Меняем пароли на Яндексе

[Modigar]

Утекла база аккаунтов с яндекса. Подробности тут: http://habrahabr.ru/post/235949/
Список аккаунтов: http://webfile.ru/download/2ebe86af3...28e1457f1a2a4c
Кто себя найдет в этом списке - меняйте пароль пока не поздно. Ну и кто не найдет, тоже поменяйте.

[Ашот]

В почту ,на яндексе , не пустили сегодня. Предложили сменить пароль, ввиду возможного взлома. Сменил - всё в норме!

[YuriyVZ]

А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.

[Modigar]

Цитата:

Сообщение от YuriyVZ

Пароли в явном виде не хранятся, поэтому и украсть не получится.

Существуют списки частоупотребляемых сочетаний букв/слов и к ним сопоставление в виде контрольной суммы. Посему тырим контрольные суммы паролей, пробегаем по спискам, сопоставляем и пароль восстановлен.

[YuriyVZ]

Цитата:

Сообщение от Modigar

Существуют списки частоупотребляемых сочетаний букв/слов и к ним сопоставление в виде контрольной суммы. Посему тырим контрольные суммы паролей, пробегаем по спискам, сопоставляем и пароль восстановлен.

Ну - это если совсем простой пароль.

[SidAn]

Цитата:

Сообщение от Ашот

В почту ,на яндексе , не пустили сегодня. Предложили сменить пароль, ввиду возможного взлома. Сменил - всё в норме!

Сейчас зашел на яндексовую почту. Никаких сообщений и предложений сменить пароль, всё работает как обычно. Правда, в списке из первого сообщения себя не нашел. Значит стырили не всё.

[Stanislav G.]

Поменял на всякий случай.

[YuriyVZ]

Офтоп, мне проще у меня нет почты на Яндексе

[Stanislav G.]

Необходимо завести, срочно.

[Modigar]

Цитата:

Сообщение от YuriyVZ

мне проще у меня нет почты на Яндексе

А зря... неплохая, к стати почта, мне больше гмайловской нравится. И дисковое пространство есть и поболее гугловского.

[YuriyVZ]

Цитата:

Сообщение от Modigar

А зря... неплохая, к стати почта, мне больше гмайловской нравится

Я в большинстве случае веб-интерфесом не пользуюсь, поэтому на счет нравится или нет не очень актуально. Много где Яндексовскую почту не разрешают использовать.

Ну, а в качестве пространства использую свой сайт и его FTP.

[SidAn]

Цитата:

Сообщение от Stanislav G.

Необходимо завести, срочно.

Потом поменять пароль и удалить за ненадобностью!

[smol2007]

сейчас зашёл, не каких сообщений по этому поводу, в кошельке как было 40 копеек так и осталось)))

[Jora]

Цитата:

Сообщение от YuriyVZ

А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.

Возможно в открытом виде хранится контрольный вопрос/ответ для восстановления пароль

---------- Сообщение добавлено в 14:12 ---------- Предыдущее сообщение размещено в 14:07 ----------

Цитата:

Сообщение от Modigar

Список аккаунтов: http://webfile.ru/download/2ebe86af3...28e1457f1a2a4c

это похоже просто на список паролей без привязки к конкретным ящикам

[Modigar]

Цитата:

Сообщение от Jora

это похоже просто на список паролей без привязки к конкретным ящикам

Это список аккаунтов, у которых ушли пароли. Там есть почти мой акк, чутка цифры другие.

[chaser]

Цитата:

Сообщение от YuriyVZ

А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.

Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.
Кроме того многие пользователи сохраняют пароли на компах. Украсть куки - нет ничего проще для какого-нибудь среднего трояна(скорее всего эта база так и собралась).
Ну третий вариант, самый сложный для реализации, - от клиента к серверу пароль передаётся в явном виде.

[Jora]

Цитата:

Сообщение от chaser

Украсть куки - нет ничего проще для какого-нибудь среднего трояна(

в куках пароль не хранится

[Modigar]

Цитата:

Сообщение от chaser

Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.

Пароли в явном виде нигде не фигурируют.
В простом случае снимается с пароля МД-5 сумма и ей уже оперируют.
В сложных случаях спереди и сзади пароля прибавляется "соль" - строка случайных символов, и потом это слово "соль"+пароль+"соль" хешируется в МД-5 и не один раз.
Сам по себе МД-5 алгоритм не имеет обратной силы (хотя есть дыры в нем).

[YuriyVZ]

Цитата:

Сообщение от chaser

Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.

На севере он не хранится в явном виде и в ОЗУ сервера тоже не расшифровывается.
Наоборот введенный пользователем пароль "шифруется" и сравнивается с тем, что хранится на сервере. В идеале нет способа расшифровать пароль.

Цитата:

Сообщение от chaser

Кроме того многие пользователи сохраняют пароли на компах. Украсть куки - нет ничего проще для какого-нибудь среднего трояна(скорее всего эта база так и собралась).
Ну третий вариант, самый сложный для реализации, - от клиента к серверу пароль передаётся в явном виде.

Да, эти два варианта вполне возможны, но в этой теме сообщается о том, что украли базу данных Яндекса, а не компы сломали пользователей или интерфейс яндекса.

[YuriyVZ]

Ну вот продолжение:

Цитата:

Социальная сеть «ВКонтакте» заблокировала все аккаунты, которые зарегистрированы на скомпрометированные адреса «Яндекса», пока владельцы аккаунтов не сменят пароли. Об этом сообщает в своем твиттере пресс-секретарь соцсети Георгий Лобушкин.

Ранее в «Яндексе» опровергли утечку миллиона паролей от почтовых ящиков пользователей.

«Пароли пользователей «Яндекса» надежно защищены и не хранятся в открытом виде. Речь не идет о взломе инфраструктуры «Яндекса», данные стали известны злоумышленникам в результате фишинга или вирусной активности на зараженных компьютерах некоторых пользователей», — отметили в пресс-службе «Яндекса».