Слили 300 миллионов уникальных паролей / база данных :: пароли :: слив :: Компьютерная безопасность

Слили 300 миллионов уникальных паролей

База с паролями: https://haveibeenpwned.com/Passwords

Важно, перед вводом пароля для проверки очень желательно перевести его в sha1 http://www.sha1-online.com/

Из интересного, у меня 2 из 5 основных паролей находятся в базе.

Опубликована база с 320 млн уникальных паролей (5,5 ГБ)
Й Информационная безопасность
Selling part of database, there good for PSN, Origin, PayPal, Amazon, Ebay and many many other.
в АнтиПаблик Ьу SoloSuiode [ZABUGOR EDITION]
Всего: 300000 Пройдено: 300000 Приват: ] 218812 Паблик: Неверные

Подробнее
Опубликована база с 320 млн уникальных паролей (5,5 ГБ) Й Информационная безопасность Selling part of database, there good for PSN, Origin, PayPal, Amazon, Ebay and many many other. в АнтиПаблик Ьу SoloSuiode [ZABUGOR EDITION] Всего: 300000 Пройдено: 300000 Приват: ] 218812 Паблик: Неверные домены: 123 Процент привата: 72,94% ANTI PUBLIC Осталось: 0:0:0 Скорость: 3442 Сбросить ^ Ц 100% | (р |(S) | © feg ARm гг „•> 7 Ч Кол-во записей в базе: ABOUT V2.2.3 1035 853 049 Приват - Private combos (there only russian antipublic, sry for it) Prices: 10k - 5$ 20k-10$ 50k-20$ 0k-40$ 210k (all)-70$ Im receiving BTC or WMZ Проверка аккаунтов на живучесть Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже). Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Компьютерная безопасность,пароли,слив,база данных,песочница

Еще на тему

песочница(701689)

Развернуть

Комментарии 3405.08.201713:20ссылка-2.9

точно. ребята, вот база паролей, вводите туда свои, чтобы проверить) даже если не фейк не очень-то хочется проверять.

Jifd 05.08.201713:24 ответить ссылка 4.8

Так и введут, поверь.

Radio 05.08.201713:26 ответить ссылка ↑ 1.0

Я же специально предупредил, что вводить стоит хеши своих паролей, а не в открытом виде.

ivdos 05.08.201713:28 ответить ссылка ↑ -0.5

Хеш без соли не такой уже и безопасный...

AshB 05.08.201722:47 ответить ссылка ↑ 0.0

Ну скажи какие могут быть неприятности кроме перебора по словарям или же тупого брутфорса?

ivdos 05.08.201723:33 ответить ссылка ↑ -0.3

Да что ты, никаких. Ну нельзя же никак считать хеши на амазоновских кластерах или пользоваться уже готовыми сервисами по вскрытию хеша.

AshB 05.08.201723:37 ответить ссылка ↑ 0.0

Эм, именно об этом я написал в сообщении выше. Но есть небольшие НО. Ради одного твоего хеша никто не будет тратить огромные ресурсы и время для коллизии, ниже я уже писал почему. Сразу пачкой хеши обрабатывать еще дольше, существенно дольше, так-как неизвестно сколько там возможных символов.

ivdos 06.08.201700:07 ответить ссылка ↑ -0.3

И потому мы дадим им или сразу пароли или хеши, чтобы потом можно было размерено вскрывать их и пополнять онлайн базы для последующей продажи. Хорошая идея.

Сама по себе база хешей паролей, которые практически используются пользователями - хорошая находка, а в добавок к этому мы чтобы получить хеш введем пароль в открытом виде на другом сайте, который пары хеш-пароль сохраняет как пить дать...

Не все хорошо, у меня пртензий нет. Безопасность идеи на уровне.

AshB 06.08.201700:14 ответить ссылка ↑ 0.0

Да, да, каюсь, что все не описал нормально. Можно скачать базу оффлайн и там было проверить. Хеши тоже оффлайн можно сгенерить. Я просто слишком ленив для этого.

ivdos 06.08.201700:43 ответить ссылка ↑ 0.3

Ща пойду вводить свои все свои пароли, в какие-то базы, которые сами их и собирают и сливают потом. Только штаны подтяну и проверю.

Компьютерная безопасность,пароли,слив,база данных,песочница

borgulio 05.08.201713:28 ответить ссылка 2.6

А читать мы не умеем? Да даже написано на сайте проверки как нужно вводить, что бы не скомпрометировать свой. Для этого придуманы хеши.

ivdos 05.08.201713:30 ответить ссылка ↑ -1.7

Если ты не в курсе, то пароли на ресурсах хранятся в хэшированном виде (в изначальном виде пароли хранят только дауны) и при авторизации проверяется не твой пароль, а его хэш, который формируется на твоей стороне. При совпадении хэшей твоего и хранящегося на ресурсе тебя пускают. Так что вводи хэш своего пароля, чтобы он сохранился в их базе данных и потом его можно было использовать, чтобы взломать твой акк.

lexasan 05.08.201715:06 ответить ссылка ↑ 0.1

Ты наркоман? Найти хеш можно лишь по словарю, либо с помощью брутфорса. Ну запишется хеш пароля которого нет в базе, как это поможет? Они никак не узнают пароль, тем более если он хитровыебан. И да, хешируется пароль на сервере, а не на твоей стороне. Если хочешь убедиться возьми исходники вордпресса или другого движка, можешь с помощью консольки проверить какие данные отправляются на сервер, например джоя.

ivdos 05.08.201715:25 ответить ссылка ↑ -0.5

Видимо, ни одного меня смутил оратор выше.

nenormalka 05.08.201715:28 ответить ссылка ↑ 0.0

Ну хорошо, пусть пароль отправляется по защищенному каналу и хэшируется уже на сервере, согласен, тут я херню сморозил. Но знание твоего хэша это полпути к твоему паролю. Один путь - это взлом сервера авторизации, используя его уязвимости через, например, подмену функции генерации хэша и сравнение его в данными в БД на свою функцию, которая просто будет подсовывать твой правильный хэш и таким образом авторизация пройдет. Другой путь - подбор пароля по хэшу, сейчас много технологий подбора и весьма быстрых (например использование радужных таблиц). В любом случае я бы не стал палить хэш паролей на каких то недоверенных сайтах, кроме того нет никакой гарантии, что на http://www.sha1-online.com/ нет логирования пары пароль - его хэш (можно даже сказать что оно гарантированно есть), кроме того шифрование SHA-1 уязвимо, это упростит подбор. Тут справедлива поговорка: если тайну знают двое, то это уже не тайна. Я может излишне параноидален, но если никто не будет знать даже хэш, то подступиться у логину будет куда сложнее. В любом случае это лично мое мнение ни на что не претендующее. Что я хотел сказать - не стоит вводить свою авторизирующую информацию нигде ни в каком виде, кроме мест, где ты авторизуешься.

lexasan 05.08.201716:19 ответить ссылка ↑ 0.0

"подмену функции генерации хэша и сравнение его в данными в БД на свою функцию" - имея доступ такого уровня можно с этим вообще не заморачиваться и устроить хранение паролей в открытом виде с последующей пересылкой данных на удаленный сервер. Но это из разряда близкого к нереальности, можно сравнительно легко получить доступ к данным в БД, но вот к полному доступу файлов на сервере вряд ли.
"например использование радужных таблиц" - все это работает по словарю, если у тебя пароль имеет цифры и разные регистры и он достаточно уникален, подобрать такой невозможно. Если маленький шанс того, что такой же хеш как у твоего пароля будет у другого слова, но он очень мизерный.
По поводу перевода в sha1 существуют вполне себе оффлайновые средства. Я виноват, что сразу не сказал это. В любом случае при сильном пароле никак нельзя расшифровать хеш, только полным брутфорсом на который уйдут века.

ivdos 05.08.201717:08 ответить ссылка ↑ -0.1

К сожалению, уже не века, более менее сложный пароль подбирается секунд за 10 (загугли про эти радужные таблицы на SSD дисках), данным методом сложно взломать пароль только если в нем присутствуют дополнительные ASCII символы, но этим большинство пользователей не заморачивается.

lexasan 05.08.201717:51 ответить ссылка ↑ 0.0

Я знаю как работают радужные таблицы. Я тебе говорю, что подбор ведется по словарю в любом случае. Грубым брутфорсом на создание таблиц уйдут годы, на обычный 8ми значный пароль. А я использую 15ти значный пароль, в котором есть цифры и буквы в разном регистре. На содание таблицы для такого пароля уйдут десятилетия и несколько сотен террабайт места.

ivdos 05.08.201718:15 ответить ссылка ↑ 0.0

У ребят, которые профессионально занимаются взломом, эти таблицы давно сформированы и они их формировали не на старом "пне", а на кластере из нескольких тысяч машин в многопотоке и базы постоянно обновляются. Есть платные онлайн ресурсы, например http://cmd5.ru, у них 50 терабайт база, за 20$ 1000 хэшей расшифровывают с вероятностью 60-80%. Ничего конкретного про них и про качество сказать не могу, но они с 2006 года этим занимаются, наверно ребята в теме.

lexasan 05.08.201721:01 ответить ссылка ↑ 0.0

Короче ты не в теме и не понимаешь на что даешь ссылки. Спорить с тобой было бессмысленно еще с того момента когда ты сказал о формировании хеша на стороне клиента.

ivdos 05.08.201721:41 ответить ссылка ↑ 0.0

Я с тобой и не спорил, я не специалист по компьютерной безопасности, имею базовые представления как это все работает и "что то слышал" о криптографии и функциях хэширования данных; я говорю о том, что выкладывать хэш своего пароля ПОТЕНЦИАЛЬНО небезопасно. Другое дело, что твой хэш, на самом деле, никому не нужен. Говоря о том, что подбор невозможен в принципе, ты не совсем прав. Хотя и сложно, но подобрать реально. Опять же, если хакерам надо будет украсть не наш с тобой, а какой то другой очень важный логин, они не будут заморачиваться подбором, потому что клиент может быть осторожен и часто менять пароль, они будут использовать другие методы, вплоть до физического доступа к компьютеру важного клиента или физического доступа к самому клиенту))

lexasan 05.08.201722:22 ответить ссылка ↑ 0.0

И да, по поводу уязвимости sha1, посмотри на циферки http://thehackernews.com/2017/02/sha1-collision-attack.html
Какие вычислительные мощности нужны и сколько времени для брутфорса одного хеша. И подумай насколько целеобразно будет людям именно твой хеш ломать, при этом они не будут знать потенциально от какого он ресурса.

ivdos 05.08.201718:20 ответить ссылка ↑ 0.0

Не совсем понял, что ты имел ввиду. Кроме тебя, твой пароль никто не знает. Сервер знает только его хэш, который хранится в базе. Насколько мне помнится, после отправки пароля, хэш формируется на стороне сервера, которой потом сравнивает, хэш от пароля, который только что ввели с хэшем в базе. Для его создания используется односторонняя функция. Если совпал, то пустило. Каким образом показав хэш кому-то, можно отдать свой пароль?

nenormalka 05.08.201715:27 ответить ссылка ↑ 0.0

Только к скрипту авторизации уходит пароль, а не хеш (строящийся по паролю и "соли").
Так что чтобы это применить - надо дехешировать хеш :-)

alex4321 05.08.201715:35 ответить ссылка ↑ 0.0

- Кажется я на придумал пароль, которого нет в базе.
- Теперь есть.

Niissoks 05.08.201713:36 ответить ссылка 0.6

сейчас привязка к телефону у 90% боле-мене значимых сервисов. так что похуй

AHmuxpuCT 05.08.201713:38 ответить ссылка 1.6

ПРОВЕРКА БЕЗОПАСНОСТИ “С
Узнайте, есть ли ваша карта в базе данных хакеров! Введите данные, чтобы проверить.
Номер карты:
СУС2:
Проверить!

dim22 05.08.201714:11 ответить ссылка 7.3

Момо Апельбах, традиционно.

Какое ваше f&mn еврейское имя?,^щ
WJV у
1. Mo... 1. ...donai 1. Gold... 1. ...berg
2. He... 2. ...shel 2. Wasser... 2. ...stein
3. Ja... 3. ...mon 3. Edel... 3. ...meyer
4. Schmu... 4. ...mo 4. Bergen... 4. ...owsky
5. Schlo... 5. ...diah 5. Braun... 5. ...heimer
6. Meno... 6. ...chay 6.

Gyromitra 05.08.201714:51 ответить ссылка ↑ 4.2

Yerochay Blumenmann однако ..

Dilbert_17 06.08.201711:27 ответить ссылка ↑ 0.0

Как и предполагалось, пароль для всяких помоек в базе, а нормальные пароли пока ещё нет.

enormis 05.08.201714:13 ответить ссылка 0.0

Уже есть

Licemer61 05.08.201719:44 ответить ссылка ↑ 0.0

Вам предлагается вводить пароль на www.sha1-online.com, что бы не засветить его на haveibeenpwned.com. Если вам показалось это логичным, у меня для вас плохие новости.

takezi 05.08.201721:52 ответить ссылка 0.0

Специально для параноиков которые к тому же как и я не умеют в программирование даже код приведён, который просто можно скопипастить в IDE, скачать базу, и полностью оффлайн проверить.

$■\ Lister - [g:\3arpy3Kn\pwned-passwords-1.0.txt] □ X □ > Файл Правка Вид Кодировка Справка B1B374C6730C4A5DB9FFAFB84F99F7D6B0F9598D B1B374D9396855DE6FED4A73E874EEB787A0C7BC B1B374DD1ADDB0127FEFF52A3535AEFDA5F 0А049 B1B3750765A98F1EF86CEA2B9F3E252EFC7FB4F2$