Адрес для входа в РФ: exler.world

ВКонтактик поимели

07.06.2016 11:04  6983   Комментарии (63)

У Носика прочитал:

Из ВКонтакта увели базу данных о пользователях (100.000.000 записей с паролями), продают её теперь в даркнете за один биткоин ($582,85).

Но трудно не умилиться рейтингу самых популярных паролей у пользователей ВК:

Место Пароль Поголовье
1 123456 709,067
2 123456789 416,591
3 qwerty 291,645
4 111111 189,151
5 1234567890 156,614
6 1234567 141,620
7 12345678 107,799
8 123321 93,048
9 000000 91,981
10 123123 89,461

Так что если вы есть во Вконтактике, поменяйте на всякий случай пароль на надежный. И считайте ваш старый пароль "123456" скомпрометированным.

А вообще, конечно, в сотый раз повторю вместе с Носиком: нужно использовать устойчивые и вместе с тем уникальные пароли. Для каждого сервиса - свой пароль! Если есть двухфакторная аутентификация на важном сервисе (банкинг, соцсети) - обязательно ее включайте!

Понятно, что пароль типа "7j7AAV9DGj5633K2S3" запомнить почти невозможно. Ну так и не надо! Запомните один-единственный устойчивый пароль и используйте проверенные менеджеры паролей. Я много лет использую платный Roboform - он меня пока ни разу не подводил. А бесплатный Lastpass, на моей памяти, раза два вскрывали.

Кстати, сейчас пишу обзор нового интересного менеджера паролей, который работет по двухфакторной аутентификации через телефон, при этом вам пароли вручную вообще не требуется вводить. Интересная штука.

07.06.2016 11:04
Комментарии 63

посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.



гугл-аутентификатором я уже пользовался (для аккаунта одной биткоин-биржи) на гэлэкси с4, не помню только, с каким адроидом, 4.2/4.3 или 4.4. когда с4 сдох, после его замены не было возможности зайти опять на эту биржу (и пароль я тоже забыл). слава богам, что по после контакта с ее техподдержкой по мылу, они дали мне ссылку на сброс пароля и отмену двухфауторной аутентификации с помощью гугла (надо было ввести код, полученный по смс).



только мастер-пароль - никак не годится. как я уже писал в другой теме, недавно обнаружил на компе, как на линуксе, так и на винде (где стояла авира фри) кучу малвари. честно скажу, я - идиот и долгое время пользовался фф-15 из-за одного жизненно нужного расширения, которое стало несовместимым с дальнейшими версия и, чуть позже, вообще всем линуксом без обновлений (в 2013м году несколько месяцев подряд не было времени вдумчиво прочитать последние арч-новости, поправить, что надо, и обновить систему. когда свободное время наконец появлось, обнаружил, что за это время поменялся принцип работы pacman/pacman-keyring и новые ключи не импортируются. короче, обновления стали невозможны). но, судя по дате модификации как минимум одного безусловно зараженного файла (апрель 2012, фф-15 вышел в сентябре того же года), заражение произошло еще до этого. там был, в том числе, и как минимум один кейлоггер. правда, за все это время не было украдено ни одного аккаунта и не были уведены деньги с пэйпала, несмотря на то, что некоторые из важных паролей (фейсбук, аська) хранились в конфигурационном файле пиджина вообще в открытом виде, а другие пароли или вводились вручную (самые важные, в т.ч. пэйпал), или были сохранены в фф/громоптице с постоянно вводимым вручную мастер-паролем.
08.06.16 21:49
0 0

ptero: посоветуйте надежный кросс-платфоменный (линукс/винда/адроид) менеджер паролей. желательно, чтобы под адроид был отдельный список и серьезная защита (не требущая, однако, доступа к основному компу), а под винду и линукс была двухфакторная аутентификация (через одноразовый пароль по смс или гугл-аутентификатор) с возможностью, каким-то сложным (недоступным умным хакерам) образом сменить номер или учетку гугл-аутентификатора в случае потери/сдыхания мобилы.

Посоветую Lastpass, потому что сам им пользуюсь. Linux-Windows - бесплатно, Android - придется купить полную версию, но она недорогая - 1 доллар в месяц. Все перечисленное вами поддерживается.
08.06.16 22:27
0 0

Достаточно простой и эффективный способ генерить и помнить пароли

Да хотя бы

Из ВКонтакта увели базу данных о пользователях

Берете каждую n-ую букву, начиная с первой, в английской раскладке.

начиная со второй итд.

Желательно чтобы ключевая фраза была такой, которую вы постесняетесь произнести перед другими)










08.06.16 04:57
0 0

А у меня недавно зачем-то угнали аккаунт с кривым именем и простым паролем на reddit. Кому такое богатство потребовалось - ума не приложу...
07.06.16 17:10
0 0

Алекс, а у тебя какой антивирус стоит? Просто У Kaspersky Crystal есть свой менеджер паролей - довольно неплохая вещь. Просто отдельно за программу платить не придется.
07.06.16 16:19
0 0

Дженнифер Лоуренс, Рианна, Тэйлор Свифт, Кейли Куоко, Джессика Браун Финдлей, Мэри Элизабет Уинстэд, Блейк Лайвли и прочие жертвы Fappening присоединяются к необходимости надежного пароля и многофакторной идентификации.
07.06.16 15:44
0 0

Ха! Мой qwedsa даже не в списках!

Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?
07.06.16 14:24
0 0

Филин: Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?

Ну банкам же вы доверяете, нет? А у них вообще ваши деньги лежат..
Ну и я полагаю, понятно, что пароли от платёжных систем и онлайн-банкингов по-любому запоминать надо.
07.06.16 15:05
0 0

Филин:
Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?


На том же, что вы доверяете компьютерам вообще. Беспокоящиеся ставят линукс, параноики сами его компилируют из сорцов, остальным и так хорошо.

В принципе, открытый софт достаточно надежен благодаря общественному аудиту, алгоритмы известны, реализация - вот она, ковыряйтесь. И ковыряются, и дыры находят.

Но открытый софт традиционно фронтендами хромает и интеграцией всего и вся, поэтому я выбрал ластпасс. Доверять им у меня никаких причин нет, кроме двух - в случае серьезного косяка ластпасс потеряет больше чем я, поэтому безопасность моих данных для них жизненно важна. Кроме того, Lastpass долгое время имел офисы в одном здании с NSA, значит хотя бы от других разведок какая-никакая защита подразумевается.

А в остальном нету у вас выбора, либо менеджер паролей, либо два-три условно сложных пароля на все случаи жизни.


07.06.16 15:27
0 0

Бесплатный Lastpass, который хоть типа и вскрывали да как-то не вскрыли, сам заполняет на десктопе все пароли и ничего руками вводить не надо. Платный ластпасс делает все тоже самое и с десктопом и с телефонами.

Пользуюсь. Платным. Лет восемь.

Никуда переходить даже не думаю, особенно после двух якобы "вскрытий". - У ластпасса нет моих паролей, нет и никогда не было, у него сразу все зашифровано. Это можно украсть но прочесть это может только мой локальный клиент. Так что давайте, вскрывайте дальше.
07.06.16 13:40
0 0

Я просто несколько сложных гармоничных комбинаций кнопок запомнил , тупо по месту на клавиатуре, уже физически. Ну и в тайге на камне высек, на случай совсем уж критичных проблем с головой.)

Ничто не мешает всяким менеджерам паролей взломаться или поломаться. Ну и каждый раз лазить туда лениво.
07.06.16 13:02
0 0

Получается, что 50 вариантов паролей достаточно, чтобы взломать 4 миллиона аккаунтов. Нормально.
07.06.16 12:28
0 0

Firefox умеет хранить пароли и синхронизироваться между девайсами, так что по не очень важным сайтам можно держать что-то в нем. А для всего остального можно локально Password Boss
07.06.16 12:18
0 0

Пароли в открытом виде или с возможностью декодирования? Я конечно догадывался что ВК разрабатывали "на коленке", но такие дыры оставлять в 21 веке?
07.06.16 12:09
0 0

как-то наткнулся в интернете на очень своеобразный и оригинальный способ хранения паролей с помощью специальной карточки. www.savernova.com

Персональная карточка генерируется на сайте и может быть распечатана или сохранена, например, в телефоне как обычная картинка. Карточку можно показывать кому угодно, запоминать нужно минимум информации. Просто и удобно.

PS. Сам не проверял ещё, потому что пользуюсь KeePassX в линуксе.


07.06.16 12:08
0 0

Вконтакт отмазывается, мол, база старая.

А вообще соцcети зло.
07.06.16 11:29
0 0

Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".



Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?
07.06.16 11:23
0 0

Dr_Alexis: Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя". Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

Нет, вы неправильно ставите вопрос - это насколько большая дыра в apple id, что там хранят пароли в открытом виде и знают, какие наиболее популярные 😄.

Ну и прикол еще в том что первый человек, который сделал такой пароль - он же еще не знал, что тот станет популярным. Обрадует ли его apple однажды таким запросом "Извините, ваш пароль стал очень популярным - смените его" 😄?
07.06.16 11:26
0 0

 

Dr_Alexis:
Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".



Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?


 Я пока еще не встречал ни одного ресурса, которы говорил бы "такой пароль популярен", только в анекдотах.

Самое близкое по смыслу что встречалось - это запрет повтора истекшего или скомпроментировавнного пароля.

Впрочем, жизнь сложная и разнообразная штука
07.06.16 11:43
0 0

Dr_Alexis: Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".



Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?

www.anekdot.ru
Mit
07.06.16 12:16
0 0

Dr_Alexis:
Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".



Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?


Все понятно, нечетник. Нечетники отстой, четники рулят.
07.06.16 13:46
0 0

Стоило бы упомянуть, что базе года 3-5, и пользователям, которые в неё попали ещё раньше принудительно заставили сменить пароль. А в остальном всё правильно 😉
07.06.16 11:19
0 0

Mogol: Стоило бы упомянуть, что базе года 3-5, и пользователям, которые в неё попали ещё раньше принудительно заставили сменить пароль. А в остальном всё правильно

Тем не менее, на случайно проверенных 100 аккаунтах у 92-х пароли из базы подошли 😄 Так что не волнуйтесь, она таки ещё достаточно актуальна 😉
07.06.16 11:23
0 0

LastPass хоть и вскрывали, ничего это не дало. На серверной стороне пароли хранятся в зашифрованном виде, а пароль для расшифровки используется только на локальной машине и не передается на сервер.

Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.

А что касается вконтакта - там базу 2012 что ли года достали, толку от нее не особо.
07.06.16 11:17
0 0

 

Stealth17:
 LastPass хоть и вскрывали, ничего это не дало. На серверной стороне пароли хранятся в зашифрованном виде, а пароль для расшифровки используется только на локальной машине и не передается на сервер.

Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.  

А что касается вконтакта - там базу 2012 что ли года достали, толку от нее не особо.


 Облака тоже иногда бывают доступны спецслужбам или взламываются. Мой выбор - Keepass с паролем и ключевым файлом, который лежит только на моих компьютерах/планшетах, база лежит на SD-карточке, ее копия - на флешке или другой SD-карточке, которая хранится в другом месте. Если все же выбирать облако, то стоит выбрать MEGA - там дают по 50 гиг, и всё хранится в зашифрованном виде, причем ключей у владельцев облака нет, они хранятся только у клиента, и система предлагает клиенту сразу сохранить у себя fingerprint, без которого никто файлы расшифровать не может. Именно поэтому у MEGA нет и не будет WebDAV и FTP-доступа. 
07.06.16 11:29
0 0

Stealth17: LastPass хоть и вскрывали, ничего это не дало. На серверной стороне пароли хранятся в зашифрованном виде, а пароль для расшифровки используется только на локальной машине и не передается на сервер.

Ну и славно. Вот только Lastpass значительно менее удобен, чем Roboform. Точнее, он вообще не работает с некоторыми режима входа, с которыми нормально работает Roboform.
07.06.16 11:44
0 0

Stealth17: Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.

Я какое-то время посвятил поиску альтернатив Lastpass, для меня важно чтоб менеджер не только хранил пароли, это все умеют, но и умел сам их в нужные поля вставлять. Особенно такое умение важно для телефона. На десктопе скопировать-вставить полегче, хоть и напрягает, а на телефоне это уже откровенно неудобно. Так вот я никакой вменяемой альтернативы не нашел, может не там искал, может люди добрые чо посоветуют, а то при всей моей симпатии к ластпассу, запасной вариант надо иметь.
07.06.16 13:45
0 0

Самый прелестный пароль идет под номером 32, жаль, у Носика нету
geektimes.ru
07.06.16 11:16
0 0

Ogra: Самый прелестный пароль идет под номером 32, жаль, у Носика нету

https://geektimes.ru/post/276856/

Да уж 😉
07.06.16 11:43
0 0

Ogra: Самый прелестный пароль идет под номером 32, жаль, у Носика нету

https://geektimes.ru/post/276856/

Да ну нах, гон какой-то. Чтоб у всех 33 тыщ на 0211 кончалось? Ни в жисть не поверю))
07.06.16 14:01
0 0

[QUOTE]Ogra: Самый прелестный пароль идет под номером 32, жаль, у Носика нету ]geektimes.ru
Сразу вспомнилось:

– Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.

Чего он тянет…

Чингиз выдыхает и ледяным голосом произносит:

– Сорок тысяч обезьян в жопу сунули банан.

С.Лукьяненко. "Фальшивые зеркала". )))
07.06.16 17:57
0 0

Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.
07.06.16 11:13
0 0

igori-san: Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.


Вот только социальную инженерию никто не отменял. Можно войти в ваш фб и, например, поразводить френдов на деньги. Кто-нибудь да клюнет.
07.06.16 11:16
0 0

igori-san:
Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.


Вот таких пользователей в первую очередь и имеют. Которые не заморачиваются.
07.06.16 11:42
0 0

Алекс, а что скажите по поводу 1Password?
07.06.16 11:11
0 0



denovch: Алекс, а что скажите по поводу 1Password?

 Не везде пройдет, многие ресурсы просят спецсимволы.

Так что 1P@ssword.



Хотя лично я предпочитаю просто "1"
07.06.16 11:40
0 0

denovch:
Алекс, а что скажите по поводу 1Password?


Не тестировал еще.
07.06.16 11:42
0 0

denovch:
Алекс, а что скажите по поводу 1Password?


А что про него можно скзаать? Оно работает и все. Одна рекомендация сначала положить базу на зашаренный ресурс типа dropbox. Тогда щастье настанет.
07.06.16 16:52
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 442
видео 3998
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1581
попы 191
СМИ 2761
софт 930
США 132
шоу 6