Mobili versija | Apie | Visos naujienos | RSS | Kontaktai
 
Vartotojo vardas:
Slaptažodis:
Atsiminti
Login with a social network:

Jūsų požiūris

Aktyvios diskusijos

Ieškoti forume


Išsami paieška

 [ 24 pranešimai(ų) ] 
 
Naujos temos kūrimas Atsakyti į temą Pagrindinis diskusijų puslapis » Technologijos » Automobiliai, motociklai ir traukiniai
Žinutė Autorius
  Standartinė   Parašytas: 2021-02-17, 16:10 
     
kas turit dump`ą parašykit pm :)
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5839
Reputacija: +1966
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-17, 16:49 
     
HardAxe rašė:
kas turit dump`ą parašykit pm :)


Užsiregistruok ir parsisiųsi ;)
https://raidforums.com/Thread-CityBee-L ... d-Download
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-17, 19:46 
     
Niemand rašė:
HardAxe rašė:
kas turit dump`ą parašykit pm :)


Užsiregistruok ir parsisiųsi ;)
https://raidforums.com/Thread-CityBee-L ... d-Download


ten reikia virtualiu pinigeliu uzsidirbti arba nusipirkti.
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5839
Reputacija: +1966
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 01:01 
     
Slaptažodžiai md5 unsalted. Nėra sunku kažkam susigeneruoti krūvos md5 hash'ų iš standartinio slaptažodžių žodyno, ir patikrinti kas tokius naudoja.

Ok esu senamadiškas, tai jau buvo padaryta, ir yra didžiulės duombazės, kur galima daryti reverse search.

Neskatinu nulaužinėjimo, tiesiog noriu pranešti kad raginimas nesikeisti slaptažodžių yra rizikingas, ir jei naudojat tą patį slaptažodį kitur, ypač tame e-mail kuriuo registravotės, būtina jį pasikeisti.

Pradėkim nuo generatoriaus:
https://www.md5hashgenerator.com/

Generatoriuje galite įrašyti žodį, ir paskaičiuoti jo md5. Slaptažodžiai taip saugomi.

Tada nueinate į puslapį:
https://www.cellphonetrackers.org/tool/md5-coder.php
Įvedate tą md5 eilutę, ir spaudžiate "Find it".

Jei sugrąžino tą patį tekstą, kuris buvo įvestas generatoriuje, slaptažodis savaime yra nesaugus, ir jis bus lengvai atkoduotas. Jei gaunate "1020", tai jo nėra toje konkrečioje duombazėje. Nesiūlau to daryti su savo slaptažodžiu, ir jei visgi padarėt ir jį atrado, nesiūlau toliau naudoti to slaptažodžio.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 2620
Reputacija: +859
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 11:07 
     
conjurer rašė:
Slaptažodžiai md5 unsalted. .


Iš kur tokios žinios? Nesinorėtu tikėti, kad ju appsą indusai programino :)
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 11:16 
     
aš kažkur užmačiau, kad sha1 unsalted. Didelio skirtumo tai nesudaro.
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5839
Reputacija: +1966
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 11:22 
     
conjurer rašė:
Slaptažodžiai md5 unsalted. Nėra sunku kažkam susigeneruoti krūvos md5 hash'ų iš standartinio slaptažodžių žodyno, ir patikrinti kas tokius naudoja.

Ok esu senamadiškas, tai jau buvo padaryta, ir yra didžiulės duombazės, kur galima daryti reverse search.

Neskatinu nulaužinėjimo, tiesiog noriu pranešti kad raginimas nesikeisti slaptažodžių yra rizikingas, ir jei naudojat tą patį slaptažodį kitur, ypač tame e-mail kuriuo registravotės, būtina jį pasikeisti.

Pradėkim nuo generatoriaus:
https://www.md5hashgenerator.com/

Generatoriuje galite įrašyti žodį, ir paskaičiuoti jo md5. Slaptažodžiai taip saugomi.

Tada nueinate į puslapį:
https://www.cellphonetrackers.org/tool/md5-coder.php
Įvedate tą md5 eilutę, ir spaudžiate "Find it".

Jei sugrąžino tą patį tekstą, kuris buvo įvestas generatoriuje, slaptažodis savaime yra nesaugus, ir jis bus lengvai atkoduotas. Jei gaunate "1020", tai jo nėra toje konkrečioje duombazėje. Nesiūlau to daryti su savo slaptažodžiu, ir jei visgi padarėt ir jį atrado, nesiūlau toliau naudoti to slaptažodžio.


Tai, kad ne MD5, o SHA1. Pasiūlytas finderis turbūt ieško ir per SHA1 įrašus jei pavyko kažką rast.

Šitą greičiausiai NFQ sukodino, bent jau prieš 3 metus jie kodino, tai nemanau, kad pakeitė kažką nuo to laiko, o kas sugalvojo bazės kopiją įkelt į Azure blob'ą, tai tam tikrai dabar rūgštu subinėj.
  • 0




Užsiregistravo: 2013-04-12, 08:17
Pranešimai: 174
Miestas: Anykščiai
Reputacija: +103
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 11:36 
     
Man tik keista, koks šaršalas kilo dėl citybee, ir kaip visiems buvo px ir nulis viešai informacijos apie tai, kai VU, E-sveikata, savivaldybių duomenys nutekėjo.
VU duomenis pavogė, įskaitant mano slaptažodį, su kuriuo pavyko jiems rasti kur gali prisijungti. (ne nesu VU studentas). Niekas nei pranešė, nei ką. Po policijos tyrimo tik buvo išsiaiškinta, kad duomenis pavogė iš VU.

Vėlgi, VU nuostolių neatlygino, net pranešimo nebuvo, kad pavogė ir pasikeisti psw reiktų. Čia kažkas kiša pinigus, kad Modus susilpninti ir savo pozicijas sustiprinti?
  • 0


_________________
Surinkai -10 takšų? Tavo komentarų nebematau ir nebeskaitau. Sėkmės savo graudžiame, neapykantos ir pavydo persmelktame gyvenime.



Užsiregistravo: 2009-04-04, 03:11
Pranešimai: 16234
Miestas: Vilnius-Klaipeda
Reputacija: +3162
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 11:39 
     
duokit man tą bazę, aš irgi noriu paieškot.
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5839
Reputacija: +1966
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 12:30 
     
Galonas rašė:
Tai, kad ne MD5, o SHA1. Pasiūlytas finderis turbūt ieško ir per SHA1 įrašus jei pavyko kažką rast.


Deja, viešai nieko nėra, net mėginio. Pats algoritmas ne taip jau principialu (MD5 žinoma idiotizmas, nebent legacy), svarbiausia druska. Bet be mėginio nepasakysi, kas ten iš tikro yra.

Galonas rašė:
o kas sugalvojo bazės kopiją įkelt į Azure blob'ą, tai tam tikrai dabar rūgštu subinėj.


Nu tai į pasteBin'ą netilpo :)

P.S. tiems, kurie nelabai supranta - paprastai tariant duomenų bazės atsarginė kopija buvo įkelta į viešą "web puslapį", kuris tipiškai naudojamas web puslapių viešo turinio saugojimui, pvz., paveiksliukai, vieši parsisiuntimai ir pan. Todėl techniškai niekas niekur neįsilaužė, tiesiog rado viešumoje besimėtančius duomenis.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 14:16 
     
Galonas rašė:
Tai, kad ne MD5, o SHA1. Pasiūlytas finderis turbūt ieško ir per SHA1 įrašus jei pavyko kažką rast.


Tame forume mini kad ten md5 unsalted, ir kitoje vietoje kad sha1 unsalted. Abiem atvejais yra duombazės iš populiarių slaptažodžių. Ir taip reikia bent jau pirmų 20 eilučių mėginuko, kad pasakyti kame replės.

immortallt rašė:
...

Na jei taip, tai VU yra blogiau nei citybee. Geriau pranešti apie problemą, kad paskyrų savininkai galėtų reaguoti, nei tylėt ir laukti kol silpnų slaptažodžių turėtojai nukentės.
Sakyčiau jei kažkas tyli, ir nepraneša, jį reikia patraukti atsakomybėn, kaip nusikaltimo bendrininką.
Aišku gali būti problema, kai nelaužtos sistemos savininkas net nežino apie tai. Bet esame to požiūrio, kad nežinojimas neatleidžia nuo atsakomybės.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 2620
Reputacija: +859
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 14:19 
     
Niemand rašė:
P.S. tiems, kurie nelabai supranta - paprastai tariant duomenų bazės atsarginė kopija buvo įkelta į viešą "web puslapį", kuris tipiškai naudojamas web puslapių viešo turinio saugojimui, pvz., paveiksliukai, vieši parsisiuntimai ir pan. Todėl techniškai niekas niekur neįsilaužė, tiesiog rado viešumoje besimėtančius duomenis.


Įtariu tai buvo ne įmonės politika, o kažkurio darbuotojo sprendimas perdarinėjant sistemą... Tas žmogus dabar turbūt jau pardavinėja skubotai turtą ir slepia viską Šveicarijoje ar Karibuose :D
  • 0


_________________
Surinkai -10 takšų? Tavo komentarų nebematau ir nebeskaitau. Sėkmės savo graudžiame, neapykantos ir pavydo persmelktame gyvenime.



Užsiregistravo: 2009-04-04, 03:11
Pranešimai: 16234
Miestas: Vilnius-Klaipeda
Reputacija: +3162
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 14:53 
     
immortallt rašė:
Niemand rašė:
P.S. tiems, kurie nelabai supranta - paprastai tariant duomenų bazės atsarginė kopija buvo įkelta į viešą "web puslapį", kuris tipiškai naudojamas web puslapių viešo turinio saugojimui, pvz., paveiksliukai, vieši parsisiuntimai ir pan. Todėl techniškai niekas niekur neįsilaužė, tiesiog rado viešumoje besimėtančius duomenis.


Įtariu tai buvo ne įmonės politika, o kažkurio darbuotojo sprendimas perdarinėjant sistemą... Tas žmogus dabar turbūt jau pardavinėja skubotai turtą ir slepia viską Šveicarijoje ar Karibuose :D


Spėju, čia buvo eksperimentas. Azure blob servisas yra pigus būdas saugoti daug duomenų ir vienas iš pagrindinių panaudojimo būdų yra big data analitika ("data lake"). Greičiausiai eksperimentavo su tuo, ką gali išspausti iš savo duomenų, o paskui tiesiog nukrito kiti darbai ir tą eksperimentą banaliai pamiršo.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 14:57 
     
https://www.reddit.com/r/lithuania/comm ... baz%C4%97/

Girdėjot naujienas?
  • 0




Užsiregistravo: 2014-10-02, 22:00
Pranešimai: 32
Reputacija: +16
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 14:58 
     
conjurer rašė:
Tame forume mini kad ten md5 unsalted, ir kitoje vietoje kad sha1 unsalted. Abiem atvejais yra duombazės iš populiarių slaptažodžių.


Gandais labai pasitikėti neverta, netikiu, kad būtų be druskos, o su druska net MD5 nelabai iššifruosi, geriausiu atveju gausi tūkstančius galimų slaptažodžio variantų viena hash'ui.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 15:06 
     
Niemand rašė:
Gandais labai pasitikėti neverta, netikiu, kad būtų be druskos, o su druska net MD5 nelabai iššifruosi, geriausiu atveju gausi tūkstančius galimų slaptažodžio variantų viena hash'ui.

Jei turi druską, ir žinai kur ją dėti, gali susigeneruoti savo slaptažodžių lentelę. Kad md5 unsalted parašė tas kuris buvo įdėjąs visą duombazę.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 2620
Reputacija: +859
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 18:10 
     
conjurer rašė:
Niemand rašė:
Gandais labai pasitikėti neverta, netikiu, kad būtų be druskos, o su druska net MD5 nelabai iššifruosi, geriausiu atveju gausi tūkstančius galimų slaptažodžio variantų viena hash'ui.

Jei turi druską, ir žinai kur ją dėti, gali susigeneruoti savo slaptažodžių lentelę. Kad md5 unsalted parašė tas kuris buvo įdėjąs visą duombazę.


Beprasmiška, druska kiekvienam slaptažodžiui skirtinga, "pigiau" gaunasi bruteforce'inti.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 18:15 
     
Niemand rašė:
Beprasmiška, druska kiekvienam slaptažodžiui skirtinga, "pigiau" gaunasi bruteforce'inti.


Priklauso nuo implementacijos. Argon2id atveju taip, bet kažkas gali tiesiog sukurti globalų kintamąjį iš 16 atsitiktinių simbolių, ir hashinti $static_salt + $password stringą. Ir net toks variantas bus geriau, nes jam reikia generuotis naują slaptažodžių lentelę.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 2620
Reputacija: +859
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 18:33 
     
Jeigu jau taip tinginys suėmęs, tai hash($name+hash($pass+$email))?
Ar elementariai, pass+email?
Realiai jokio overhead`o programuojant, o slaptažodžio hashas nieko gero nerodys, reikės viską bruteforcinti.
  • 0



Moderatorius

Užsiregistravo: 2009-07-13, 13:38
Pranešimai: 5839
Reputacija: +1966
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 18:36 
     
conjurer rašė:
Niemand rašė:
Beprasmiška, druska kiekvienam slaptažodžiui skirtinga, "pigiau" gaunasi bruteforce'inti.


Priklauso nuo implementacijos. Argon2id atveju taip, bet kažkas gali tiesiog sukurti globalų kintamąjį iš 16 atsitiktinių simbolių, ir hashinti $static_salt + $password stringą. Ir net toks variantas bus geriau, nes jam reikia generuotis naują slaptažodžių lentelę.


.NET standartinėje implementacijoje druska randominė (insertinant). Nelabai įsivaizduoju, kas ir kodėl galėtų "implementuoti" kitaip, vėlgi, nebent legacy sistema, bet citybee pernelyg naujas reikalas.
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 18:44 
     
HardAxe rašė:
Jeigu jau taip tinginys suėmęs, tai hash($name+hash($pass+$email))?
Ar elementariai, pass+email?
Realiai jokio overhead`o programuojant, o slaptažodžio hashas nieko gero nerodys, reikės viską bruteforcinti.


Email turi savybę keistis, todėl netinka, hash over hash matematiškai beprasmiška (ant greitųjų nerandu nuorodos, bet esmė, kad bet kokia hash funkcija yra turinio entropijos "aprašymas", dėl ko antrą kartą pritaikant funkciją ji yra paprastai matematiškai grįžtama, nes entropija (hashuojamos vertės) ta pati).
  • 0




Užsiregistravo: 2011-04-19, 23:39
Pranešimai: 2403
Reputacija: +989
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 18:53 
     
Niemand rašė:
hash over hash matematiškai beprasmiška (ant greitųjų nerandu nuorodos, bet esmė, kad bet kokia hash funkcija yra turinio entropijos "aprašymas", dėl ko antrą kartą pritaikant funkciją ji yra paprastai matematiškai grįžtama, nes entropija (hashuojamos vertės) ta pati).

Na yra prasmės, jei nori pašalinti nenorimus simbolius, iš unikalios kombinacijos. Bet tam ir base64, ar binary to hexadecimal galima naudoti.
  • 0




Užsiregistravo: 2010-12-29, 01:01
Pranešimai: 2620
Reputacija: +859
   
 
Į viršų
  Standartinė   Parašytas: 2021-02-18, 22:59 
     
Sita tema per daug panikos ir spekuliaciju, ypac del slaptazodziu. Tie kas naudojo stiprius slaptazodzius tai visiskai dzin, tiems kas naudojo silpnus/"standartinius" - tough luck, gal bent po sio karto poziuris pasikeis.

O del asmens kodu, emailu, ir .t.t leakinimo tai jau nebesuku galvos, valstybines kontoros jau tiek kartu leakino, kad be sansu kad tie duomenys nebutu visiems kas to nori prieinama.

immortallt rašė:
Įtariu tai buvo ne įmonės politika, o kažkurio darbuotojo sprendimas perdarinėjant sistemą... Tas žmogus dabar turbūt jau pardavinėja skubotai turtą ir slepia viską Šveicarijoje ar Karibuose :D

Kazkaip man irgi tokia teorija nuo pat pradzios yra, tuo labiau kad tie duomenys (jei tiesa) 2018 metu - greiciausiai dare kazkokia migracija ir kaip atsargine kopija patalpino azure ir paskui pamirso istrinti. Kas susiduria su sistemu administravimu, tai tokie "sprendimai" nelabai keltu nuostaba, honestly dar baisesniu atveju teko matyti.
kalbant apie darbuotoja, tai nebent jis tai dare piktavaliskai, visa atsakomybe gula ant darbdavio (bent pagal GDPR).
  • 0




Užsiregistravo: 2009-05-29, 01:28
Pranešimai: 317
Reputacija: +54
   
 
Į viršų
Rodyti paskutinius pranešimus:
Rūšiuoti pagal
 


Naujos temos kūrimas Atsakyti į temą  [ 24 pranešimai(ų) ] 

Visos datos yra UTC + 2 valandos [ DST ]


Dabar prisijungę

Vartotojai naršantys šį forumą: Registruotų vartotojų nėra ir 7 svečių


Jūs negalite kurti naujų temų šiame forume
Jūs negalite atsakinėti į temas šiame forume
Jūs negalite redaguoti savo pranešimų šiame forume
Jūs negalite trinti savo pranešimų šiame forume
 

Ieškoti:
Pereiti į:
 
 

Reputation System ©'