В комментариях у Н. пишут, что в списке были и неправильно введённые гражданами пароли. Если это правда, то что ж за странную систему они использовали (или написали), что источником данных были именно попытки логина.
Ну как? Ты заходишь на сервис и логинишься, вспоминая пароль. У нормального человека паролей несколько - идеал о том, что на кажый пук отдельный пароль в 99,9% не соблюдается. И вот человек думает, а каким из 5 паролей он тут зареган. И начинает перебирать. А эти гандоны всё сохраняют. Профит )
Опрст, все новостные сайты пишут о том, что база зарегистрировавшихся избирателей в праймериз парнаса была слита. Гандоны в Парнасе, потому что фиг с ними с личными данными, но хранить не солёные пароли - это нерукопожатно.
Про соленость паролей - не так просто. Очевидно, что эти записи - это сниффинг формы ввода. Поэтому там как валидные, так и не очень записи (вида повторений, 10 раз опробованных разных паролей и т.п.).
Кстати, послушав и почитав некоторые вещи, беру свои слова обратно. Это может быть не снифф формы совсем, а реально хранение всего, что вводилось, plain text, as is. Т.е. реально на таком уровне вообще.
Например, вот это: "Вспомним слив аккаунтов mail.ru, yandex.ru, российского google и недавний скандал с telegram и МТС."
Не было никаких сливов аккаунтов мэйл.ру и яндекса.
"Это значит, что они были перехвачены до момента записи в БД на промежуточном сервере, где балансируется нагрузка. Там они вынужденно хранятся короткое время в открытом виде в памяти сервера. Это можно сделать только имея физический доступ к памяти сервера (так как на диск это информация не попадает)."
Это тоже вранье. Даже два вранья. Первое, перехват может осуществляться на уровне формы. Перехват на балансировщике так же возможен прекрасно без физ доступа, в т.ч. из памяти (обычный кэш) и т.д.
Reply
Reply
Reply
Reply
Reply
Очевидно, что эти записи - это сниффинг формы ввода.
Поэтому там как валидные, так и не очень записи (вида повторений, 10 раз опробованных разных паролей и т.п.).
Reply
Reply
Это может быть не снифф формы совсем, а реально хранение всего, что вводилось, plain text, as is.
Т.е. реально на таком уровне вообще.
Reply
Reply
Например, вот это: "Вспомним слив аккаунтов mail.ru, yandex.ru, российского google и недавний скандал с telegram и МТС."
Не было никаких сливов аккаунтов мэйл.ру и яндекса.
"Это значит, что они были перехвачены до момента записи в БД на промежуточном сервере, где балансируется нагрузка. Там они вынужденно хранятся короткое время в открытом виде в памяти сервера. Это можно сделать только имея физический доступ к памяти сервера (так как на диск это информация не попадает)."
Это тоже вранье. Даже два вранья. Первое, перехват может осуществляться на уровне формы. Перехват на балансировщике так же возможен прекрасно без физ доступа, в т.ч. из памяти (обычный кэш) и т.д.
Т.е. тут вранье на вранье.
Reply
Reply
Leave a comment