Слили 300 миллионов уникальных паролей / база данных :: пароли :: слив :: Компьютерная безопасность

Слили 300 миллионов уникальных паролей

База с паролями: https://haveibeenpwned.com/Passwords

Важно, перед вводом пароля для проверки очень желательно перевести его в sha1 http://www.sha1-online.com/

Из интересного, у меня 2 из 5 основных паролей находятся в базе.

Опубликована база с 320 млн уникальных паролей (5,5 ГБ) Й Информационная безопасность Selling part of database, there good for PSN, Origin, PayPal, Amazon, Ebay and many many other. в АнтиПаблик Ьу SoloSuiode [ZABUGOR EDITION] Всего: 300000 Пройдено: 300000 Приват: ] 218812 Паблик: Неверные

Подробнее
Опубликована база с 320 млн уникальных паролей (5,5 ГБ) Й Информационная безопасность Selling part of database, there good for PSN, Origin, PayPal, Amazon, Ebay and many many other. в АнтиПаблик Ьу SoloSuiode [ZABUGOR EDITION] Всего: 300000 Пройдено: 300000 Приват: ] 218812 Паблик: Неверные домены: 123 Процент привата: 72,94% ANTI PUBLIC Осталось: 0:0:0 Скорость: 3442 Сбросить ^ Ц 100% | (р |(S) | © feg ARm гг „•> 7 Ч Кол-во записей в базе: ABOUT V2.2.3 1035 853 049 Приват - Private combos (there only russian antipublic, sry for it) Prices: 10k - 5$ 20k-10$ 50k-20$ 0k-40$ 210k (all)-70$ Im receiving BTC or WMZ Проверка аккаунтов на живучесть Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже). Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Компьютерная безопасность,пароли,слив,база данных,песочница

Еще на тему

песочница(696471)

Развернуть

Комментарии 3405.08.201713:20ссылка-2.9

точно. ребята, вот база паролей, вводите туда свои, чтобы проверить) даже если не фейк не очень-то хочется проверять.

Jifd05.08.201713:24ответить ссылка 4.8

Так и введут, поверь.

Radio05.08.201713:26ответить ссылка ↑ 1.0

Я же специально предупредил, что вводить стоит хеши своих паролей, а не в открытом виде.

ivdos05.08.201713:28ответить ссылка ↑ -0.5

Хеш без соли не такой уже и безопасный...

AshB05.08.201722:47ответить ссылка ↑ 0.0

Ну скажи какие могут быть неприятности кроме перебора по словарям или же тупого брутфорса?

ivdos05.08.201723:33ответить ссылка ↑ -0.3

Да что ты, никаких. Ну нельзя же никак считать хеши на амазоновских кластерах или пользоваться уже готовыми сервисами по вскрытию хеша.

AshB05.08.201723:37ответить ссылка ↑ 0.0

Эм, именно об этом я написал в сообщении выше. Но есть небольшие НО. Ради одного твоего хеша никто не будет тратить огромные ресурсы и время для коллизии, ниже я уже писал почему. Сразу пачкой хеши обрабатывать еще дольше, существенно дольше, так-как неизвестно сколько там возможных символов.

ivdos06.08.201700:07ответить ссылка ↑ -0.3

И потому мы дадим им или сразу пароли или хеши, чтобы потом можно было размерено вскрывать их и пополнять онлайн базы для последующей продажи. Хорошая идея.

Сама по себе база хешей паролей, которые практически используются пользователями - хорошая находка, а в добавок к этому мы чтобы получить хеш введем пароль в открытом виде на другом сайте, который пары хеш-пароль сохраняет как пить дать...

Не все хорошо, у меня пртензий нет. Безопасность идеи на уровне.

AshB06.08.201700:14ответить ссылка ↑ 0.0

Да, да, каюсь, что все не описал нормально. Можно скачать базу оффлайн и там было проверить. Хеши тоже оффлайн можно сгенерить. Я просто слишком ленив для этого.

ivdos06.08.201700:43ответить ссылка ↑ 0.3

Ща пойду вводить свои все свои пароли, в какие-то базы, которые сами их и собирают и сливают потом. Только штаны подтяну и проверю.

Компьютерная безопасность,пароли,слив,база данных,песочница

borgulio05.08.201713:28ответить ссылка 2.6

А читать мы не умеем? Да даже написано на сайте проверки как нужно вводить, что бы не скомпрометировать свой. Для этого придуманы хеши.

ivdos05.08.201713:30ответить ссылка ↑ -1.7

Если ты не в курсе, то пароли на ресурсах хранятся в хэшированном виде (в изначальном виде пароли хранят только дауны) и при авторизации проверяется не твой пароль, а его хэш, который формируется на твоей стороне. При совпадении хэшей твоего и хранящегося на ресурсе тебя пускают. Так что вводи хэш своего пароля, чтобы он сохранился в их базе данных и потом его можно было использовать, чтобы взломать твой акк.

lexasan05.08.201715:06ответить ссылка ↑ 0.1

Ты наркоман? Найти хеш можно лишь по словарю, либо с помощью брутфорса. Ну запишется хеш пароля которого нет в базе, как это поможет? Они никак не узнают пароль, тем более если он хитровыебан. И да, хешируется пароль на сервере, а не на твоей стороне. Если хочешь убедиться возьми исходники вордпресса или другого движка, можешь с помощью консольки проверить какие данные отправляются на сервер, например джоя.

ivdos05.08.201715:25ответить ссылка ↑ -0.5

Видимо, ни одного меня смутил оратор выше.

nenormalka05.08.201715:28ответить ссылка ↑ 0.0

Ну хорошо, пусть пароль отправляется по защищенному каналу и хэшируется уже на сервере, согласен, тут я херню сморозил. Но знание твоего хэша это полпути к твоему паролю. Один путь - это взлом сервера авторизации, используя его уязвимости через, например, подмену функции генерации хэша и сравнение его в данными в БД на свою функцию, которая просто будет подсовывать твой правильный хэш и таким образом авторизация пройдет. Другой путь - подбор пароля по хэшу, сейчас много технологий подбора и весьма быстрых (например использование радужных таблиц). В любом случае я бы не стал палить хэш паролей на каких то недоверенных сайтах, кроме того нет никакой гарантии, что на http://www.sha1-online.com/ нет логирования пары пароль - его хэш (можно даже сказать что оно гарантированно есть), кроме того шифрование SHA-1 уязвимо, это упростит подбор. Тут справедлива поговорка: если тайну знают двое, то это уже не тайна. Я может излишне параноидален, но если никто не будет знать даже хэш, то подступиться у логину будет куда сложнее. В любом случае это лично мое мнение ни на что не претендующее. Что я хотел сказать - не стоит вводить свою авторизирующую информацию нигде ни в каком виде, кроме мест, где ты авторизуешься.

lexasan05.08.201716:19ответить ссылка ↑ 0.0

"подмену функции генерации хэша и сравнение его в данными в БД на свою функцию" - имея доступ такого уровня можно с этим вообще не заморачиваться и устроить хранение паролей в открытом виде с последующей пересылкой данных на удаленный сервер. Но это из разряда близкого к нереальности, можно сравнительно легко получить доступ к данным в БД, но вот к полному доступу файлов на сервере вряд ли.
"например использование радужных таблиц" - все это работает по словарю, если у тебя пароль имеет цифры и разные регистры и он достаточно уникален, подобрать такой невозможно. Если маленький шанс того, что такой же хеш как у твоего пароля будет у другого слова, но он очень мизерный.
По поводу перевода в sha1 существуют вполне себе оффлайновые средства. Я виноват, что сразу не сказал это. В любом случае при сильном пароле никак нельзя расшифровать хеш, только полным брутфорсом на который уйдут века.

ivdos05.08.201717:08ответить ссылка ↑ -0.1

К сожалению, уже не века, более менее сложный пароль подбирается секунд за 10 (загугли про эти радужные таблицы на SSD дисках), данным методом сложно взломать пароль только если в нем присутствуют дополнительные ASCII символы, но этим большинство пользователей не заморачивается.

lexasan05.08.201717:51ответить ссылка ↑ 0.0

Я знаю как работают радужные таблицы. Я тебе говорю, что подбор ведется по словарю в любом случае. Грубым брутфорсом на создание таблиц уйдут годы, на обычный 8ми значный пароль. А я использую 15ти значный пароль, в котором есть цифры и буквы в разном регистре. На содание таблицы для такого пароля уйдут десятилетия и несколько сотен террабайт места.

ivdos05.08.201718:15ответить ссылка ↑ 0.0

У ребят, которые профессионально занимаются взломом, эти таблицы давно сформированы и они их формировали не на старом "пне", а на кластере из нескольких тысяч машин в многопотоке и базы постоянно обновляются. Есть платные онлайн ресурсы, например http://cmd5.ru, у них 50 терабайт база, за 20$ 1000 хэшей расшифровывают с вероятностью 60-80%. Ничего конкретного про них и про качество сказать не могу, но они с 2006 года этим занимаются, наверно ребята в теме.

lexasan05.08.201721:01ответить ссылка ↑ 0.0

Короче ты не в теме и не понимаешь на что даешь ссылки. Спорить с тобой было бессмысленно еще с того момента когда ты сказал о формировании хеша на стороне клиента.

ivdos05.08.201721:41ответить ссылка ↑ 0.0

Я с тобой и не спорил, я не специалист по компьютерной безопасности, имею базовые представления как это все работает и "что то слышал" о криптографии и функциях хэширования данных; я говорю о том, что выкладывать хэш своего пароля ПОТЕНЦИАЛЬНО небезопасно. Другое дело, что твой хэш, на самом деле, никому не нужен. Говоря о том, что подбор невозможен в принципе, ты не совсем прав. Хотя и сложно, но подобрать реально. Опять же, если хакерам надо будет украсть не наш с тобой, а какой то другой очень важный логин, они не будут заморачиваться подбором, потому что клиент может быть осторожен и часто менять пароль, они будут использовать другие методы, вплоть до физического доступа к компьютеру важного клиента или физического доступа к самому клиенту))

lexasan05.08.201722:22ответить ссылка ↑ 0.0

И да, по поводу уязвимости sha1, посмотри на циферки http://thehackernews.com/2017/02/sha1-collision-attack.html
Какие вычислительные мощности нужны и сколько времени для брутфорса одного хеша. И подумай насколько целеобразно будет людям именно твой хеш ломать, при этом они не будут знать потенциально от какого он ресурса.

ivdos05.08.201718:20ответить ссылка ↑ 0.0

Не совсем понял, что ты имел ввиду. Кроме тебя, твой пароль никто не знает. Сервер знает только его хэш, который хранится в базе. Насколько мне помнится, после отправки пароля, хэш формируется на стороне сервера, которой потом сравнивает, хэш от пароля, который только что ввели с хэшем в базе. Для его создания используется односторонняя функция. Если совпал, то пустило. Каким образом показав хэш кому-то, можно отдать свой пароль?

nenormalka05.08.201715:27ответить ссылка ↑ 0.0

Только к скрипту авторизации уходит пароль, а не хеш (строящийся по паролю и "соли").
Так что чтобы это применить - надо дехешировать хеш :-)

alex432105.08.201715:35ответить ссылка ↑ 0.0

- Кажется я на придумал пароль, которого нет в базе.
- Теперь есть.

Niissoks05.08.201713:36ответить ссылка 0.6

сейчас привязка к телефону у 90% боле-мене значимых сервисов. так что похуй

AHmuxpuCT05.08.201713:38ответить ссылка 1.6

ПРОВЕРКА БЕЗОПАСНОСТИ “С Узнайте, есть ли ваша карта в базе данных хакеров! Введите данные, чтобы проверить. Номер карты: СУС2: Проверить!

dim2205.08.201714:11ответить ссылка 7.3

Момо Апельбах, традиционно.

Какое ваше f&mn еврейское имя?,^щ WJV у 1. Mo... 1. ...donai 1. Gold... 1. ...berg 2. He... 2. ...shel 2. Wasser... 2. ...stein 3. Ja... 3. ...mon 3. Edel... 3. ...meyer 4. Schmu... 4. ...mo 4. Bergen... 4. ...owsky 5. Schlo... 5. ...diah 5. Braun... 5. ...heimer 6. Meno... 6. ...chay 6.

Gyromitra05.08.201714:51ответить ссылка ↑ 4.2

Yerochay Blumenmann однако ..

Dilbert_1706.08.201711:27ответить ссылка ↑ 0.0

Как и предполагалось, пароль для всяких помоек в базе, а нормальные пароли пока ещё нет.

enormis05.08.201714:13ответить ссылка 0.0

Уже есть

Licemer6105.08.201719:44ответить ссылка ↑ 0.0

Вам предлагается вводить пароль на www.sha1-online.com, что бы не засветить его на haveibeenpwned.com. Если вам показалось это логичным, у меня для вас плохие новости.

takezi05.08.201721:52ответить ссылка 0.0

Специально для параноиков которые к тому же как и я не умеют в программирование даже код приведён, который просто можно скопипастить в IDE, скачать базу, и полностью оффлайн проверить.

$■\ Lister - [g:\3arpy3Kn\pwned-passwords-1.0.txt] □ X □ > Файл Правка Вид Кодировка Справка B1B374C6730C4A5DB9FFAFB84F99F7D6B0F9598D B1B374D9396855DE6FED4A73E874EEB787A0C7BC B1B374DD1ADDB0127FEFF52A3535AEFDA5F 0А049 B1B3750765A98F1EF86CEA2B9F3E252EFC7FB4F2$