включенные в эту базу данных», — говорится в отчёте Cybernews.
Ранее этот же хакер поделился базой данных сотрудников юридической фирмы Simmons & Simmons, контактами из онлайн-казино AskGamblers и заявлениями студентов на поступление в колледж Роуэн в округе Берлингтон.
Специалисты по безопасности рекомендуют всем пользователям обновить пароли от важных сервисов, не использовать одну и ту же комбинацию на разных сайтах и включать многофакторную аутентификацию, где есть такая возможность.
Источник:
(Комментарий удален)
(Комментарий удален)
для взлома тоже
Если не в состоянии сам понять, тебе это не надо)
От таких вот вас с вопросами как этот и замылили адрес сайта на скрине)
(отредактирован)
И действительно, нет бы обычному пользователю дать возможность наличие своих паролей в этом файле через ctrl-F проверить за несколько секунд. Этого делать мы конечно не будем, мы лучше набросаем на себя пух и надуем щёки. А пользователь пусть все пароли меняет, потратив больше времени на порядок.
этих сервисов для проверки пароля тысячи. Но почему-то проходят проверку только один раз )
Хех)) Вот потому-то скачанный текстовый файл лучше, чем сервис.
Какова вероятность, что пароля этого юзера там нет?
1:10 000 000 ?
То то и оно
Хоть один стоящий комментарий.
99% пользователей просто поменяют один пароль на другой из той же базы паролей.
А чтобы рекомендовать сменить пароль, надо сделать сервис сверки пароля с этой базой.
Короче, спасение утопающих, дело самих утопающих.
А? Даже десятизначный пароль из цифр, букв с регистром и спецсимволов, даст нам примерно 80 в десятой степени вариантов. Или 800 миллиардов уникальных записей. Вероятность того, что мой десятизначный пароль окажется в опубликованной базе из всего 10 миллиардов записей, чуть больше одного процента.
В критических для себя местах я использую шестнадцатизначные пароли. Количество их вариантов подсказать?
Это текстовик весом в десятки или сотни гигов. Обычный юзер его даже открыть не сможет)
20 гигов
Но не замазали иконку LB ))
скинул в личку. Моих паролей там нет) 134 мб размер txt Не кисло)
И мне плиз. Деду нужно, чтобы свой не забыть 😉
актуальная база около 100 гб архив. Теперь предствьте, как ваш дедушка будет дней 30 искать свой пароль в списке)
Ну он видяху как раз купил, чтобы искать по списку быстрее 😂
Можно поиск сделать
50 Гб архив, 160 Гб без сжатия.
Можешь тоже скинуть?)
Привет. Можешь тоже скинуть?
У меня архив на несколько гб из пары миллиардов паролей лежит, какие 100 мб
Он написал 100 гб а не мб
А мне можно?
скиньте тоже пожалуйста…
leakbase io но словарь дофига весит и походу нужна регистрация
Я его только три дня назад придумал.(
есть)
Может дело не в пользователях с их "простыми" паролями, а в самих сервисах и протоколах авторизации?
Естественно их по одному никто не собирал. Оптом, из сервисов
я даже не представляю где этот никчемный брутфорс работает, например у меня на роутере 5 раз не правильно ввел- 20 минут отдыхаешь.
разве что в ясельной группе детского сада прокатит🤷🏻♂️
Это не брутфорс, а хреновое отношение к защите данных.
Брутфорсят не роутер, а файл из вашего роутера. Это же вроде должно быть понятно. Следуя вашей логике получается брутфорс безсмысленнен. Но это же не так. Ну ё ма ё. Ну неужели трудно включать моск, без обид.
Открываешь ноут, вводишь в терминал 5 команд и всё, пароль от вашего роутера получен, ЕСТЕСТВЕННО в зашифрованном виде. И вот потом этот файлик уже брутится. Например моя старенькая видяшка в стоке перебирает 600 000 паролей в секунду, это на wpa\wpa2, не представляю что там на современных топчиках.
(отредактирован)
ок роутеры возможно слабовато защищены, но там ничего ценного по сути
тогда взломай брутфорсом акк гугла, тоже 5 команд надо вбить?
Ты не понял о чём я говорю. Дело только в получении хеша пароля, не важно, от роутера или от твоего гугл акка или с любого сайта. ТОЛЬКО В ЭТОМ сложность. Я писал именно о бруте, точнее как он работает\реализуется. Простыми словами: "долбят" не устройство\сайт а простой файлик. Вот кто-то подключится к твоему компу и просто скачает файлик от браузера с паролями. Естественно они будут зашифрованы. И тут вступает наш знакомый брут. :) Открывается консоль и просто прописывается одна команда: вот файл, вот текстовик, работай и всё, видяха\и потеет. Выполняется ИДЕНТИЧНОЕ действие как при майнинге того же кефирчика.
Хотя я оооочень удивлён что на таком ресурсе, это же не какой-то там садоводческий сайт, опять же оооочень много людей вообще не представляют как "работают" с такими базами. Практически через сообщение идёт сообщение о том что типа три раза ввёл неправильно пароль и блокируется на время доступ. Очень странно читать такое от здешней публики, тут же эксперды с любых отраслей, от простого земледелия до космоса.
(отредактирован)
так я и спрашиваю где применить брутфорс кроме взлома файлов с qwerty подобными паролями на локальном компе
Судя по твоим вопросам, ты вообще не понимаешь что он тебе говорит.
Забавно
Ты сначала говорил что идёт блок на 20 минут после 5ти неверных вводов пароля, потом взломай мне акк гугла, теперь где применять. :)
Где кому надо\возможно там и применяют, у кого на что фантазии хватает. Я не применяю, когда-то давно баловался этим делом, так же как и прошивками телефонов.
Вот тебе задачка. Мы с тобой поспорили что сможем взять номер телефона у какой-то барышни. Через время ты спрашиваешь у меня получилось или нет, и я также спрашиваю у тебя. Вопрос: как нам подтвердить друг другу что у нас есть её номер, и не раскрывая его друг другу?
(отредактирован)
Как подтвердить, бро?!)) Допустим я не смог взять, а ты говоришь- у тебя вышло. Как мне убедиться, что ты не врёшь? (или условия прописаны не тщательно?)
Не, так не получится, я тебе никак не докажу. Если у нас у обоих вышло, тогда реально.
Только хеш нужно ещё получить. Просто так на полу валяется что ли?
Ну да, а как же без этого.
Если мы говорим о хеше от вайфай, то можно сказать что да, он валяется на полу, его получить как два пальца... Ну а от чего другого, не в курсе, не интересовался, не пробовал, да и не хочу.
(отредактирован)
У вас ошибка, вы не понимаете как работает подбор паролей.
А ты не скрине глянь топики ниже, где пишут, что стянули и всю остальную информацию
(отредактирован)
мало ли кто что и сколько стянул? Важно то, что опубликовано. Не в этом ли новость? А так-то и у государства есть все ваши логины и пароли от "личных кабинетов". Они всегда где-то есть.
Не смешно, ктож вам это публично будет вылаживать? Представляющие реальную ценность данные будут переданы только тем, кому нужно.
ну то есть не всем. Значит и нет никакого повода беспокоиться, что сосед с которым ты поссорился вам подгадит.
Уже было на многих ресурсах. Пароли не сперли, а скопилировали. Сгенерировали... Этот файл для брутфорса. И объем у этого файла на несколько терабайт.
Новость в том что этот словарик, так скажем, обновился. :)
2. Все сервисы авторизации должны быть реализованы на коде в котором жёстко прописан прогрессивный таймаут на ввод пароля.
3. Но этим спецслужбы свяжут руки и себе против преступников. Поэтому возможности взлома любых систем - требование спецслужб ко всем легально работающим в государстве системам. Кто создаст иную систему - ему не дадут её внедрить, а если он как-то внедрит, то заставят любыми другими способами дать доступ к ней.
4. Данные спокойно продаются сервисами, которым мы доверяем
Именно. Почему-то мне звонят исключительно из сб сбера, а про другие банки и не заикаются. Странно, да? Учитывая, что счетов в других банках нет. А вот супруге сбер и втб, и точно по наличию счетов.
Скорее тут странно то, что вы не можете проверить по номеру телефона наличие счёта через приложение банка. Вроде бы это штатные средства - а иначе как вам ещё переводы по номеру телефона получать? Никаких странностей тут нет - злоумышленнику достаточно просто попытаться сделать перевод по вашему номеру.
Да сарказм это.
У меня счет только в сбере, остальные давно закрыты.
И звонят только из сб сбера.
Хех... Мне ещё не разу не звонили жулики, "не угадавшие" банк, клиентом которого я являлся. Проверить можно элементарно через приложение, как уже говорил. Будь я жуликом - без проверки номера попыткой перевода средств и не звонил бы, это ж полминуты делов.
А звонят чаще всего "из сбера" (у мну пять счетов в четырёх банках) только потому, что он самый популярный.
Тем не менее - защита данных у банков, как минимум, слабая. И, скорее всего, инфу оттуда просто сливают.
Я не специалист по безопасности банковских данных, но раз уж самым распространённым способом "взлома счетов" является звонок пользователю, то волей-неволей приходится делать вывод, что самым слабым звеном в этой цепочке является человек. Бедолага сам, своими ручками, переводит деньги и берёт кредиты после того, как "специалист" наврёт ему с три короба.
И любое ужесточение защиты в данном направлении является всего лишь способом битья линейкой по этим шаловливым ручкам, не в полной мере осознающим, что они делают.
=скорее всего, инфу оттуда просто сливают=
Вполне может быть, но звонок мошенника "от банка, в котором у вас есть счета", "слив инфы" не доказывает. Проверить наличие счётов на конкретном телефонном номере через приложение может любой дурак.
Ну с этими аргументами я и не спорю, все верно и логично.
Но банки один черт дырявые:)
" в котором жёстко прописан прогрессивный таймаут на ввод "
И как это тебя спасет?
Ты думаешь пароль перебирают на сайте?
Ты абсолютно не разбираешься в вопросе, раз пишешь такое, но поумничать очень хочется
Да, именно о таких людях я и писал выше. Странно что их ТУТ, на таком ресурсе, так много. Что уже говорить о других, "обычных" людях.
Вот ниже, surround тоже самое пишет. Они реально считают что какая-то специализированная программа берёт пароли из текстовика и подставляет их в поле ввода пароля на сайте.
(отредактирован)
Потому что раньше так тоже делали.
Возможно раньше не было таких "защит". Ребята, я не в курсе.
(отредактирован)
Зайти могли только те кто знал где вводится пароль, а где логин.
Когда настраивал сетку для бухгалтерии, еще 20 лет назад, тупо всю сетку с серваком не подключал к сети, и порты юсб опечатал. Только у главбуха 1 порт для выгрузки отчетов на флеху, и отдельный комп для их импорта и общения с налоговой и фондами.
Обновки 1с через него же заливаются. В режиме - скачал/отправил - от сети отключил. Там и винда всегда свежая, и антивирь с брандмауэром стоят лицухи.
Да, не абсолютная защита, но гораздо лучше, чем другие варианты. Особенно учитывая женский коллектив. И в инете в рабочее время с компов служебных не лазят!
>Да, не абсолютная защита, но гораздо лучше, чем другие варианты.
В 2005 winXP?
OpenSusе крутила в VirtualBox winXP шустрее чем на реальном железе.
В самом линуксе можно пользователю ограничить настолько все, что он лишнего байта не отправит.
Я уж не говорю за порты, как сетевые и usb.
А систему можно было восстановить полностью за 10 минут.
Эх времена были....
Без антивируса начиная с
Win7 появилась политика "Съемные запоминающие устройства всех классов: Запретить любой доступ". Модемы usb не блокирует, но есть опасная политика "Запретить установку устройств, не описанных другими параметрами политики". Если в диспетчере устройств устройство ни разу не было установлено, то эта политика не даст установится новому вставленному устройству. Поэтому нужно почистить комп от неустановленных устройств, если USB модем был ранее вставлен и ещё добавить в исключения usb клаву/мышь т.к. это тоже будет заблокированно, если другую вставить или в другой usb порт. Самая коварная опасность политики заключается в том, что если на новый комп перенесете (например помер и бекап винды туда накатываете), то эта политика заблокирует установку нового устройства и винда уйдет в BSOD. В интернете не описано, как его вручную отключить через реестр, так что придется самим искать, что изменилось в реестре до и после включения. Но она отключается через редактирование реестра на загрузочной флешке.
- Папа, а что такое многозадачность?
- Подожди сынок, сейчас дискету отформатирую и покажу.
Смотря в чем открыли. Если в пародии на редактор, то все нормально, так и должен виснуть.
А дедушкин multedit открывает мгновенно, и вменяемо работает поиск.
Там, грубо говоря, трилиарды паролей. :) Ты своим аиркреком будешь месяц их смотреть.
Что, тоже менять?
aircrack-ng, hashcat, pyrit...