PanSamochodzik.net.pl Strona Główna
FAQ  Szukaj  Użytkownicy  Grupy Rejestracja  Album  Zaloguj

Poprzedni temat :: Następny temat
Komunikat przeglądarki Chrome
Autor Wiadomość
Muzygog 
Fanatyk Samochodzika



Pomógł: 11 razy
Wiek: 57
Dołączył: 04 Lis 2017
Posty: 2157
Skąd: Płock
Wysłany: 2020-01-07, 23:17:48   Komunikat przeglądarki Chrome



Jak się pozbyć tego badziewia?
Musiałbym zmienić około 20 haseł.
Nie przeszkadza mi, że ktoś poznał moje hasło.
Chcę się ino pozbyć tych komunikatów.
Może ktoś pomoże?
_________________
 
 
irycki 
Fanatyk Samochodzika
Pan Motocyklik



Pomógł: 16 razy
Wiek: 54
Dołączył: 13 Paź 2015
Posty: 4409
Skąd: Legionowo
Wysłany: 2020-01-08, 08:01:02   Re: Komunikat przeglądarki Chrome

Muzygog napisał/a:
Musiałbym zmienić około 20 haseł.
Nie przeszkadza mi, że ktoś poznał moje hasło.


"- Słuchaj, chyba ktoś ma klucze do Twojego domu...
- I co z tego? Musiałbym wymienić wszystkie zamki! Nie przeszkadza mi, że ktoś ma moje klucze..."


PS. Nie wiem, czy w Chrome można ten komunikat wyłączyć.
_________________
Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna.

"Wolność i władza mają tylko jedną wspólną cechę: nadużywanie."
Karol Bunsch
 
 
She 
Moderator



Pomogła: 47 razy
Wiek: 49
Dołączyła: 10 Sty 2010
Posty: 16488
Skąd: Tam i z powrotem
Wysłany: 2020-01-08, 08:05:09   

Muzygog napisał/a:
Jak się pozbyć tego badziewia?
Musiałbym zmienić około 20 haseł.
Nie przeszkadza mi, że ktoś poznał moje hasło.
Chcę się ino pozbyć tych komunikatów.


Czemu około 20 haseł? Na innych stronach też tak masz?

Ja na Twoim miejscu jednak zmieniłabym hasło, nie wiadomo kto i w jakim celu to zrobił.
_________________


Sempel scriptum, decies lectum!
 
 
Szara Sowa 
Ojciec Zarządzający



Pomógł: 102 razy
Wiek: 53
Dołączył: 24 Paź 2008
Posty: 41884
Skąd: Poznań
Wysłany: 2020-01-08, 08:17:43   

To może zmień hasło na inne, a potem wróć do tego starego?
Jakby ktoś Ci się jednak włamał i zalogowował zamiast Ciebie na forum, to będziemy wiedzieć i zadziałamy! :D
_________________
Nasze forum na facebooku: ./redir/facebook.com/pansamochodzikforum
Nasza forumowa geościeżka keszerska: ./redir/pansamochodzik.net.pl/viewtopic.php?p=240911#240911

 
 
irycki 
Fanatyk Samochodzika
Pan Motocyklik



Pomógł: 16 razy
Wiek: 54
Dołączył: 13 Paź 2015
Posty: 4409
Skąd: Legionowo
Wysłany: 2020-01-08, 19:26:32   

She napisał/a:

Czemu około 20 haseł? Na innych stronach też tak masz?


Jezu, mam nadzieję że nie używa na 20 stronach tego samego hasła?
Ludzie, nie róbcie tak. Nigdy.W.Życiu.

Cytat:
To może zmień hasło na inne, a potem wróć do tego starego?

Ale to stare, jeśli zostało "wycieknięte", to po zmianie na nowe i powrót do starego dalej wyciekniętym pozostanie. Ma to tyleż sensu co zmiana zamków na nowe (przy podejrzeniu że ktoś sobie dorobił klucz) a potem wsadzenie z powrotem starego zamka...

Cytat:
Jakby ktoś Ci się jednak włamał i zalogowował zamiast Ciebie na forum, to będziemy wiedzieć i zadziałamy!

Jeśli ktoś się zaloguje Jego wykradzionym loginem i hasłem, to nic nie będziecie wiedziec, bo niby skąd :/ .


Dla jasności: komunikat przedstawiony w pierwszym poście oznacza, że dane hasło znalazło się na jednej z krążących w internecie list "wyciekniętych" haseł. Więcej na ten temat w tym artykule:
./redir/niebezpiecznik.pl/post/chrome-powiadomi-cie-ze-twoje-haslo-wycieklo/

Raczej nie należy tego ignorowac. ZWŁASZCZA jeśli (apage satanas) to samo hasło miało się ustawione w serwisach o nieco większym "ciężarze gatunkowych" niż forum literackie.

A BTW o tym, czym grozic może przejęcie konta w jakimś serwisie społecznościowym (na zasadzie "co mnie szkodzi że mi się włamią na fejsa, nic tam nie mam") można przeczytac tu:

./redir/niebezpiecznik.pl/post/jak-wyludzic-od-znajomego-800-zlotych-przez-facebooka/

Na naszym forum też pewnie by się to dało wykorzystac.

Więc raczej pilnujcie haseł, bo jeśli nawet nie Wam bezpośrednio zrobią krzywdę, to za pomocą Waszych kont zrobią ją innym - a potem będzie wstyd i wyjaśnianie, że to jednak nie Wy prosiliście o pieniądze, tylko ktoś się podszył...
_________________
Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna.

"Wolność i władza mają tylko jedną wspólną cechę: nadużywanie."
Karol Bunsch
 
 
Muzygog 
Fanatyk Samochodzika



Pomógł: 11 razy
Wiek: 57
Dołączył: 04 Lis 2017
Posty: 2157
Skąd: Płock
Wysłany: 2020-01-08, 20:05:33   

Poczytał, zastosuje się do zaleceń Pana Iryckiego i podziękował.
_________________
 
 
siemowid 
Czytał Samochodzika


Dołączył: 30 Gru 2019
Posty: 56
Skąd: Warszawa
Wysłany: 2020-01-09, 22:33:00   

Pan Samochodzik by zmienił hasło.
 
 
Rólka 
Moderator
Szef forumowej sekcji sportowej



Pomógł: 32 razy
Wiek: 50
Dołączył: 26 Maj 2015
Posty: 13672
Skąd: Mikołów
Wysłany: 2020-01-09, 23:49:38   

:564:
_________________
 
 
Kozak 
Forumowy Badacz Naukowy



Pomógł: 26 razy
Dołączył: 30 Cze 2018
Posty: 4590
Skąd: Górny Śląsk
Wysłany: 2020-01-10, 09:43:49   

siemowid napisał/a:
Pan Samochodzik by zmienił hasło.

Tak jest :564:
_________________
 
 
Berta von S. 
Administratorka Wspomagająca
nienackofanka



Pomogła: 134 razy
Wiek: 48
Dołączyła: 05 Kwi 2013
Posty: 29355
Skąd: Warszawa
Wysłany: 2020-01-10, 21:37:37   

Kozak napisał/a:
siemowid napisał/a:
Pan Samochodzik by zmienił hasło.

Tak jest

Nie. Pan samochodzik by zastawił pułapkę i złapał opryszka. ;-)

irycki napisał/a:

A BTW o tym, czym grozic może przejęcie konta w jakimś serwisie społecznościowym (na zasadzie "co mnie szkodzi że mi się włamią na fejsa, nic tam nie mam") można przeczytac tu (...) Na naszym forum też pewnie by się to dało wykorzystac.

No właśnie, Muzygog, co z tymi pięcioma stówami, które obiecałeś zwrócić wczoraj?? :zdziw: ;-)

irycki napisał/a:

Jezu, mam nadzieję że nie używa na 20 stronach tego samego hasła?
Ludzie, nie róbcie tak. Nigdy.W.Życiu.

No rozumiem, że lepiej nie dawać identycznych haseł do naprawdę ważnych miejsc typu konto bankowe, prywatna poczta czy forum.

Ale są dziesiątki miejsc wymagających hasła, które nie wydają mi się specjalnie niebezpieczne - np. endomondo, garmin, UPC, dysk google, konto pacjenta, pin w tablecie, empik, strona z materiałami w pracy i.t.p. Zgłupiałabym, gdybym do każdego z nich miała wymyślać kompletnie nowe hasło.
_________________
Ostatnio zmieniony przez Berta von S. 2020-01-10, 21:38, w całości zmieniany 1 raz  
 
 
irycki 
Fanatyk Samochodzika
Pan Motocyklik



Pomógł: 16 razy
Wiek: 54
Dołączył: 13 Paź 2015
Posty: 4409
Skąd: Legionowo
Wysłany: 2020-01-11, 10:54:15   

Berta von S. napisał/a:

Ale są dziesiątki miejsc wymagających hasła, które nie wydają mi się specjalnie niebezpieczne - np. endomondo, garmin, UPC, dysk google, konto pacjenta, pin w tablecie, empik, strona z materiałami w pracy i.t.p. Zgłupiałabym, gdybym do każdego z nich miała wymyślać kompletnie nowe hasło.


Do najmniej ważnych od biedy można miec to samo. Tylko zastanów się czy one naprawdę są mało ważne :/ . Czy danych które tam są, nie da się jakoś wykorzystac. Czy na dysku googla nie masz jakichś materiałów typu skany umów z danymi osobowymi, etc. Dysk google to w tej chwili oznacza także gmaila - nie masz go ustawionego jako alternatywnego maila do innych serwisów (np. do "głównego" maila)?

Tak BTW czy UPC jest mało ważne? Czy po zalogowaniu się na konto nie można zmienic Twoich danych, telefonu kontaktowego, maila itp... Czy nie ma tam faktur z Twoimi danym osobowymi?

Można jeszcze do mniej ważnych serwisów stosowac taką metodę: jedno bazowe hasło (przyzwoite) + przedrostki do serwisów, typu "ale+hasło" do allegro "upc+hasło" do upc i tak dalej (ew. można wymyślic mniej oczywiste przedrostki). Człowieka to może nie zmyli, gdyby ktoś chciał atakowac właśnie Ciebie, ale na automaty przypasowujące "wycieknięte" hasła do róznych serwisów wystarczy.
_________________
Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna.

"Wolność i władza mają tylko jedną wspólną cechę: nadużywanie."
Karol Bunsch
 
 
Berta von S. 
Administratorka Wspomagająca
nienackofanka



Pomogła: 134 razy
Wiek: 48
Dołączyła: 05 Kwi 2013
Posty: 29355
Skąd: Warszawa
Wysłany: 2020-01-11, 23:46:17   

irycki napisał/a:
Czy na dysku googla nie masz jakichś materiałów typu skany umów z danymi osobowymi, etc. Dysk google to w tej chwili oznacza także gmaila - nie masz go ustawionego jako alternatywnego maila do innych serwisów (np. do "głównego" maila)?

Nie, tylko zdjęcia ze zlotów. :)
Nie rozumiem, co masz na myśli z „alternatywnym mailem do innych serwisów”.

irycki napisał/a:

Tak BTW czy UPC jest mało ważne? Czy po zalogowaniu się na konto nie można zmienic Twoich danych, telefonu kontaktowego, maila itp...

Nie mam bladego pojęcia. Ale po co ktoś miałby zmieniać moje dane w koncie UPC??

irycki napisał/a:

Człowieka to może nie zmyli, gdyby ktoś chciał atakowac właśnie Ciebie, ale na automaty przypasowujące "wycieknięte" hasła do róznych serwisów wystarczy.

Ale na jakiej zasadzie jakiś automat miałby wpaść na hasło do mojego konta? Rozumiem, że człowiek znając kogoś, może próbować. Gdybym ja np. chciała zhakować Twoje konto to bym kombinowała w stylu piessseł1, Marysia67, motórWL. ;-) Ale jakoś mi się nie chce wierzyć, że maszyna może trafić na hasło.
_________________
 
 
irycki 
Fanatyk Samochodzika
Pan Motocyklik



Pomógł: 16 razy
Wiek: 54
Dołączył: 13 Paź 2015
Posty: 4409
Skąd: Legionowo
Wysłany: 2020-01-12, 12:13:36   

Berta von S. napisał/a:

Nie rozumiem, co masz na myśli z „alternatywnym mailem do innych serwisów”.

Np. gmail pozwala na ustawienie alternatywnego adresu dla odzyskiwania hasła. Tam zostanie wysłany link aktywacyjny.
Jeśl ktoś dobierze się do komuś alternatywnego maila, to w zasadzie dobrał się i do gmaila.


Cytat:
Nie mam bladego pojęcia. Ale po co ktoś miałby zmieniać moje dane w koncie UPC??

Nie wiem na co pozwala panel na koncie UPC. Podejrzewam że są tam Twoje dane, numery faktur, etc... To wystarcza, żeby przysłac Ci pięknego maila (albo nawet wydrukowany kwit tradycyjną pocztą) o zmianie numeru rachunku na jaki masz przesyłac opłaty. Jeśli na konto nie zaglądasz, to dowiesz się, że płaciłaś złoczyńcy dopiero wtedy, jak Ci UPC wyłączą usługę (wcześniej pewnie będą ponaglające maile, ale co z tego, jak złoczyńca zmienił w panelu Twój adres mail i ponaglenia szły w kosmos).
To nie teoretyczne gdybania, podobne ataki się zdarzały.


Cytat:

Ale na jakiej zasadzie jakiś automat miałby wpaść na hasło do mojego konta? Rozumiem, że człowiek znając kogoś, może próbować. Gdybym ja np. chciała zhakować Twoje konto to bym kombinowała w stylu piessseł1, Marysia67, motórWL. ;-) Ale jakoś mi się nie chce wierzyć, że maszyna może trafić na hasło.


To nie tak.
Raz na jakiś czas zdarzają się, w dużych serwisach, tak zwane "wycieki haseł". Czyli, po ludzku mówiąc, ktoś się włamuje, i kradnie bazę z hasłami. Czasami nie tylko z hasłami, ale także innym danymi. Dosyc "słynny" ostatnimi czasy był wyciek danych ze sklepu Morele.net. A niedawno wycieły dane z Virgin Mobile:
./redir/niebezpiecznik.pl/post/wyciek-a-raczej-kradziez-danych-klientow-virgin-mobile/

Hasła teoretycznie są (a przynajmniej być powinny) szyfrowane, ale jeśli same hasła są słabe, to ich złamanie metodami słownikowymi jest banalne. BTW przykłady haseł, które podałaś, są bardzo kiepskie, ja na pewno takich nie mam :) .

W internecie są dostępne całe bazy złamanych haseł, często z loginami. W poniższym artykule dobrze widac jak to wygląda:
./redir/zaufanatrzeciastrona.pl/post/hasla-ponad-10-milionow-polskich-kont-email-dostepne-do-pobrania-w-sieci/

Takimi hasłami można próbować się logować do różnych serwisów - albo tym samym loginem, albo można próbować zgadywać loginy, często loginem w różnych serwisach jest adres email, więc jeśli te emaile wyciekną (jak np. z Moreli czy z Virgina), to jest dużo łatwiej... To właśnie robią automaty, bo nikt ręcznie się nie będzie tym bawił, chyba że na celownik wezmą konkretnie Ciebie :) .
Takie listy potwierdzonych, "złamanych" kont też można kupic w sieci :(

A włam na konto mailowe może na przykład pozwolic na wejście do jakiegoś serwisu. Na przykład na portal aukcyjny. O co złego może się stać?:
./redir/gadzetomania.pl/14804,wlamali-sie-na-konto-i-wydali-w-jego-imieniu-30-tys-zl-dlaczego-allegro-nie-chce-mu-pomoc
albo:
./redir/gloswielkopolski.pl/wlamal-sie-na-konto-w-allegro-i-sprzedal-fikcyjnego-laptopa/ar/1058554
a tu świeżynka:
./redir/subiektywnieofinansach.pl/czytelniczka-ostrzega-trwa-zmasowany-atak-na-klientow-allegro/

A teraz ebay :)
./redir/www.fakt.pl/pieni...obowych/0k96d4k
to jest co prawda "Fakt", ale o dziwo artykuł dosyc rzeczowo i poprawnie naświetla sprawę.

To tylko przykłady i to (poza jednym) nie najnowsze. O portalach społecznościowych już pisałem.

Innymi słowy - jeśli korzystaliście kiedyś z serwisu, z którego wyciekły loginy i hasła (a korzystaliście - o tym za chwilę), jeśli mieliście tam proste hasło, dające się brute-force'ować (łamać metodą siłową), oraz jeśli tego (albo podobnego - automaty radzą sobie z rozmaitymi banalnym modyfikacjami) hasła używacie w innych serwisach, to potencjalnie jesteście zagrożeni włamaniem.

Google o tym wie i stąd ta nowa funkcjonalność w przeglądarce. To, że chrome wyświetla ostrzeżenie, nie oznacza oczywiście, że na pewno ktoś Was shakował. Ale oznacza to co najmniej, że hasło takie jak Wasze jest w bazach haseł, z których korzystają hakerzy, co powinno byc wystarczającym argumentem za jego zmianą.

A dlaczego napisałem, że prawie na pewno korzystaliście z serwisu, z którego wyciekły hasła? Na pewnej konferencji z cyberbezpieczeństwa, na jakiej byłem, prowadzący przeprowadził pewien "eksperyment" pod hasłem "czy Twoje dane mogły wyciec?". Kolejno wymieniał nazwy rozmaitych portali, banków etc, i osoby, które mają/miały tam konta, wstawały. Mniej więcej za siódmym, ósmym razem stała cała sala... (to oczywiście na znaczy, że dane napewno wyciekły, bo wycieki rzadko są całościowe i mogły nastąpic przed założeniem konta, ale ryzyko jest duże).

A w ramach ciekawostek: ranking najpopularniejszych haseł 2019 roku. Skąd te hasła? Ano z wycieków, rzecz jasna:
./redir/www.komputerswiat...oczatek/p4lzdh8

A ranking polskich haseł sprzed paru lat znajduje się we wspomnianym już wcześniej artykule:
./redir/zaufanatrzeciastrona.pl/post/hasla-ponad-10-milionow-polskich-kont-email-dostepne-do-pobrania-w-sieci/
Nie, "ⅾupa" to nie jest dobre hasło. "dupa123" też nie :D
_________________
Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna.

"Wolność i władza mają tylko jedną wspólną cechę: nadużywanie."
Karol Bunsch
 
 
Berta von S. 
Administratorka Wspomagająca
nienackofanka



Pomogła: 134 razy
Wiek: 48
Dołączyła: 05 Kwi 2013
Posty: 29355
Skąd: Warszawa
Wysłany: 2020-01-12, 22:11:48   

Dzięki za obszerne wyjaśnienia. Z rachunkiem UPC mnie przekonałeś. :)

O tych przekrętach z aukcjami później sobie na spokojnie poczytam, bo nie mam konta ani na ebayu ani na allegro .

irycki napisał/a:

BTW przykłady haseł, które podałaś, są bardzo kiepskie, ja na pewno takich nie mam :) .
9...) A w ramach ciekawostek: ranking najpopularniejszych haseł 2019 roku...

Gdybym sądziła, że takie masz, to bym ich nie podawała. ;-)
Ale i tak uważam, że Pieseł1 był bardziej kreatywny od 123456, dupadupa, aniaania czy qwert!

irycki napisał/a:

Hasła teoretycznie są (a przynajmniej być powinny) szyfrowane, ale jeśli same hasła są słabe, to ich złamanie metodami słownikowymi jest banalne.

Nie wiem, co masz na myśli przez "szyfrowane" i co to są "metody słownikowe". :)
_________________
 
 
irycki 
Fanatyk Samochodzika
Pan Motocyklik



Pomógł: 16 razy
Wiek: 54
Dołączył: 13 Paź 2015
Posty: 4409
Skąd: Legionowo
Wysłany: 2020-01-13, 21:03:20   

Berta von S. napisał/a:
Nie wiem, co masz na myśli przez "szyfrowane" i co to są "metody słownikowe". :)


Zainspirowałaś mnie do napisania paru słów o łamaniu haseł.

Panie i panowie, zabiorę Was oto w najtajniejsze zakamarki darknetu. Do dusznych piwnic, w których pryszczaci hakerzy w przepoconych podkoszulkach wlepiają przekrwione z braku snu ślepia w ekrany monitorów, czyhając na nasze konta...

Żartowałem. Aż tak to nie będzie :D

Będzie za to trochę o dobrych i złych hasłach i ich tworzeniu.

UWAGA. W poniższym tekście jest trochę uproszczeń, które nie wpływają jednakowoż na meritum. Matematykę starałem się ograniczyc do minimum, ale trochę kombinatoryki będzie.


Sporo osób nie wie do końca o co chodzi, gdy słyszą o “wyciekach” haseł i ich łamaniu. Postaram się to uporządkowac.

Przede wszystkim, o czym myślimy a o czym nie, gdy mówimy o “łamaniu haseł”:

Nie mamy na myśli sytuacji, gdy ktoś siedzi przed formatką logowania do jakiegoś serwisu i próbuje zgadnąc hasło. Pomijając już, że większośc serwisów blokuje dalsze próby po kilku błędnych hasłach pod rząd, w ten sposób można by próbowac do emerytury. To zupełnie nie o to chodzi.

Chodzi o sytuację, kiedy na skutek błędów programisty lub administratora, dochodzi do “wycieku” (czytaj: ktoś kradnie) bazy z hasłami. Często ilośc danych w takim wycieku jest pokaźna i sięga setek tysięcy, jeśli mówimy o bardzo popularnych systemach. Taka baza często zawiera loginy, czasami też adresy email.

Dlaczego jednak mówimy o “łamaniu haseł” w kontekście wycieku? Skoro wyciekły hasła, to co tu jeszcze łamac?

Otóż każdy przyzwoitym serwisie (pomijając te pisane przez rzeźników po lekturze książki “Naucz się programowania w 6 minut”) przechowuje hasła użytkowników w postaci zaszyfrowanej. Najcześciej (w sumie prawie zawsze, pomijając bardzo szczególne zastosowania) używana jest tak zwana (Baczność!) “Jednokierunkowa funkcja skrótu” (Spocznij!), zwana też “funkcją mieszającą”, a po angielsku “hash function”, stąd określenia “zahashowac” czy “hash hasła”, np. w zwrocie Z portalu “Pijany Gumiś” wyciekły hashe 500 tysięcy haseł. A dlaczego przechowuje się hashe, a nie hasła? Ano właśnie dlatego, żeby w razie wycieku nie dawac włamywaczom haseł na tacy, tylko żeby musieli się trochę pomęczyc z ich łamaniem. A to, jak bardzo będą się męczyc, zależy od nas i jakości naszych haseł.

Funkcja hashująca ma to do siebie, że jest jednokierunkowa - po “matematycznemu” jest to funkcja, do której nie istniej funkcja odwrotna. Mówiąc po ludzku, można coś zahashować, ale “odhashować” się nie da, i już!

Tu powinno pojawic się od razu pytanie: “skoro przechowujemy tylko hashe, a zahashowanego hasła nie można odhashowac, to w jaki sposób system jest w stanie sprawdzic, czy podane przez użytkownika hasło jest poprawne?”. Ano bardzo prosto. Podane przez użytkownika hasło też jest hashowane a następnie porównywane z tym co mamy w bazie. Jeśli się zgadza, user podał właściwe hasło, jeśli nie, podał niewłaściwe. Krótko i węzłowato.


No dobra, ale ktoś teraz powie: “skoro wyciekła baza, ale w niej są tylko hashe, a jak powiedzieliśmy, “co raz zahashowane, nie da się odhashowac”, to właściwie w czym problem? Taka baza dla złodzieja jest bezużyteczna. Co mu po hashach, skoro nie da się z nich odzyskać haseł”?

No właśnie, i tu dochodzimy do łamania.

Haseł faktycznie nie da się odhashowac, w tym sensie że nie istnieje algorytm, za pomocą którego z hasha hasła odzyskamy prawdziwe hasło. A przecież można inaczej! Można zgadywać! Wymyślamy sobie jakieś hasło, liczymy jego hash i porównujemy z hashem w naszej wykradzionej bazie. Zgadza się? Zgadliśmy hasło. Nie zgadza się? Wymyślamy następne i sprawdzamy… I tak w koło Macieju aż do skutku.

Brzmi głupio? Niestety, tylko pozornie!

Istnieją dwie podstawowe techniki łamania haseł: metoda siłowa, czyli “brute force”, i metoda słownikowa. Najpierw o tej pierwszej.

Brute force polega na generowaniu kolejnych haseł i sprawdzaniu, czy pasują do posiadanego hasha. Bierzemy sobie hasło “a” i sprawdzamy. Nie pasuje? To teraz hasło “b”... Skończyły się hasła o długości 1, to teraz zaczynamy od “aa”, potem “ab”, “ac”... I tak aż do skutku (czyli do znalezienia hasła, albo do osiągnięcia długości hasła, przy której sobie odpuszczamy). Na każdej pozycji testujemy oczywiście wszystkie możliwe znaki, jakie w haśle mogą wystąpic. Dosyc żmudne zajęcie, ale przecież komputery świetnie nadają się właśnie do takich żmudnych zajęć.

Jak efektywna jest to metoda? Zastanówmy się, ile kombinacji musimy przeorac. Załóżmy że mamy pięcioznakowe hasło składające się tylko z małych i dużych liter alfabetu angielskiego. Liter jest 26, razy 2 (małe i duże) to 52 znaki. Takich haseł jest dokładnie 380 204 032. 380 milionów to dużo czy mało? To zależy, z jaką szybkością jesteśmy w stanie sprawdzac kolejne kombinacje. Nie mam dobrych wieści. Programy łamiące hasła, uruchomione na współczesnych kartach graficznych (! tak, graficznych, to nie błąd. Procesory graficzne mają ogromną wydajność obliczeniową i świetnie nadają się do takich rzeczy, dużo lepiej niż “normalne” CPU) są w stanie sprawdzac miliardy (słownie: MILIARDY) kombinacji na sekundę. Siłowe złamanie takiego hasła zajmie więc ułamek sekundy na dobrym sprzęcie!

To może dodajmy jeszcze cyfry. Cyfr jest 10, razem mamy 62 znaki. Liczba komibinacji rośnie do 916132832, do prawie miliarda, ale to dalej daje nam niespełna sekundę. Może jeszcze znaki specjalne? Nie chce mi się liczyc ile ich jest, powiedzmy że 15. Mamy 77 użytych znaków, pięc pozycji, daje 2 706 784 157. Dalej mało.

To może zwiększymy długośc hasła do sześciu znaków? Jak sądzicie, sporo to zmieni, czy raczej nie? Cóż, liczba kombinacji rośnie wykładniczo. Dla 77 użytych znaków i 6 pozycji to, uwaga, 208 422 380 089. Przy założeniu, że łamiemy miliard hashy na sekundę, wymaga to już 208 sekund.

To poszalejmy i weźmy hasło o długosci 8. Mamy teraz 1235736291547681 kombinacji. Przy tych samych założeniach ich przeczesanie wymaga 1235736 sekund, czyli 343 godzin. Zaczyna się robić nieźle.

A przy haśle 10-cio znakowym? Kombinacji mamy 7326680472586200649, co daje 84799 dni, czyli 232 lat z hakiem. Jest dobrze. Nawet biorąc pod uwagę, że te miliard sprawdzeń na sekundę to bardzo niska wydajnośc, w rzeczywistości da się hasła łamac dużo szybciej, i tak mamy czas potrzebny na siłowe złamanie liczony w latach, w najgorszym razie w miesiącach.

To jeszcze hasło 15 znakowe. Liczba kombinacji 1.9831742626598E+28 (taka notacja: E+28, oznacza daną liczbę razy 10 do potęgi 28. Czyli po prostu to co przed E mnożymy przez jedynkę z 28 zerami :D ). Czas łamania: 3.117625135273338e+24. Czyli w przybliżeniu trójka z 24-ma zerami. Jest to dużo więcej niż wiek wszechświata. Przy tej złożoności powoli przestaje miec znaczenie, czy włamywacze są w stanie wykonac miliard porównań na sekundę, czy tysiąc miliardów, czy może milion miliardów. I tak czas łamania hasła liczymy w eonach.

Dosyc przynudzania, teraz wnioski. Przy założeniu, że hasło ma małe i duże litery, cyfry i znaki specjalne, dobre hasła zaczynają się gdzieś w okolicach 11, 12 znaków długości. Krótsze przy użyciu obecnie dostępnego sprzętu mogą byc “łamliwe” za pomocą algorytmów siłowych.

No dobra. Po przeczytaniu powyższego mógłbym stwierdzic: “wow, to ja sobie strzelę długie hasło. Tylko jak je zapamiętac? Wiem! Niech będzie “Samochodzik2020”! 15 znaków, hasło nie do złamania!” No niestety nie. :(

Włamywacze dawno zorientowali się, że ludzie nie potrafią zapamietac długich haseł i upraszczają sobie zadanie, używając słów i zwrotów. Powstały więc słownikowe metody łamania haseł. Z grubsza polegają one na tym, że algorytm bierze słowa ze słownika danego języka (lub języków - przy czym “słowa” należy traktować szeroko, to są także typowe zbitki typu “qwert”, “asdfg”, “qazxsw” czy inne wzorki na klawiaturze), mutują je w.g. zadanych alogorytmów (np. ze słowa “hasło” robią także “h4sło”, “ha$lo”, “hasł0” i rozmaite kombinacje powyższych), “dekorują” je rozmaitymi cyferkami z przodu lub z tyłu i tak sprawdzają tak przygotowane hasła. Biorąc pod uwagę, że liczba słów w języku, nawet z uwzględnieniem rozmaitych kombinacji i mutacji słów, jest o wiele, wiele rzędów wielkości mniejsza niż liczy przedstawiane w poprzednim paragrafie, nie dziwi chyba, że łamanie słownikowe idzie dosyć szybko. Dlatego też podane przez Bertę w jednym z poprzednich postów przykłady haseł byłyby przy użyciu odpowiednich programów na wydajnym sprzęcie do złamania w ciągu paru sekund :(

Wnioski: ogólnie jest przechlapane.

W następnym odcinku (bo się zmęczyłem i w gardle mi zaschło od gadania) trochę o zarządzaniu hasłami i tworzeniu nie najgorszych haseł.

Dobranoc. Miłych snów :)
W czasie, gdy Wy będziecie spali, w rożnych miejscach na świecie procesory i karty graficzne w komputerach będą się grzać "do czerwoności", łamiąc hasła.
Może wśród nich jest i Wasze?
_________________
Nie chcę pani schlebiać, ale jest pani uosobieniem przygody. Gdy patrzę na panią łowiącą ryby, pływającą po jeziorze, nie wyobrażam sobie, aby istniała bardziej romantyczna dziewczyna.

"Wolność i władza mają tylko jedną wspólną cechę: nadużywanie."
Karol Bunsch
Ostatnio zmieniony przez irycki 2020-01-13, 21:13, w całości zmieniany 1 raz  
 
 
Szara Sowa 
Ojciec Zarządzający



Pomógł: 102 razy
Wiek: 53
Dołączył: 24 Paź 2008
Posty: 41884
Skąd: Poznań
Wysłany: 2020-01-13, 22:01:47   

Nie wiem czy wszystko ogarnąłem, ale pomógł się należy! :564:
_________________
Nasze forum na facebooku: ./redir/facebook.com/pansamochodzikforum
Nasza forumowa geościeżka keszerska: ./redir/pansamochodzik.net.pl/viewtopic.php?p=240911#240911

 
 
She 
Moderator



Pomogła: 47 razy
Wiek: 49
Dołączyła: 10 Sty 2010
Posty: 16488
Skąd: Tam i z powrotem
Wysłany: 2020-01-13, 22:27:43   

O rany!
Przebrnęłam przez cały tekst z zapartym tchem, zrozumiałam niewiele :oops:
Wnioski wyciągnęłam. Trzeba pozmieniać hasła :D
Tylko, jak je potem zapamiętać..? :okulary2:

Zaczynam bać się iryckiego :D
_________________


Sempel scriptum, decies lectum!
 
 
Even 
Moderator
żywa skamielina forumowa



Pomógł: 19 razy
Dołączył: 04 Wrz 2007
Posty: 4905
Skąd: Gdańsk
Wysłany: 2020-01-13, 23:53:43   

Bardzo fajny i przystępny wykład.
:564: :564: :564:
Czekamy na dalsze.
_________________


Martin Even
Grands Boulevards.
Akty meskie i kobiece bez odchyleń w stronę pornografii
Błogosławieni, którzy nie mając nic do powiedzenia, milczą
 
 
omszały głaz 
Sympatyk Samochodzika


Pomógł: 1 raz
Dołączył: 02 Kwi 2014
Posty: 196
Skąd: Kraków
Wysłany: 2020-01-14, 13:08:46   

Aby było smutniej, trzeba jeszcze wspomnieć o zapamiętywaniu haseł w przeglądarce. Nie ma żadnego problemu przy dostępie do cudzego kompa żeby skompletować hasła bez wiedzy właściciela, jeśli są zapamiętane (wyjątkiem jest manager haseł Opery).
 
 
Szara Sowa 
Ojciec Zarządzający



Pomógł: 102 razy
Wiek: 53
Dołączył: 24 Paź 2008
Posty: 41884
Skąd: Poznań
Wysłany: 2020-01-14, 13:10:17   

Ale te hasła są owszem zapamiętywane, ale chyba niewidoczne?
_________________
Nasze forum na facebooku: ./redir/facebook.com/pansamochodzikforum
Nasza forumowa geościeżka keszerska: ./redir/pansamochodzik.net.pl/viewtopic.php?p=240911#240911

 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  



Reklama:


Powered by phpBB modified by Przemo © 2003 phpBB Group
Template forumix v 0.2 modified by Nasedo

Ta strona używa plików cookie w celu usprawnienia i ułatwienia dostępu do serwisu oraz prowadzenia danych statystycznych. Dalsze korzystanie z tej witryny oznacza akceptację tego stanu rzeczy.

Zapoznaj się również z nasza Polityka Prywatnosci (z dn. 09.08.2019)

  
ROZUMIEM
Strona wygenerowana w 0,3 sekundy. Zapytań do SQL: 13