mboost-dp1
Seneste password læk
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Her er top 10 over de mest brugte passwords fra den seneste læk.
123456
password
welcome
ninja
abc123
123456789
12345678
sunshine
princess
qwerty
1% af brugerne brugte et af ovenstående 10 passords.
Jeg fandt en liste af email adresser og passwords i klartekst, som angiveligt stammer fra Yahoo. Jeg fandt ikke mit eget Yahoo login på listen.
Jeg lavede en alternativ liste af den lækkede liste, hvor alle passwords og email adresser er saltet og hashet. På den måde har jeg en liste der kan distribueres til personer som gerne vil undersøge om deres egen email adresse eller password er på listen, uden at den samtidigt kan bruges til at angribe servicen.
For dem som er interesseret har jeg lavet en torrent af filen: http://kasperd.net/~kasperd/yahoo-disclosure.torre...
Den er lavet med Burnbit som jeg synes er nem at bruge, men desværre virker den kun med de nyeste bittorrent klienter.
123456
password
welcome
ninja
abc123
123456789
12345678
sunshine
princess
qwerty
1% af brugerne brugte et af ovenstående 10 passords.
Jeg fandt en liste af email adresser og passwords i klartekst, som angiveligt stammer fra Yahoo. Jeg fandt ikke mit eget Yahoo login på listen.
Jeg lavede en alternativ liste af den lækkede liste, hvor alle passwords og email adresser er saltet og hashet. På den måde har jeg en liste der kan distribueres til personer som gerne vil undersøge om deres egen email adresse eller password er på listen, uden at den samtidigt kan bruges til at angribe servicen.
For dem som er interesseret har jeg lavet en torrent af filen: http://kasperd.net/~kasperd/yahoo-disclosure.torre...
Den er lavet med Burnbit som jeg synes er nem at bruge, men desværre virker den kun med de nyeste bittorrent klienter.
kasperd (6) skrev:Jeg gætter på den kode jeg har skrevet kan køre under cygwin, men jeg har dog kun testet det på Linux.Qw_freak (5) skrev:Hvordan tjekker jeg for mit eget yahoo login?
på en windows maskine?
det kan den helt sikkert, men håbede på der var en lettere vej, må vente til imorgen når jeg skal på arb...
Det er en feature, man kan jo også indtaste et password ved prompten. Scriptet finder aldrig ud af om det du skrev var email eller password.Qw_freak (9) skrev:Dit script er lidt svært at bruge, da man ikke kan se sit input til variablen PASS...
Men hvis du gerne vil kunne se hvad der indtastes, så fjern -s option fra read kommandoen. Så kommer den linie til at være:
read -rp 'Password or email: ' PASS
Enten virker dit search program og der er en kode der er: bollekanindfdsdsdfsdfs
eller også er min ændring af dit script forkert:
eller også er min ændring af dit script forkert:
#!/bin/bash
if ! [ -e search ]
then
make search
if ! [ -e search ]
then
echo "Cannot compile code" 1>&2
exit 1
fi
fi
if ! [ -r yahoo-disclosure-hashed.txt ]
then
echo "yahoo-disclosure-hashed.txt is missing" 1>&2
exit 1
fi
#read -rsp 'Password or email: ' PASS
echo Searching...
if ./search "bollekanindfdsdsdfsdfs" < yahoo-disclosure-hashed.txt
echo "searching for: bollekanindfdsdsdfsdfs"
then
echo "The password or email address you entered was FOUND in the leaked list."
else
echo "The password or email address you entered was NOT in the leakted list."
fi
Din ændring er forkert. Den echo kommando du har sat ind mellem if og then giver forkert resultat.Qw_freak (14) skrev:eller også er min ændring af dit script forkert
Jeg var ikke engang klar over at det du gjorde der var syntaktisk korrekt, men der er det åbenbart. Det må jeg huske til en anden gang, måske finder jeg en dag en anvendelse for den lidt usædvanlige konstruktion du lavede.
Den normale struktur af if then else i et bash script er:
if kommando1
then
kommando2
else
kommando3
fi
Afhængigt af resultatet af kommando1 afvikles enten kommando2 eller kommando3. Men hver af de tre kommandoer kan altså erstattes af flere kommandoer adskilt af linieskift eller semikolon.
At have flere kommandoer i then eller else delen er ganske normalt. At have flere kommandoer i betingelsen er ikke normalt. Din ændring gjorde at der var to kommandoer i betingelsen. I det tilfælde er det den sidste af kommandoerne, som afgør om det er then eller else delen der afvikles.
Det vil sige at med din modifikation vil den stadig søge listen igennem, men den vil ignorere resultatet af den søgning. I stedet er det resultatet af echo kommandoen som bruges til at afgøre om det er then eller else delen der afvikles. Og da echo kommandoen nok altid vil gå godt er det altid then delen, der afvikles.
Det var ikke ret længe vi kunne kalde Yahoos læk for det seneste.
http://www.zdnet.com/android-forums-hacked-1-milli...
http://www.zdnet.com/android-forums-hacked-1-milli...
Nvidia hacked
http://www.nvidia.com/content/forums/index.html
De havde i det mindste hashed passwords med random salt.
http://www.nvidia.com/content/forums/index.html
De havde i det mindste hashed passwords med random salt.
Cloud02 (17) skrev:Nvidia hacked
http://www.nvidia.com/content/forums/index.html
De havde i det mindste hashed passwords med random salt.
dog har de ikke fortalt hvilken kryptering passwords er krypteret med...
Derfor: Brug aldrig same password mere end 1 sted, og brug en password manager, f.eks. KeePass der findes til stort set alle platforme.
Lidt mere information her:fjols (13) skrev:Jeg håber det er en fejlcitering...
http://www.zdnet.com/yahoo-confirms-400000-account...
http://techcrunch.com/2012/07/12/yahoo-confirms-apologizes-for-the-email-hack-says-still-fixing-plus-check-if-you-were-impacted-non-yahoo-accounts-apply/
Hvis det er den udmelding som Ekstra Bladet har taget udgangspunkt i, så er den blevet forkortet så meget, at man godt kan kalde det for en fejlcitering.
Man krypterer ikke passwords til den slags, man hasher dem, eller gør noget andet med dem. En kryptering kan godt indgå, men i så fald bruger man passwordet som nøgle, ikke som data.Qw_freak (18) skrev:dog har de ikke fortalt hvilken kryptering passwords er krypteret med...
Bortset fra det bør man selvfølgelig være åben om den algoritme man bruger. Et website der gerne ville demonstrere at de har tænkt sig om kunne vise den streng som gemmes i databasen, når man ændrer sit password.
Nu vi er i gang med diskussionen, så kender jeg en dansk serviceudbyder, som gemmer passwords i klartekst.
Jeg har observeret noget trafik, som jeg synes er mærkeligt. Jeg har en enkelt bittorrent klient kørende for at seede. Det seed har ikke uploadet ret meget, det ser ud som om det meste bliver hentet fra det ene webseed jeg startede med.kasperd (1) skrev:For dem som er interesseret har jeg lavet en torrent af filen
Men at bittorrent klienten ikke uploader ret meget betyder dog ikke at den ikke har trafik. Den har en ustandselig kommunikation med et stort antal østeuropæiske IP adresser. Og hovedparten af de adresser den kommunikerer med kører Teredo (IPv6 over UDPv4 tunnel).
Jeg dumpede trafikken i tre minutter og så over 300 forskellige IP adresser.
Hvad kan være årsagen til at klienten kommunikerer med så mange IP adresser, hvis der ikke er nogen af dem som rent faktisk deltager i den samme torrent?
Klienten er Transmission og kører på Ubuntu 12.04.
Cloud02 (17) skrev:De havde i det mindste hashed passwords med random salt.
Qw_freak (18) skrev:dog har de ikke fortalt hvilken kryptering passwords er krypteret med...
Når de bruger random salt så bruger de sikkert også en OK hash algoritme.
Men uanset random salt og god hash algoritme, så er svage passwords stadig nemme at bryde via et dictionary attack.
antal brugere x antal kendte ord x tid for hash
er ikke stor nok.
kasperd (21) skrev:Hvad kan være årsagen til at klienten kommunikerer med så mange IP adresser, hvis der ikke er nogen af dem som rent faktisk deltager i den samme torrent?
Kan det ikke være noget DHT eller Peer Exchange?
Bruges det ikke kun til koordinering mellem peers der downloader samme fil? Hverken den bittorrent klient jeg har kørende eller den webserver som det oprindelige webseed ligger på har uploadet noget i det tidsinterval. Så jeg kan ganske enkelt ikke tro på at alle de tusindvis af computere er i gang med at downloade samme torrent.fjols (25) skrev:Kan det ikke være noget DHT eller Peer Exchange?
Her er et hexdump af UDP payload fra en tilfældig pakkefjols (25) skrev:Kan det ikke være noget DHT eller Peer Exchange?
0000 64 31 3a 61 64 32 3a 69 64 32 30 3a 00 f9 a2 71 d1:ad2:id20:...qDet er åbenbart DHT. Men hvilken torrent er det relateret til?
0010 45 55 30 d7 9d 5c 6e cb 0e b5 59 35 0a 32 78 91 EU0..\n...Y5.2x.
0020 36 3a 74 61 72 67 65 74 32 30 3a f9 a6 0a 9a ca 6:target20:.....
0030 a7 2a a4 38 51 d2 df f9 41 75 c4 2f 38 ca 38 34 .*.8Q...Au./8.84
0040 3a 77 61 6e 74 6c 32 3a 6e 36 65 65 31 3a 71 39 :wantl2:n6ee1:q9
0050 3a 66 69 6e 64 5f 6e 6f 64 65 31 3a 74 32 3a fd :find_node1:t2:.
0060 3e 31 3a 76 34 3a 5a 6f 00 06 31 3a 79 31 3a 71 >1:v4:Zo..1:y1:q
0070 65 e
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.