-
-
MegCecTpax, как считаешь насколько увеличивают безопасность секьюрити тоукены? к ним ведь тоже можно подобрать пароль методом перебора по идее
п.с. кстати уточни плиз, что такое регистр? это строчные и прописные буквы или цифры? -
Неужели ты думаешь что кто-то даст подбирать пароль более ста раз в час/день.
Это сразу заметят, так что не так все на самом деле.
Взламывают скорее всего вирусами-клавиатурными шпионами и др. способами.
Но пароль, конечно нужно иметь надежный, да, все правильно. -
Любая дополнительная аутентификация сильно увеличивает безопасность аккаунта. Токен к ним относится.
Хотя был случай, человека с токеном взломали на PokerStars. Взлом осуществлялся с помощью социальной инженерии.
Взломщик добавился к жертве в Skype, представился службой безопасности PokerStars и вынудил жертву сообщить пароль с токена.
Под регистром я имел в виду использование заглавных и прописных букв.
Всего в англ раскладке 26 букв. 10 цифр.
Итого без использования заглавных букв 36 символов.
С использованием заглавных 26 умножаем на 2, получаем 52 + 10 цифр, итого 62.
Токеном не пользовался, но на сколько знаю, метод перебора с токенами не реализуем по причине того, что для правильного ввода пароля с токена дается N - попыток. Часто N < 10. После этого пароль генерируется заново. То есть перебор ограничен 10 попытками. Но если найти уязвимость, которая позволит обойти это, то можно и перебором подобрать. -
Цитата (iHaveOnly26Teeth @ 9.1.2016)
Неужели ты думаешь что кто-то даст подбирать пароль более ста раз в час/день.
Это сразу заметят, так что не так все на самом деле.
Взламывают скорее всего вирусами-клавиатурными шпионами и др. способами.
Но пароль, конечно нужно иметь надежный, да, все правильно.
Из личного опыта. Mail.ru - известная, крупная компания, несколько лет тому назад, когда мне это было интересно я спокойно брутил Mail.ru с большей скоростью, чем 100 паролей в час.
Я не знаю, как сейчас обстоят дела с Mail.ru, я не пробовал брутить 888 и\или Lotos. Но такую возможность я бы на 100% не исключал. Если найти уязвимость, то брутить можно. При том брутят, как правило все-таки не полным перебором, а с использованием словарей, которые содержат в себе популярные пароли. Или с помощью словаря, который делается специально под жертву. В таком случае хватит и скорости в 100 паролей в час.
Тем более я пытался рассказать, что сделать пользователю, чтобы избежать взлома. Конечно можно надеяться на службу безопасности Lotos Poker\ 888, но лучше перестраховаться imho.
Вот пример словарей:
http://rutracker.org/forum/viewtopic.php?t=925908 -
На 888 и Лотосе нельзя использовать никакие символы кроме букв и цифр? -
По моему всё это простейшие вещи, который должен знать каждый))
И да, пароли нужно создавать не только с учетом регистра, но и спец. символов, типа: 3*kh65JH@nf)=gf5L4ljf6$W@Q&v)65*^156~
Секретные вопросы любые, без разницы, хоть "девичья фамилия матери", но ответы по типу пароля
И конечно же держать все записи не на компе, а в блокноте, т.е. написанные ручкой от руки. На крайняк на флешке, специально отведенной под это дело, в запароленных архивах))
Ну и смс авторизация, там где она есть -
-
DarknessOFF, простейшие, но тот факт, что людей ломают доказывает, что не все это знают.
Если хоть один человек узнал что-то новое для себя и спасся от возможного взлома, то значит я все это писал не зря.
Ну и я бы все держал в голове, блокнот и\или флешку можно потерять, могут выкрасть. Были случаи, когда на покерных офф сериях ноутбуки крали. А так выкрал флешку\ блокнот, пропажу которой могут не сразу хватиться и ноут не нужен, времени для вывода больше, повышаются шансы на успех. -
У меня на телефоне есть функция, при активации которой разблокировка происходит по лицу (с помощью фронт камеры). Как думаете, почему румы и другие системы, связанные с деньгами, не используют нечто подобное?
-
leshick, не у всех есть телефон с камерой, не у всех есть веб-камера. Это сделает недоступным сервис, если такую авторизацию сделать обязательной.
Сертифицирована ли эта функция компетентными организациями? Может для ее обмана хватит 5 минут несложных манипуляций с гримом.
Если же ужесточить распознавание, то готовы ли пользователи по 5 минут лыбиться в камеру, чтобы железяка наконец-то признала их, или они плюнут и уйдут к конкурентам, где нет надоедливой фигни с камерой? -
Цитата (MegCecTpax @ 9.1.2016)
Ну и я бы все держал в голове
В голове бы держал пароли такого вида как я привел в примере? От всех румов, имейлов, платежек? Ну ну
Насчет взломов, я сомневаюсь что сейчас кто-то занимается брутом. Да и раньше брутили только школьники, аськи и прочую фигню)) Нормальные хацкеры пользуются софтом(трояны, кейлоггеры), заточенными под определенные цели, которые порой достигают стоимости в десятки тысяч килобаксов.
Поэтому прежде всего во избежании взломов, нужно голову иметь на плечах. Не переходить по левым ссылкам и не качать что попало. А вообще в идеале иметь отдельный комп/ноут исключительно для катушки. Румов, платежек и связанных с ними имейлов. И ничего больше. -
-
Цитата (DarknessOFF @ 9.1.2016)
В голове бы держал пароли такого вида как я привел в примере? От всех румов, имейлов, платежек? Ну ну
Насчет взломов, я сомневаюсь что сейчас кто-то занимается брутом. Да и раньше брутили только школьники, аськи и прочую фигню)) Нормальные хацкеры пользуются софтом(трояны, кейлоггеры), заточенными под определенные цели, которые порой достигают стоимости в десятки тысяч килобаксов.
Поэтому прежде всего во избежании взломов, нужно голову иметь на плечах. Не переходить по левым ссылкам и не качать что попало. А вообще в идеале иметь отдельный комп/ноут исключительно для катушки. Румов, платежек и связанных с ними имейлов. И ничего больше.
Ну я же как-то держу. Ты бы попробовал. Неужели твой мозг не может запомнить 50 строчек ?
Брут - единственный способ дающий 100% гарантию взлома, вопрос только во времени. Поэтому не пользоваться брутом как-то странно.
Уверен в сфере покера главный способ взлома СИ.
Давай предположим, что ты прав, что "нормальные хацкеры ... десятки килобаксов". Взломы 888 и Lotos Poker это их дело ?
Пару лет тому назад был взлом с помощью брута. Есть такая игра League of legends, это клон Доты. Компания понесла убытки в районе 20 млн. $, потому что сотрудник компании был взломан, с помощью брута. Надо понимать, что везде стоит защита против перебора, которая ограничивает количество попыток. То есть прежде чем брутить надо найти уязвимость, которая позволит брутить. А еще нужна программа, которая будет брутить, и словари.
Вообще есть 2 кардинально разных подхода.
1. Ты ломаешь определенного человека. Тут нужен индивидуальный подход. Изучаешь жертву, составляешь досье.
2. Ты раскидываешь большую сеть, и ждешь пока рыба попадет в нее. То есть берешь количеством. Допустим есть база в 1 млн e-mail, рассылаешь всем фейк с акцией от GipsyTeam, ждешь улов.
Упомянутые тобою трояны и кейлогеры за десятки тысяч килобаксов к какой категории относятся?
И скинь ссылку, если есть под рукой, я бы почитал. Мне интересно. -
-
-
Цитата (MegCecTpax @ 10.1.2016)
Ну я же как-то держу. Ты бы попробовал. Неужели твой мозг не может запомнить 50 строчек ?
50 строк со спецсимволами, да ещё и помнить что от чего? Ты, видимо, уникум.Цитата (MegCecTpax @ 10.1.2016)
Брут - единственный способ дающий 100% гарантию взлома, вопрос только во времени.
Очень хорошая ремарка. Я тебе также могу сказать - "соц. инженерия - единственный способ, дающий 100%-ю гарантию взлома, вопрос в нахождении нужного подхода". Причём моё утверждение будет ничуть не дальше от истины, чем твоё.Цитата (MegCecTpax @ 10.1.2016)
Поэтому не пользоваться брутом как-то странно.
Уверен в сфере покера главный способ взлома СИ.
Скорее, "пользоваться брутом как-то странно" - защита от него делается слишком легко, а временнЫе затраты могут исчисляться тысячелетиями. Я тебе коротко опишу действие защиты от брута: в любой нормальной системе, работающей с деньгами, авторизация (в том числе неуспешная) юзера логируется. И как только кол-во запросов на авторизацию превышает определённый порог срабатывает защита (например, в виде капчи). Напиши свои соображения по обходу этой защиты.Цитата (MegCecTpax @ 10.1.2016)
То есть прежде чем брутить надо найти уязвимость, которая позволит брутить. А еще нужна программа, которая будет брутить, и словари.
Если есть уязвимость, позволяющая брутить, может есть и другие уязвимости, эксплуатация которых позволит получить профит сразу, а не через N времени?Цитата (MegCecTpax @ 10.1.2016)
Вообще есть 2 кардинально разных подхода.
1. Ты ломаешь определенного человека. Тут нужен индивидуальный подход. Изучаешь жертву, составляешь досье.
2. Ты раскидываешь большую сеть, и ждешь пока рыба попадет в нее. То есть берешь количеством. Допустим есть база в 1 млн e-mail, рассылаешь всем фейк с акцией от GipsyTeam, ждешь улов.
Упомянутые тобою трояны и кейлогеры за десятки тысяч килобаксов к какой категории относятся?
И скинь ссылку, если есть под рукой, я бы почитал. Мне интересно.
Троян и кейлоггер - это способ получить деньги жертвы. Ты же говоришь о подходах к поиску жертв - либо шерстить всех в поисках уязвимых (у подавляющего большинства из которых взять нечего), либо действовать избирательно - выбрать жертву и искать пути отъёма у неё денег. Первый путь не требует особых знаний и навыков.
По теме. Самый простой способ защиты - не афишировать свой ник (чтобы невозможно было построить ассоциативную цепочку ник в руме -> ник на форуме -> профиль в соцсети).
Если этого избежать не удалось, то необходимо включать голову и помнить, что вы можете оказаться целью атаки (и чем выше играемые лимиты, тем выше эта вероятность). Использование средств защиты (двухфакторной аутентификации, где она есть, RSA-токенов и криптостойких паролей) позволяет защититься от атаки рядового хакера. -
Цитата (Dalay_LAMO @ 11.1.2016)
50 строк со спецсимволами, да ещё и помнить что от чего? Ты, видимо, уникум.
Не жалуюсь. Но я всеже сомневаюсь, что это уникальное достижение запомнить 50 строк.Цитата (Dalay_LAMO @ 11.1.2016)
Очень хорошая ремарка. Я тебе также могу сказать - "соц. инженерия - единственный способ, дающий 100%-ю гарантию взлома, вопрос в нахождении нужного подхода". Причём моё утверждение будет ничуть не дальше от истины, чем твоё.
СИ - не может быть единственным. Есть же брутфорс.
СИ основывается на уязвимости в виде человека. А если человек исключен из цепи? Допустим ноут, надо взломать что-либо запароленное, хозяин умер. СИ тут бесполезна.
Но я понимаю, что ты имеешь в виду. И да, с помощью СИ можно хоть НАСА с Пентагоном ломать.Цитата (Dalay_LAMO @ 11.1.2016)
Скорее, "пользоваться брутом как-то странно" - защита от него делается слишком легко, а временнЫе затраты могут исчисляться тысячелетиями. Я тебе коротко опишу действие защиты от брута: в любой нормальной системе, работающей с деньгами, авторизация (в том числе неуспешная) юзера логируется. И как только кол-во запросов на авторизацию превышает определённый порог срабатывает защита (например, в виде капчи). Напиши свои соображения по обходу этой защиты.
Я знаю методы зашиты от брута.Цитата (Dalay_LAMO @ 11.1.2016)
Если есть уязвимость, позволяющая брутить, может есть и другие уязвимости, эксплуатация которых позволит получить профит сразу, а не через N времени?
Может и есть, а может и нет.Цитата (Dalay_LAMO @ 11.1.2016)
Троян и кейлоггер - это способ получить деньги жертвы. Ты же говоришь о подходах к поиску жертв - либо шерстить всех в поисках уязвимых (у подавляющего большинства из которых взять нечего), либо действовать избирательно - выбрать жертву и искать пути отъёма у неё денег. Первый путь не требует особых знаний и навыков.
Я тут не понял, что для тебя первое, то что ты цитируешь или то, о чем пишешь. Троян - не способ, а инструмент.
Кейлогер - способ, но не все программы позволяют снимать нажатия клавиш. В общем везде есть подводные камни, как подсказывает кэп. Конечно это можно обойти.
При индивидуальном подходе без СИ маловероятно заразить нужную машину. Так что любые мифические кейлогеры и трояны за десятки килобаксов нуждаются в кооперации с СИ.Цитата (Dalay_LAMO @ 11.1.2016)
По теме. Самый простой способ защиты - не афишировать свой ник (чтобы невозможно было построить ассоциативную цепочку ник в руме -> ник на форуме -> профиль в соцсети).
Если этого избежать не удалось, то необходимо включать голову и помнить, что вы можете оказаться целью атаки (и чем выше играемые лимиты, тем выше эта вероятность). Использование средств защиты (двухфакторной аутентификации, где она есть, RSA-токенов и криптостойких паролей) позволяет защититься от атаки рядового хакера.
Согласен. Разве что цепочка не так выглядит.
Ник в руме -> любая полезная информация о вас.
То есть, даже составляя правильные запросы в поисковых системах взломщик не должен найти информацию, которая может вывести его на ваш e-mail, ФИО, город, любую социальную сеть ( форумы и т.п. в том числе). -
Цитата (MegCecTpax @ 11.1.2016)
Я тут не понял, что для тебя первое, то что ты цитируешь или то, о чем пишешь. Троян - не способ, а инструмент.
Кейлогер - способ, но не все программы позволяют снимать нажатия клавиш. В общем везде есть подводные камни, как подсказывает кэп. Конечно это можно обойти.
При индивидуальном подходе без СИ маловероятно заразить нужную машину. Так что любые мифические кейлогеры и трояны за десятки килобаксов нуждаются в кооперации с СИ.
Я отвечал на пост, в котором ты спрашивал, куда отнести кейлогеры и трояны:Цитата (MegCecTpax @ 10.1.2016)
Вообще есть 2 кардинально разных подхода.
1. Ты ломаешь определенного человека. Тут нужен индивидуальный подход. Изучаешь жертву, составляешь досье.
2. Ты раскидываешь большую сеть, и ждешь пока рыба попадет в нее. То есть берешь количеством. Допустим есть база в 1 млн e-mail, рассылаешь всем фейк с акцией от GipsyTeam, ждешь улов.
Упомянутые тобою трояны и кейлогеры за десятки тысяч килобаксов к какой категории относятся?
Я с такой постановкой вопроса не согласен -т.к. (ты и сам уже написал) это технические инструменты изъятия денег, и применяются они при обоих подходах.
Включенная голова должна в первую очередь защитить от распространённых методов СИ (просто необходимо всегда в голове держать мысль о том, что тебя могут на*бать).
З.Ы. запрет использования каких-либо символов в паролях и ограничение их длины до непотребно-коротких значений (<32) - признак херовой конторы. Ни на какие технические ограничения в современных системах это списать нельзя - только на безответственное отношение к безопасности. -
1 человек читает эту тему (1 гость):
Зачем регистрироваться на GipsyTeam?
- Вы сможете оставлять комментарии, оценивать посты, участвовать в дискуссиях и повышать свой уровень игры.
- Если вы предпочитаете четырехцветную колоду и хотите отключить анимацию аватаров, эти возможности будут в настройках профиля.
- Вам станут доступны закладки, бекинг и другие удобные инструменты сайта.
- На каждой странице будет видно, где появились новые посты и комментарии.
- Если вы зарегистрированы в покер-румах через GipsyTeam, вы получите статистику рейка, бонусные очки для покупок в магазине, эксклюзивные акции и расширенную поддержку.
Для начала начну с опровержения одного распространенного мифа. Лицензионные антивирусы, лицензионная Windows и т.п. ни коим образом не защитят вас от взлома про который я буду вести речь.
А теперь собственно к делу.
Покер-рум предлагает создать пароль. Длина пароля 6-12 символов. Брутфорс - способ взлома, заключающийся в полном переборе всех возможных комбинаций. Представьте, что вам надо подобрать пароль состоящий из 3 цифр. Всего может быть 1000 возможных паролей, начиная с 000 и заканчивая 999. Набравшись терпения вы подберете пароль. Именно так этот метод и работает.
Как быстро можно взломать ваш пароль в покер-руме? Зависит от того, какой длины ваш пароль и использовали ли вы в пароле регистр. Без регистра количество символов, из которых вы можете создать пароль - 36. С регистром количество символов - 62.
Вот 2 таблицы, чтобы вы понимали, каким образом влияет длинна вашего пароля и использование регистра на время, нужное для полного перебора. Скорость перебора взята 100 000 паролей в секунду (класс атаки B, типичный для восстановления пароля из кэша Windows (.PWL файлов) на Pentium 100).
36 символов
62 символа
Что дает изучение этих таблиц? Если вы не используете регистр, а длина вашего пароля 6-7 знаков, то ваши деньги в опасности. Если вы используете регистр, а длина вашего пароля всего 6 знаков, то вы опять же в зоне риска.
Потому мой совет. Ваш пароль должен быть минимум 8 знаков с использованием регистра. Если это не так. То стоит поменять пароль в кратчайшие сроки.
Но это не самое уязвимое место, на мой взгляд. Самое же уязвимое это "Секретный вопрос" и "Секретный ответ". Всего 4-5 вариантов вопроса, без возможности создать свой "Секретный вопрос". Я объясню, как действует взломщик, чтобы вы поняли почему именно это мне кажется самым уязвимым местом. Взломщик вводит ваш логин, затем запускает алгоритм восстановления пароля. Система задает ему "Секретный вопрос", взломщик его записывает. Он знает вопрос, надо узнать ответ. Каким образом взломщик может узнать ответ? Надо узнать о жертве максимальное количество информации, которое возможно добыть в интернете. Правильно составленные поисковые запросы, склонность людей оставлять много информации в интернете, не задумываясь о ее ценности, служит хорошую службу взломщику. Из личного примера. Я знал только ник человека. 10 минут использования поисковых систем и я знал: ФИО, кем работает, где живет, домашний телефон, сотовый телефон, возраст, хобби, e-mail, ICQ, Skype. Может доходить до смешного "Секретный вопрос": "Девичья фамилия матери". Находим жертву в социальной сети, находим его мать, смотрим ее фамилию. Вводим, подошло. Элементарно, Ватсон.
Поэтому мой совет проконтролируйте, чтобы ответ на ваш "Секретный вопрос" нельзя было обнаружить в интернете. Указывать в "Секретном вопросе" любимое блюдо, а затем писать в социальной сети, что обожаете пиццу это крайне наивно.
Но это конечно же не все. Вы поставили пароль, который подбирается брутфорсом 100500 лет, ответ на ваш "Секретный вопрос" в интернете не лежит. Меня не взломать подумаете вы и будете не правы. Вы сами можете рассказать человеку ответ на "Секретный вопрос", не подозревая об этом. То есть вы сами поможете взломщику угнать ваш аккаунт. Этот метод называется социальная инженерия. А теперь подробнее. Взломщик нашел информацию о своей жертве, но среди этой информации нету ответа на "Секретный вопрос". Не беда. Он добавляется к вам в Skype, в ICQ, в Вконтакте, в Facebook и т.п. средствах общения. Я, как правило, пользовался гендерным преимуществом. То есть если жертва мужчина, то добавлялся я от женщины и наоборот. Ведется милая беседа. Цель взломщика узнать ответ на "Секретный вопрос". Если вопрос: "Кличка питомца", то в какой-то момент тема разговора переходит на домашних животных, вы вспоминаете своих питомцев, рассказываете интересные истории, как ваш Рекс бегал за белкой, а тем временем деньги с вашего аккаунта уезжают в неизвестном направлении.
Совет же прост: создайте такой ответ на "Секретный вопрос", который невозможно будет узнать у вас в непринужденной беседе.
Подведем итог:
1. Пароль должен быть длинною минимум 8 знаков и содержать регистр.
2. Ответ на "Секретный вопрос" не лежит в сети и его невозможно узнать у вас за непринужденной беседой.
Это то, что вы сами можете сделать, чтобы обезопасить свой аккаунт.
А Lotos Poker и 888 я бы советовал сделать минимальную длину пароля 8 знаков, сделать возможность создавать секретный вопрос самому, расширить выбор секретных вопросов, добавить SMS-аутентификацию. Лично я считаю, что скудный выбор секретных вопросов это ошибка службы безопасности 888 и Lotos Poker, из-за которой эта сеть, справедливо, имеет репутацию сети со слабой защитой.