Слили 300 миллионов уникальных паролей / база данных :: пароли :: слив :: Компьютерная безопасность

Компьютерная безопасность пароли слив база данных песочница 

Слили 300 миллионов уникальных паролей

Соус: https://geektimes.ru/post/291757/ 
База с паролями: https://haveibeenpwned.com/Passwords
Важно, перед вводом пароля для проверки очень желательно перевести его в sha1 http://www.sha1-online.com/
Из интересного, у меня 2 из 5 основных паролей находятся в базе.
Опубликована база с 320 млн уникальных паролей (5,5 ГБ)
Й Информационная безопасность
Selling part of database, there good for PSN, Origin, PayPal, Amazon, Ebay and many many other.
в АнтиПаблик Ьу SoloSuiode [ZABUGOR EDITION]		
	Всего: 300000 Пройдено: 300000 Приват: ] 218812 Паблик: Неверные
Подробнее
Опубликована база с 320 млн уникальных паролей (5,5 ГБ) Й Информационная безопасность Selling part of database, there good for PSN, Origin, PayPal, Amazon, Ebay and many many other. в АнтиПаблик Ьу SoloSuiode [ZABUGOR EDITION] Всего: 300000 Пройдено: 300000 Приват: ] 218812 Паблик: Неверные домены: 123 Процент привата: 72,94% ANTI PUBLIC Осталось: 0:0:0 Скорость: 3442 Сбросить ^ Ц 100% | (р |(S) | © feg ARm гг „•> 7 Ч Кол-во записей в базе: ABOUT V2.2.3 1035 853 049 Приват - Private combos (there only russian antipublic, sry for it) Prices: 10k - 5$ 20k-10$ 50k-20$ 0k-40$ 210k (all)-70$ Im receiving BTC or WMZ Проверка аккаунтов на живучесть Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже). Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Компьютерная безопасность,пароли,слив,база данных,песочница
Еще на тему
Развернуть
точно. ребята, вот база паролей, вводите туда свои, чтобы проверить) даже если не фейк не очень-то хочется проверять.
Jifd Jifd 05.08.201713:24 ответить ссылка 4.8
Так и введут, поверь.
Radio Radio 05.08.201713:26 ответить ссылка 1.0
Я же специально предупредил, что вводить стоит хеши своих паролей, а не в открытом виде.
ivdos ivdos 05.08.201713:28 ответить ссылка -0.5
Хеш без соли не такой уже и безопасный...
AshB AshB 05.08.201722:47 ответить ссылка 0.0
Ну скажи какие могут быть неприятности кроме перебора по словарям или же тупого брутфорса?
ivdos ivdos 05.08.201723:33 ответить ссылка -0.3
Да что ты, никаких. Ну нельзя же никак считать хеши на амазоновских кластерах или пользоваться уже готовыми сервисами по вскрытию хеша.
AshB AshB 05.08.201723:37 ответить ссылка 0.0
Эм, именно об этом я написал в сообщении выше. Но есть небольшие НО. Ради одного твоего хеша никто не будет тратить огромные ресурсы и время для коллизии, ниже я уже писал почему. Сразу пачкой хеши обрабатывать еще дольше, существенно дольше, так-как неизвестно сколько там возможных символов.
ivdos ivdos 06.08.201700:07 ответить ссылка -0.3
И потому мы дадим им или сразу пароли или хеши, чтобы потом можно было размерено вскрывать их и пополнять онлайн базы для последующей продажи. Хорошая идея.

Сама по себе база хешей паролей, которые практически используются пользователями - хорошая находка, а в добавок к этому мы чтобы получить хеш введем пароль в открытом виде на другом сайте, который пары хеш-пароль сохраняет как пить дать...

Не все хорошо, у меня пртензий нет. Безопасность идеи на уровне.
AshB AshB 06.08.201700:14 ответить ссылка 0.0
Да, да, каюсь, что все не описал нормально. Можно скачать базу оффлайн и там было проверить. Хеши тоже оффлайн можно сгенерить. Я просто слишком ленив для этого.
ivdos ivdos 06.08.201700:43 ответить ссылка 0.3
Ща пойду вводить свои все свои пароли, в какие-то базы, которые сами их и собирают и сливают потом. Только штаны подтяну и проверю.
borgulio borgulio 05.08.201713:28 ответить ссылка 2.6
А читать мы не умеем? Да даже написано на сайте проверки как нужно вводить, что бы не скомпрометировать свой. Для этого придуманы хеши.
ivdos ivdos 05.08.201713:30 ответить ссылка -1.7
Если ты не в курсе, то пароли на ресурсах хранятся в хэшированном виде (в изначальном виде пароли хранят только дауны) и при авторизации проверяется не твой пароль, а его хэш, который формируется на твоей стороне. При совпадении хэшей твоего и хранящегося на ресурсе тебя пускают. Так что вводи хэш своего пароля, чтобы он сохранился в их базе данных и потом его можно было использовать, чтобы взломать твой акк.
Ты наркоман? Найти хеш можно лишь по словарю, либо с помощью брутфорса. Ну запишется хеш пароля которого нет в базе, как это поможет? Они никак не узнают пароль, тем более если он хитровыебан. И да, хешируется пароль на сервере, а не на твоей стороне. Если хочешь убедиться возьми исходники вордпресса или другого движка, можешь с помощью консольки проверить какие данные отправляются на сервер, например джоя.
ivdos ivdos 05.08.201715:25 ответить ссылка -0.5
Видимо, ни одного меня смутил оратор выше.
Ну хорошо, пусть пароль отправляется по защищенному каналу и хэшируется уже на сервере, согласен, тут я херню сморозил. Но знание твоего хэша это полпути к твоему паролю. Один путь - это взлом сервера авторизации, используя его уязвимости через, например, подмену функции генерации хэша и сравнение его в данными в БД на свою функцию, которая просто будет подсовывать твой правильный хэш и таким образом авторизация пройдет. Другой путь - подбор пароля по хэшу, сейчас много технологий подбора и весьма быстрых (например использование радужных таблиц). В любом случае я бы не стал палить хэш паролей на каких то недоверенных сайтах, кроме того нет никакой гарантии, что на http://www.sha1-online.com/ нет логирования пары пароль - его хэш (можно даже сказать что оно гарантированно есть), кроме того шифрование SHA-1 уязвимо, это упростит подбор. Тут справедлива поговорка: если тайну знают двое, то это уже не тайна. Я может излишне параноидален, но если никто не будет знать даже хэш, то подступиться у логину будет куда сложнее. В любом случае это лично мое мнение ни на что не претендующее. Что я хотел сказать - не стоит вводить свою авторизирующую информацию нигде ни в каком виде, кроме мест, где ты авторизуешься.
"подмену функции генерации хэша и сравнение его в данными в БД на свою функцию" - имея доступ такого уровня можно с этим вообще не заморачиваться и устроить хранение паролей в открытом виде с последующей пересылкой данных на удаленный сервер. Но это из разряда близкого к нереальности, можно сравнительно легко получить доступ к данным в БД, но вот к полному доступу файлов на сервере вряд ли.
"например использование радужных таблиц" - все это работает по словарю, если у тебя пароль имеет цифры и разные регистры и он достаточно уникален, подобрать такой невозможно. Если маленький шанс того, что такой же хеш как у твоего пароля будет у другого слова, но он очень мизерный.
По поводу перевода в sha1 существуют вполне себе оффлайновые средства. Я виноват, что сразу не сказал это. В любом случае при сильном пароле никак нельзя расшифровать хеш, только полным брутфорсом на который уйдут века.
ivdos ivdos 05.08.201717:08 ответить ссылка -0.1
К сожалению, уже не века, более менее сложный пароль подбирается секунд за 10 (загугли про эти радужные таблицы на SSD дисках), данным методом сложно взломать пароль только если в нем присутствуют дополнительные ASCII символы, но этим большинство пользователей не заморачивается.
Я знаю как работают радужные таблицы. Я тебе говорю, что подбор ведется по словарю в любом случае. Грубым брутфорсом на создание таблиц уйдут годы, на обычный 8ми значный пароль. А я использую 15ти значный пароль, в котором есть цифры и буквы в разном регистре. На содание таблицы для такого пароля уйдут десятилетия и несколько сотен террабайт места.
ivdos ivdos 05.08.201718:15 ответить ссылка 0.0
У ребят, которые профессионально занимаются взломом, эти таблицы давно сформированы и они их формировали не на старом "пне", а на кластере из нескольких тысяч машин в многопотоке и базы постоянно обновляются. Есть платные онлайн ресурсы, например http://cmd5.ru, у них 50 терабайт база, за 20$ 1000 хэшей расшифровывают с вероятностью 60-80%. Ничего конкретного про них и про качество сказать не могу, но они с 2006 года этим занимаются, наверно ребята в теме.
Короче ты не в теме и не понимаешь на что даешь ссылки. Спорить с тобой было бессмысленно еще с того момента когда ты сказал о формировании хеша на стороне клиента.
ivdos ivdos 05.08.201721:41 ответить ссылка 0.0
Я с тобой и не спорил, я не специалист по компьютерной безопасности, имею базовые представления как это все работает и "что то слышал" о криптографии и функциях хэширования данных; я говорю о том, что выкладывать хэш своего пароля ПОТЕНЦИАЛЬНО небезопасно. Другое дело, что твой хэш, на самом деле, никому не нужен. Говоря о том, что подбор невозможен в принципе, ты не совсем прав. Хотя и сложно, но подобрать реально. Опять же, если хакерам надо будет украсть не наш с тобой, а какой то другой очень важный логин, они не будут заморачиваться подбором, потому что клиент может быть осторожен и часто менять пароль, они будут использовать другие методы, вплоть до физического доступа к компьютеру важного клиента или физического доступа к самому клиенту))
И да, по поводу уязвимости sha1, посмотри на циферки http://thehackernews.com/2017/02/sha1-collision-attack.html
Какие вычислительные мощности нужны и сколько времени для брутфорса одного хеша. И подумай насколько целеобразно будет людям именно твой хеш ломать, при этом они не будут знать потенциально от какого он ресурса.
ivdos ivdos 05.08.201718:20 ответить ссылка 0.0
Не совсем понял, что ты имел ввиду. Кроме тебя, твой пароль никто не знает. Сервер знает только его хэш, который хранится в базе. Насколько мне помнится, после отправки пароля, хэш формируется на стороне сервера, которой потом сравнивает, хэш от пароля, который только что ввели с хэшем в базе. Для его создания используется односторонняя функция. Если совпал, то пустило. Каким образом показав хэш кому-то, можно отдать свой пароль?
Только к скрипту авторизации уходит пароль, а не хеш (строящийся по паролю и "соли").
Так что чтобы это применить - надо дехешировать хеш :-)
- Кажется я на придумал пароль, которого нет в базе.
- Теперь есть.
Niissoks Niissoks 05.08.201713:36 ответить ссылка 0.6
сейчас привязка к телефону у 90% боле-мене значимых сервисов. так что похуй
ПРОВЕРКА БЕЗОПАСНОСТИ “С
Узнайте, есть ли ваша карта в базе данных хакеров! Введите данные, чтобы проверить.
Номер карты:
СУС2:
Проверить!
dim22 dim22 05.08.201714:11 ответить ссылка 7.3
Момо Апельбах, традиционно.
Какое ваше f&mn еврейское имя?,^щ
WJV у
1. Mo...	1. ...donai	1. Gold...	1.	...berg
2. He...	2. ...shel	2. Wasser...	2.	...stein
3. Ja...	3. ...mon	3. Edel...	3.	...meyer
4. Schmu...	4. ...mo	4. Bergen...	4.	...owsky
5. Schlo...	5. ...diah	5. Braun...	5.	...heimer
6. Meno...	6. ...chay	6.
Yerochay Blumenmann однако ..
Как и предполагалось, пароль для всяких помоек в базе, а нормальные пароли пока ещё нет.
Уже есть
Вам предлагается вводить пароль на www.sha1-online.com, что бы не засветить его на haveibeenpwned.com. Если вам показалось это логичным, у меня для вас плохие новости.
takezi takezi 05.08.201721:52 ответить ссылка 0.0
Специально для параноиков которые к тому же как и я не умеют в программирование даже код приведён, который просто можно скопипастить в IDE, скачать базу, и полностью оффлайн проверить.
■\ Lister - [g:\3arpy3Kn\pwned-passwords-1.0.txt] □ X □ > Файл Правка Вид Кодировка Справка B1B374C6730C4A5DB9FFAFB84F99F7D6B0F9598D B1B374D9396855DE6FED4A73E874EEB787A0C7BC B1B374DD1ADDB0127FEFF52A3535AEFDA5F 0А049 B1B3750765A98F1EF86CEA2B9F3E252EFC7FB4F2
и, если совпадений не найдено - добавить.
Только зарегистрированные и активированные пользователи могут добавлять комментарии.
Похожие темы

Похожие посты
* Collection «1 F*" BTC combos
Dumps - dehashed
►	EU combos
►	Games combos MAIL ACCESS combos Monetary combos
*	NEW combo semi private
^ Dumps
► c EU combo C Private combos * Update Dumps
old_admin_nubo_servers www.bltcoinrush.lo_DUMP_Data ^ Number pass combos ► OLD CLOUD Q RU combo
Shoppin
подробнее»

интернет почта пароли база данных

* Collection «1 F*" BTC combos Dumps - dehashed ► EU combos ► Games combos MAIL ACCESS combos Monetary combos * NEW combo semi private ^ Dumps ► c EU combo C Private combos * Update Dumps old_admin_nubo_servers www.bltcoinrush.lo_DUMP_Data ^ Number pass combos ► OLD CLOUD Q RU combo Shoppin
Не понимаю, как они могли взломать мой акк
А какой пароль был?
Год, когда Эрик XI Эрикссон вернул себе трон шведского короля после смерти Кнута II
подробнее»

пароль безопасность сложно надо гуглить Хотя можно догадаться

Не понимаю, как они могли взломать мой акк А какой пароль был? Год, когда Эрик XI Эрикссон вернул себе трон шведского короля после смерти Кнута II
Надежность пароля:
низкая
Надежность пароля: громадная
подробнее»

Маяковский,Владимир Маяковский пароль

Надежность пароля: низкая Надежность пароля: громадная
Check now
A Your data has been leaked
Your personal data was found in the following data leaks: Whoosh-bike.ru, Chitai-gorod.ru, Book24.ru, Bookvoed.ru, Dns-shop.ru, Pikabu.ru, Cdek.ru, Gravatar.com, 500px.com
It was detected 9 times in leaked databases
подробнее»

интернет пароль безопасность безопасность превыше всего Ит it песочница

Check now A Your data has been leaked Your personal data was found in the following data leaks: Whoosh-bike.ru, Chitai-gorod.ru, Book24.ru, Bookvoed.ru, Dns-shop.ru, Pikabu.ru, Cdek.ru, Gravatar.com, 500px.com It was detected 9 times in leaked databases