Opisywany temat zwiazany jest z brakiem swiadomosci uzytkownikow, ktorzy uzywali bardzo prostych hasel
Aroganckie tłumaczenie, zupełnie pomijające drugą stronę medalu. Gdyby wykop był poprawnie zabezpieczony przeciwko atakom brute-force, to nawet proste hasła dawałyby jako-takie bezpieczeństwo. Skąd wiesz, że mam hasło dupa8? Może mam asdf, a może qwerty. Wbrew pozorom, prostych haseł jest całkiem sporo. Sęk w tym, że w żadnym wypadku atakujący nie powinien mieć pełnej swobody w wysyłaniu żądań logowania, tak
@Nagor: Po części tak. Nie było żadnego wycieku, a "złamane" konta posiadały hasła typu "qwerty" czy "dupa123". Winą wypoku jest natomiast to, że system zezwala na kilkadziesiąt tysięcy prób logowania na minutę.
@Nagor: Oczywiście, jak się włamali Tuskowi na stronę kancelarii premiera to cały wykop się śmiał że sam sobie winien. A teraz? Białek jak mogłeś dopuścić do tego żeby ktoś się włamał na moje konto z hasłem 12345!
I nie mówcie mi hipokryci że to były inne czasy xD
@Mawak: niektórych haseł nawet #!$%@? nie idzie nazwać, na przykład login=hasło lub perełki typu 11111 albo aaaaa. Normalnie Janusze zabezpieczeń, ciekawe czy drzwi do domu też zostawiają otwarte. Czy naprawdę ciężko wymyślić coś w stylu hasłoDoSerwisuZeŚmiesznymiObrazkamiCycki i je zapamiętać w przeglądarce?
@Mawak: niektórych haseł nawet #!$%@? nie idzie nazwać, na przykład login=hasło lub perełki typu 11111 albo aaaaa. Normalnie Janusze zabezpieczeń, ciekawe czy drzwi do domu też zostawiają otwarte. Czy naprawdę ciężko wymyślić coś w stylu hasłoDoSerwisuZeŚmiesznymiObrazkamiCycki i je zapamiętać w przeglądarce?
@onechaos: Ale wiesz jaki problem? Brak zabezpieczeń do wpisywania błędnego hasła wielokrotne, efekt? Przyjmując że jechał po kolei schematem nick + cyfry najpierw i zakładając że np Mawak miałby
1) Wykop posiadał jakikolwiek zabezpieczenia przeciwko logowaniu: brute force np po 20 próbach ban czasowy 2) Ktoś tam w serwerowni pilnował logów 3) Żeby kur.. zimplementowali logi i porzadną autentykacje 4) przydał by się HTTPS ale jego brak tutaj nie był istotny w tym ataku.
A wystarczyła by recaptcha po X próbach błędnego logowania na konto... + W wypadku wykrycia nasilonych prób globalnie, niezaufane IP od razu wymagać recaptcha.
No ale 8 lat czekaliśmy na captcha dla rejestracji... Poczekamy kolejne 8 lat na logowanie...
“Dementujemy informacje o wlamaniu do bazy danych. Opisywany temat zwiazany jest z brakiem swiadomosci uzytkownikow, ktorzy uzywali bardzo prostych hasel”
No #!$%@? kisne xD Nie dośc że nie masz chłopie HTTPS (a nawet onet to ma i możliwe że z tego powodu rozdaje swoj certyfikat) to jeszcze zrzucasz wine na użytkowników że metodą brute-force włamali się do TWOJEGO serwisu XD
@DivideByZero: Jeżeli wykop.pl pozwala na tworzenie tak prostych haseł, to musi mieć świetne zabezpieczenia! Niestety ich nie ma! To przede wszystkim wina wykop.pl, a nie użytkowników! Większość portali uniemożliwia tworzenie tak prostych haseł, nawet gdy są bezpieczniejsze od wykopu.
Użytkownicy są na końcu tej przesranej afery ;) Informowanie nas o rzeczach które bezpośrednio nas dotyczą poprzez suche komunikaty na innym serwisie jest co najmniej dośc osobliwym posunięciem. Tak to widzę; ( ͡°ʖ̯͡°)
Rok 2017 a jakiś 'poważny' serwis pozwala na zgadywanie haseł bruteforcem... To tylko świadczy o tym, że ten serwis napisany jest na kolanie, jeśli myślicie, że wasze dane są tu bezpieczne to już macie odpowiedź. Jako, że jestem programistą to wstyd mi za tych, którzy napisali ten serwis, bo to jest dramat.
@push3k-pro: dokładnie, wystarczył by najprostszy limit czasowy, powiedzmy maksymalnie 10 nieudanych logowań w godzinę, nie mówiąc już o captcha. No ale takie 'super' zabezpieczenia znają widocznie programiści od 3k. Ci poniżej pracują nad wykopem.
No tak to nasza wina, ze mamy konto na twoim portalu i ze ktos sie włamal na twoj portal i robi to co chce. W banku mamy pin na 4 liczby i jakos nikt nie kradnie pieniedzy dopóki nie ukradnie pinu. Nie da sie bruteforcem zlamac na raz setek haseł do kart bk ci po prostu zablokuje takie proby. Natomiast u Białka chocbys miał haslo typu skdusbakNhjhhjdNjnKKjk1739dkfjk to i tak metoda prob
To ja pozwolę się wypowiedzieć. Moje konto jest na tej liście, moje hasło było banalne. Zdaję sobie z tego sprawę, wiem że to głupie i niebezpieczne. Hasło dupa123 "zabezpieczało" moje konto na wypoku 4 lata. Nie zmieniałem bo chciałem sprawdzić ile takie idiotyczne hasło ma rację istnieć. Okazało się, że całkiem długo. Inną kwestią jest to, że włamanie na mój wypok nie może mi narobić większych szkód. Konto nie jest połączone z
@tinyDuckkiller: Nie ma za co, robie co moge, ale administracja ocenzurowala moje znalezisko na ten temat z glownej i usunela wpis z goracych. Mam nadzieje, ze nie wylapiesz zaraz za multi.
Miachał Białek nie ma... A nie, to nie to. Michał Białek nieustannie się kompromituje. Czemu on jeszcze zarządza tym cyrkiem, nie wiem. Przecież nie jest już właścicielem, czy nawet współwłaścicielem.
Powtórzę co napisałem na mirko, bo ludzie często olewają bezpieczeństwo swoich kont, a można bardzo łatwo się bronić przynajmniej w pierwszej linii):
Widzę, że niektóre mirki mają problem z ułożeniem skomplikowanego hasła #afera Czy to naprawdę takie trudne? Stara metoda pierwszych szamanów komputerowych radzi: Skomponuj hasło na podstawie ulubionej sentecji lub piosenki. Np: "A Wszystko To Bo Ciebie Kocham I Nie Wiem Jak Bez Wykopu Miałbym Żyć" Robimy pierwsze literki -> AWTBCKINJBWMZ
@messiahone: wykop to żaden specjalny portal żeby zakładać super silne hasła. Zauważ ze tylko bordo się odzywa w tej sytuacji bo poprzestawiało wam się w głowach i traktujecie wykop jak niewiadomo jak ważna rzecz.
Administracja jest niepoważna, ludzie zawsze będą mieli łatwe hasła, zwłaszcza do portali typu wykop gdzie dla zwykłych użytkowników to jest żaden seriuos business. Ale są ludzie dla których to jest serious business. W przypadku tej afery nie złamano konto firmowych, ale wyobraźmy sobie, że hackerzy, biorą sobie na cel konta mbanku, conowego, leszke itp. Wykorzystują to, że nie ma limitów na próby logowania, w końcu trafiają hasła i zaczynają wrzucać z takich
Komentarze (200)
najlepsze
Aroganckie tłumaczenie, zupełnie pomijające drugą stronę medalu. Gdyby wykop był poprawnie zabezpieczony przeciwko atakom brute-force, to nawet proste hasła dawałyby jako-takie bezpieczeństwo. Skąd wiesz, że mam hasło dupa8? Może mam asdf, a może qwerty. Wbrew pozorom, prostych haseł jest całkiem sporo. Sęk w tym, że w żadnym wypadku atakujący nie powinien mieć pełnej swobody w wysyłaniu żądań logowania, tak
I nie mówcie mi hipokryci że to były inne czasy xD
@Mawak: niektórych haseł nawet #!$%@? nie idzie nazwać, na przykład login=hasło lub perełki typu 11111 albo aaaaa. Normalnie Janusze zabezpieczeń, ciekawe czy drzwi do domu też zostawiają otwarte. Czy naprawdę ciężko wymyślić coś w stylu hasłoDoSerwisuZeŚmiesznymiObrazkamiCycki i je zapamiętać w przeglądarce?
@onechaos: Ale wiesz jaki problem? Brak zabezpieczeń do wpisywania błędnego hasła wielokrotne, efekt? Przyjmując że jechał po kolei schematem
nick + cyfry najpierw i zakładając że np Mawak miałby
1) Wykop posiadał jakikolwiek zabezpieczenia przeciwko logowaniu: brute force np po 20 próbach ban czasowy
2) Ktoś tam w serwerowni pilnował logów
3) Żeby kur.. zimplementowali logi i porzadną autentykacje
4) przydał by się HTTPS ale jego brak tutaj nie był istotny w tym ataku.
A tak w ogóle to @m__b - napraw tagi
+ W wypadku wykrycia nasilonych prób globalnie, niezaufane IP od razu wymagać recaptcha.
No ale 8 lat czekaliśmy na captcha dla rejestracji... Poczekamy kolejne 8 lat na logowanie...
Ale co ja tam wiem... Zielony jestem...
No #!$%@? kisne xD Nie dośc że nie masz chłopie HTTPS (a nawet onet to ma i możliwe że z tego powodu rozdaje swoj certyfikat) to jeszcze zrzucasz wine na użytkowników że metodą brute-force włamali się do TWOJEGO serwisu XD
Informowanie nas o rzeczach które bezpośrednio nas dotyczą poprzez suche komunikaty na innym serwisie jest co najmniej dośc osobliwym posunięciem.
Tak to widzę; ( ͡° ʖ̯ ͡°)
Komentarz usunięty przez moderatora
Michał Białek nieustannie się kompromituje. Czemu on jeszcze zarządza tym cyrkiem, nie wiem. Przecież nie jest już właścicielem, czy nawet współwłaścicielem.
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Widzę, że niektóre mirki mają problem z ułożeniem skomplikowanego hasła #afera Czy to naprawdę takie trudne? Stara metoda pierwszych szamanów komputerowych radzi: Skomponuj hasło na podstawie ulubionej sentecji lub piosenki. Np: "A Wszystko To Bo Ciebie Kocham I Nie Wiem Jak Bez Wykopu Miałbym Żyć" Robimy pierwsze literki -> AWTBCKINJBWMZ
@messiahone: ( ͡° ͜ʖ ͡°)( ͡° ͜ʖ ͡°)
Komentarz usunięty przez moderatora