Это если а) вы действительно надежные хэш функции используете б) юзеры используют надежные пароли. Основная проблема - во втором. Когда у злоумышленника есть хэши, простые пароли не проблема найти обычным перебором
KingRing @ 16.2.2016 Если у кого-то недобросовестного есть доступ к вашему алгоритму шифрования, ему никто не мешает через него прогнать словарь паролей и потом уже сравнить хеши и реверснуть пароли.
KingRing @ 16.2.2016 правильно ведь я понимаю, что у вас получается различный хеш для одого и того же пароля по причине использования разной соли? вероятно значения соли у вас также где-то хранятся и ими можно воспользоваться. Такой подход конечно делает нереальным взлом всей базы пользователей, т.к. значительно усложняет задачу.
DimOK @ 16.2.2016 Кажется swordfish говорит о PBKDF2 (или bcrypt), это стандартные алгоритмы хеширования и они хорошие, подобрать их сложно. Если это действительно так, то никаких претензий к сайту в том, что он плохо хранит пароли нет и быть не может.
У нас нет данных, что кто-то недобросовестный имеет доступ к алгоритму шифрования, так что это еще одна сильная его сторона. Проблема перебора и словарей очевидно решается солью и алгоритмической сложностью вычисления хеша.
pnp42 @ 16.2.2016 Я не сильно большой специалист в шифровании, но вот даже в банках, с бюджетами на службу безопасности и IT на пару порядков (имхо) больше, чем у вас, время от времени воруют базы. Так что тут вы либо лукавите, либо вы неуловимые Джо.
Мы не можем утверждать, что у нас никогда ничего не утекало. Более того, доказать отсутствие чего-то существенно сложнее, чем наличие чего-то. Но в статье по указанной ссылке фактов нет. А еще мы не банк, и не стремимся быть абсолютно защищенными, хотя предложения авторизации по паспорту и фотографии периодически возникают на форуме. Просто поддерживаем безопасность на уровне.
KingRing @ 16.2.2016 В общем думаю, что можно не переживать :)
А еще можно придумать наконец отдельный пароль для каждого сервиса (Sticky Password, LastPass и 1password в помощь), включить двухфакторную авторизацию и перестать хранить деньги в аккаунте на GipsyTeam.
Да если кто-то хранит существенные деньги на скрилле и не использует токен, более того пароль от скрилла у него совпадает с паролем на форуме, то он идиот. Джипситим тут не при чем.
Что думаете по поводу гугл аутентификатора, который есть в настройках безопасности? Насколько его проблемно обойти? И есть ли существенная разница между ним и токеном?
Gunpowder @ 16.2.2016 Что думаете по поводу гугл аутентификатора, который есть в настройках безопасности? Насколько его проблемно обойти? И есть ли существенная разница между ним и токеном?
Никакой разницы, токен - это железный генератор, а гугльаутентификатор - программный. Обойти без доступа к закрытому ключу (который вшит в токен и добавляется в гугльаутентификатор) невозможно.
Вторым постом в этой теме должно было быть сообщение от McArrow, но в начале четвертой страницы тоже хорошо.
В ноябре у меня взломали скрилл и вывели оттуда деньги. Это произошло как раз в тот день когда Димок закончил марафон, и прислал мне мою долю, в размере 0.3%. В итоге спиздили около 1600 евро. Благо после неудачно попытки депнуть, в этот же день, я заметил что деньги ушли куда-то Азию. Позвонил, с деньгами попрощался. Через месяц переписок,посылания доков и писем деньги, о чудо, вернули. Потрачу на отпуск с женой и ребенком.
До этого не следил за темой взломов, но теперь начал смотреть. Те кто регуляры данной темы, за последнее время увеличилось количество взломов или нет?
Установил двухэтапную авторизацию через Гугл Аунтефикатор. И всем советую.
Anuar55 @ 16.2.2016 Скрилл , сейчас выходит ТОП-1 в кардинге , его будут ломать все чаще и больше. Если у вас ВИПка в скрилле ,и вы не пользуетесь вот такой хренью
то это упрощает "ломать" ваши учетки.
спокойствие стоит всего-то 16$ ,так что не жмитесь У кого нет такой в функции в настройках ,пишите письмо в суппорт вам её добавят без проблем,оплатите и вам пришлют токен!!!
swordfish @ 16.2.2016 Алгоритм, который мы используем, не поддается расшифровке (по крайней мере миллион долларов за решение этой проблемы еще никому не выплатили).
Ой-ли, получить белый миллион+грамоту+медаль конечно мечта большинства айтишников, но срубить бабла по черному-адский соблазн, даже если получит свой лям, гарантий публикации в открытый доступ сего дива нет, чтобы не нагнетать ажиотаж, спекуляции и прочее.. По аналогии с разработками двигателей с альтернативными источниками энергии, кои патенты на корню выкупаются нефтегазодобывающими компаниями и пылятся в чуланах до лучших времен.
ssssss @ 16.2.2016 Ой-ли, получить белый миллион+грамоту+медаль конечно мечта большинства айтишников, но срубить бабла по черному-адский соблазн, даже если получит свой лям, гарантий публикации в открытый доступ сего дива нет, чтобы не нагнетать ажиотаж, спекуляции и прочее.. По аналогии с разработками двигателей с альтернативными источниками энергии, кои патенты на корню выкупаются нефтегазодобывающими компаниями и пылятся в чуланах до лучших времен.
Т.е. человек может заработать миллион + получить работу с нехилой зарплатой, причем все это легально. Но он будет воровать копейки у русских покеристов, у которых пароль от скрилла совпадает с паролем от джипситим? Это примерно, как если бы сейчас feruell перенесся в 2007-й год и начал отмывать стартовые полтинники от покерстрэтеджи.
swordfish @ 16.2.2016 И я серьезно говорил, что мы сами тоже не знаем паролей наших пользователей, они подставляются при выполнении операций на сайте в зашифрованном виде, поэтому кража нашей базы ничего не даст злоумышленникам. Максимум, что можно получить - это логины и имэйлы, но у нас нет оснований для подозрений о том, что кто-то получил доступ к какой-либо из наших баз данных.
Еще в мою молодость, 15 лет назад, было модно вставлять свой код в код страниц на взломанных серверах.
1 Пользователь ввел данные 2 Обработали введенные данные (получили хэш-хуеш) 3 Сравнили с существующим хэшем ...... Если я взломал ваш сайт, я в коде программы добавлю шаг 1.5 на котором не буду шифровать введенный пользователем пароль, а запишу его в файл.
Любой программист (да и простой школьник) который у вас работал/работает/будет работать (или может взломал) сможет узнать пароли всех пользователей.
Sex4Fun, в 2001 весь интернет можно было на одном CD купить на горбушке. А еще, за много лет до этого, придумали метод терморектального криптоанализа - работает до сих пор. Ну и школьников мы всех уволили.
au121 @ 16.2.2016 Т.е. человек может заработать миллион + получить работу с нехилой зарплатой, причем все это легально. Но он будет воровать копейки у русских покеристов, у которых пароль от скрилла совпадает с паролем от джипситим? Это примерно, как если бы сейчас feruell перенесся в 2007-й год и начал отмывать стартовые полтинники от покерстрэтеджи.
Т.е. человек может прочитать текст + намотать на ус, причем осмысленно. Но он будет писать белиберду, как если бы Пелевин перенесся в 2007-й год и начал перечитывать произведения Донцовой.
п.с.
воровать копейки у русских покеристов, у которых пароль от скрилла совпадает с паролем от джипситим? на 100500 месте в списке возможной очереди
У меня пароли на ГТ и Скрилл не совпадают. В 20х числах января при входе в Скрилл я получил сообщение, что мой аккаунт заблокирован из соображений безопасности и мне нужно сменить пароль. Пароль изменил (пришлось отправить письмо в службу поддержки).
Пока аккаунт был залочен активно штудировал тему на ГТ про взломы Скрилла. В те же дни еще несколько человек испытывали такие же проблемы.
Связано это с ГТ или просто массовые попытки взлома акков Скрилла я не знаю. Саппорт Скрилла проигнорировал мои вопросы о характере угрозы безопасности из-за которой был залочен акк.
au121 @ 16.2.2016 Т.е. человек может заработать миллион + получить работу с нехилой зарплатой, причем все это легально. Но он будет воровать копейки у русских покеристов, у которых пароль от скрилла совпадает с паролем от джипситим? Это примерно, как если бы сейчас feruell перенесся в 2007-й год и начал отмывать стартовые полтинники от покерстрэтеджи.
Для начала нужно разобраться в вопросе. Есть такая штука как эксполойт или связки обычно покупают. Они используют уязвимости, чтобы получить доступ или чтото там к компу
Цена за связки для кардеров выльется в примерно 100к .
Если какойто програмер расшифрует ту штуку о которой вы там писали, то нах ему 1кк? Он либо подписку либо колво расшифрованных символов платными. Это принесет ему милионов так 100-150 изи. Это как Feruell вернулся в 2007 и купил Старзы, Фтп и Айпокер.
McArrow @ 16.2.2016 Sex4Fun, в 2001 весь интернет можно было на одном CD купить на горбушке. А еще, за много лет до этого, придумали метод терморектального криптоанализа - работает до сих пор. Ну и школьников мы всех уволили.
Те кто пользуется токенами, обхясните мне, вы токены для всего держите? У меня везде стоит двух этапная авторизация, если бы я для всего токены держал, мне бы с чемоданом токенов пришлось ходить. Единственный вопрос, когда старзы додумаются сделать себе авторизацию через программный токен, так как смс сервис у них до сих пор через раз работает.
Вы сможете оставлять комментарии, оценивать посты, участвовать в дискуссиях и повышать свой уровень игры.
Если вы предпочитаете четырехцветную колоду и хотите отключить анимацию аватаров, эти возможности будут в настройках профиля.
Вам станут доступны закладки, бекинг и другие удобные инструменты сайта.
На каждой странице будет видно, где появились новые посты и комментарии.
Если вы зарегистрированы в покер-румах через GipsyTeam, вы получите статистику рейка, бонусные очки для покупок в магазине, эксклюзивные акции и расширенную поддержку.
Да если кто-то хранит существенные деньги на скрилле и не использует токен, более того пароль от скрилла у него совпадает с паролем на форуме, то он идиот. Джипситим тут не при чем.
Соль, радужные таблицы,PBKDF2, ну хоть что то новое на форуме
Что думаете по поводу гугл аутентификатора, который есть в настройках безопасности? Насколько его проблемно обойти? И есть ли существенная разница между ним и токеном?
Здравствуйте, я идиот.
А как повлияет на бекинг? Будут постить от гуд игроков а ники другие вписывать) мусорка получится
У меня пароли на ГТ и Скрилл не совпадают.
Те кто пользуется токенами, обхясните мне, вы токены для всего держите? У меня везде стоит двух этапная авторизация, если бы я для всего токены держал, мне бы с чемоданом токенов пришлось ходить.
У нас нет данных, что кто-то недобросовестный имеет доступ к алгоритму шифрования, так что это еще одна сильная его сторона.
Проблема перебора и словарей очевидно решается солью и алгоритмической сложностью вычисления хеша.
Мы не можем утверждать, что у нас никогда ничего не утекало. Более того, доказать отсутствие чего-то существенно сложнее, чем наличие чего-то. Но в статье по указанной ссылке фактов нет.
А еще мы не банк, и не стремимся быть абсолютно защищенными, хотя предложения авторизации по паспорту и фотографии периодически возникают на форуме. Просто поддерживаем безопасность на уровне.
А еще можно придумать наконец отдельный пароль для каждого сервиса (Sticky Password, LastPass и 1password в помощь), включить двухфакторную авторизацию и перестать хранить деньги в аккаунте на GipsyTeam.