Просмотр полной версии : Меняем пароли на Яндексе
Утекла база аккаунтов с яндекса. Подробности тут: http://habrahabr.ru/post/235949/
Список аккаунтов: http://webfile.ru/download/2ebe86af3b0e59280a28e1457f1a2a4c
Кто себя найдет в этом списке - меняйте пароль пока не поздно. Ну и кто не найдет, тоже поменяйте.
В почту ,на яндексе , не пустили сегодня. Предложили сменить пароль, ввиду возможного взлома. Сменил - всё в норме!
А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.
Пароли в явном виде не хранятся, поэтому и украсть не получится.
Существуют списки частоупотребляемых сочетаний букв/слов и к ним сопоставление в виде контрольной суммы. Посему тырим контрольные суммы паролей, пробегаем по спискам, сопоставляем и пароль восстановлен.
Существуют списки частоупотребляемых сочетаний букв/слов и к ним сопоставление в виде контрольной суммы. Посему тырим контрольные суммы паролей, пробегаем по спискам, сопоставляем и пароль восстановлен.
Ну - это если совсем простой пароль.
В почту ,на яндексе , не пустили сегодня. Предложили сменить пароль, ввиду возможного взлома. Сменил - всё в норме!
Сейчас зашел на яндексовую почту. Никаких сообщений и предложений сменить пароль, всё работает как обычно. Правда, в списке из первого сообщения себя не нашел. Значит стырили не всё.
Stanislav G.
08.09.2014, 12:28
Поменял на всякий случай.:smile:
Офтоп, мне проще у меня нет почты на Яндексе ;)
Stanislav G.
08.09.2014, 12:31
Необходимо завести, срочно.:sarcastic:
мне проще у меня нет почты на Яндексе
А зря... неплохая, к стати почта, мне больше гмайловской нравится. И дисковое пространство есть и поболее гугловского.
А зря... неплохая, к стати почта, мне больше гмайловской нравится
Я в большинстве случае веб-интерфесом не пользуюсь, поэтому на счет нравится или нет не очень актуально. Много где Яндексовскую почту не разрешают использовать.
Ну, а в качестве пространства использую свой сайт и его FTP.
Необходимо завести, срочно.:sarcastic:
Потом поменять пароль и удалить за ненадобностью! :sarcastic:
smol2007
08.09.2014, 13:05
сейчас зашёл, не каких сообщений по этому поводу, в кошельке как было 40 копеек так и осталось)))
А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.
Возможно в открытом виде хранится контрольный вопрос/ответ для восстановления пароль
---------- Сообщение добавлено в 14:12 ---------- Предыдущее сообщение размещено в 14:07 ----------
Список аккаунтов: http://webfile.ru/download/2ebe86af3...28e1457f1a2a4c
это похоже просто на список паролей без привязки к конкретным ящикам
это похоже просто на список паролей без привязки к конкретным ящикамЭто список аккаунтов, у которых ушли пароли. Там есть почти мой акк, чутка цифры другие.
А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.
Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.
Кроме того многие пользователи сохраняют пароли на компах. Украсть куки - нет ничего проще для какого-нибудь среднего трояна(скорее всего эта база так и собралась).
Ну третий вариант, самый сложный для реализации, - от клиента к серверу пароль передаётся в явном виде.
Украсть куки - нет ничего проще для какого-нибудь среднего трояна(
в куках пароль не хранится
Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.
Пароли в явном виде нигде не фигурируют.
В простом случае снимается с пароля МД-5 сумма и ей уже оперируют.
В сложных случаях спереди и сзади пароля прибавляется "соль" - строка случайных символов, и потом это слово "соль"+пароль+"соль" хешируется в МД-5 и не один раз.
Сам по себе МД-5 алгоритм не имеет обратной силы (хотя есть дыры в нем).
Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.
На севере он не хранится в явном виде и в ОЗУ сервера тоже не расшифровывается.
Наоборот введенный пользователем пароль "шифруется" и сравнивается с тем, что хранится на сервере. В идеале нет способа расшифровать пароль.
Кроме того многие пользователи сохраняют пароли на компах. Украсть куки - нет ничего проще для какого-нибудь среднего трояна(скорее всего эта база так и собралась).
Ну третий вариант, самый сложный для реализации, - от клиента к серверу пароль передаётся в явном виде.
Да, эти два варианта вполне возможны, но в этой теме сообщается о том, что украли базу данных Яндекса, а не компы сломали пользователей или интерфейс яндекса.
Ну вот продолжение:
Социальная сеть «ВКонтакте» заблокировала все аккаунты, которые зарегистрированы на скомпрометированные адреса «Яндекса», пока владельцы аккаунтов не сменят пароли. Об этом сообщает в своем твиттере пресс-секретарь соцсети Георгий Лобушкин.
Ранее в «Яндексе» опровергли утечку миллиона паролей от почтовых ящиков пользователей.
«Пароли пользователей «Яндекса» надежно защищены и не хранятся в открытом виде. Речь не идет о взломе инфраструктуры «Яндекса», данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей», — отметили в пресс-службе «Яндекса».
данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей
Нефиг пользоваться системами от микрософта.
Нефиг пользоваться системами от микрософта.
Нефиг всякую хрень запускать! Уже лет 15 не пользуюсь антивирусами, никаких вирусов или воровства паролей.
Modigar, соответственно сервер тоже должен снять МД5 сумму с пароля, и пароль должен быть при этом в явном виде. В любом случае пароль есть в явном виде или у сервера. или у пользователя, или передается по другому CRAM-MD5 не реализовать.
Jora, согласен, в куках хранится хэш, подставив который серверу вы автоматом авторизуетесь
Сам Яндекс вот что сообщает:
По нашему мнению, опубликованный список паролей является результатом длительной работы: частично он наполнен данными, которые явно были получены в момент их ввода пользователем — либо с помощью клавиатурного шпиона, либо за счет фишинга. Кроме того, не исключена ситуация кросс-чека: если пользователь использует один и тот же пароль на разных ресурсах, взлом на одном из них приводит к компрометации и других учетных записей пользователя.
да и большинство людей из списка говорят, что 2-3 года не пользовались почтой
соответственно сервер тоже должен снять МД5 сумму с пароля, и пароль должен быть при этом в явном виде.
Нет. Клиент (браузер) получает пароль от пользователя в явном виде, снимает с него хэш и передает на сервер. Далее все сравнения идут по хешу.
Вот к стати еще одна статейка с ответом от Яндекса.
http://habrahabr.ru/company/yandex/blog/236007/
Пишут что и от mail.ru тоже слили пароли: http://habrahabr.ru/post/236077/
vBulletin® v3.8.7, Copyright ©2000-2024, vBulletin Solutions, Inc. Перевод: zCarot