no wlasnie tego nie mozna byc nigdy pewnym, czy to jest bezpieczne i czy ta strona wlasnie nie jest po to, zeby hasla zbierac. Tez moge napisac gdzies, ze bylem pracownikiem MS, poszukac jakiegos zdjecia pracownika w sieci itp. itd.
Nie, nie jest. Troy Hunt jest łatwo weryfikowalny, nie jest anonimową postacią w tym środowisku, a ta baza była opisywana w największych branżowych portalach. Trochę się na tych tematach znam. Poza tym, można ściągnąć całą bazę haseł na dysk i potem to zweryfikować. To opcja właśnie dla osób, które się czegokolwiek obawiają. A po trzecie, jak można zbierać hasła skoro nie wiadomo do jakich serwisów one służą? To dziwne, że przy takich okazjach ludzie wykazują ostrożność, jednocześnie nie stosując się do żadnych zasad bezpieczeństwa w innych przypadkach - używania skomplikowanych haseł, używania różnych haseł do różnych serwisów, nie publikowania nadmiernej ilości informacji o sobie.
Zgadzam się, że jest postacią znaną i weryfikowalną, ale gwoli ścisłości nie jest i nie był pracownikiem Microsoftu. Sam o tym pisze na swoim blogu:
For example, I have the Microsoft MVP and Regional Director roles (no, for the millionth time that doesn't mean I work for Microsoft!)
A teraz o tym:
To dziwne, że przy takich okazjach ludzie wykazują ostrożność...
Nie zgadzam się, że należy piętnować ostrożność (którą w moim wykonaniu, na własny użytek nazywam moją paranoją) zwłaszcza, że w tym samym zdaniu zakładasz, że ten ktoś w innych sytuacjach ostrożny nie jest. Również nigdy nie sprawdzę w tym serwisie swojego hasła. A to dlatego, że serwis Troya też może zostać zhackowny. Mimo, że facet ma łeb jak sklep są też ludzie, którzy mogą (i na pewno próbują) go przechytrzyć. A w ich interesie wtedy będzie, by serwis nadal działał tak jak do tej pory i by nikt nigdy się nie dowiedział. że ktoś tam jest i słucha.
A po trzecie, jak można zbierać hasła skoro nie wiadomo do jakich serwisów one służą?
Można i się to robi. Hasło takie można wrzucić do słownika. Takie słowniki można potem wykorzystywać w atakach brute force i przy generowaniu tablic tęczowych. Jak myślisz czemu Troy przy wspomnianej metodzie weryfikacji hasła lokalnie nie pozwala na ściąganie słownika haseł w zwykłym tekście? Sciągasz listę haszy, potem lokalnie haszujesz swoje hasło i sprawdzasz czy znalazło się na liście.
OK, mylnie zinterpretowałem hasło Microsoft Regional Director. Jakoś wydało mi się jasne, że to dyrektor regionalny i tym samym, że pracuje dla Ms.
Nie piętnuję ostrożności, tylko postawy nielogiczne w których zdecydowanie odmawia się użycia tego typu serwisu, jednocześnie korzystając z hasła jasiu1. Poza tym w jego serwisie jest ostrzeżenie, które sugeruje nie używanie go, jeśli hasła, które chcesz sprawdzić nadal używasz. To są kwestie wynikające z dekalogu bezpieczeństwa elektronicznego.
Brute force i atak słownikowy to dwa różne ataki. Oczywiście ściąga się hashe. Jeśli by były podane otwartym tekstem zwątpiłbym w inteligencję Hunta.
Nie piętnuję ostrożności, tylko postawy nielogiczne w których zdecydowanie odmawia się użycia tego typu serwisu, jednocześnie korzystając z hasła jasiu1.
To bardzo słusznie ale nie wiem czemu od razu zakładasz, że ktoś kto odmawia używania takiego serwisu to właśnie należy do grupy osób które korzystają z hasła jasiu1.
Poza tym w jego serwisie jest ostrzeżenie, które sugeruje nie używanie go, jeśli hasła, które chcesz sprawdzić nadal używasz.
To czemu Ty namawiasz ludzi żeby tam sprawdzali swoje hasła?
Brute force i atak słownikowy to dwa różne ataki.
Jasne. Możemy spierać się o słówka i nazwy. Ale jeśli widziałeś kiedyś jakieś narzędzie do pentestów to może byś zauważył, że tam od iterowania wszystkimi możliwymi sekwencjami z danego zestawu znaków do sprawdzania wartościami ze słowników jest najczęściej jeden checkbox do kliknięcia. Ja na własny użytek nazywam każdy atak, który wiąże się z wysyłaniem masy danych brute forcem i na swoją obronę powiem tylko, że to nauczyłem się tego od bezpieczników i pentesterów.
I na koniec... uff. Odebrałem Twój post jako nieco agresywny i nieco zbyt agresywnie odpowiedziałem. Może nawet to co napisałem powyżej nie jest również w zbyt łagodnym tonie, ale jest późno i nie będę już tego poprawiał. I za to Cię przepraszam, PEACE & LOVE. :-)
To bardzo słusznie ale nie wiem czemu od razu zakładasz, że ktoś kto odmawia używania takiego serwisu to właśnie należy do grupy osób które korzystają z hasła jasiu1.
Z doświadczenia.
To czemu Ty namawiasz ludzi żeby tam sprawdzali swoje hasła?
Namawiam, żeby sprawdzili i je zmienili. Żeby odeszli od przekonania, że to ich nie dotyczy. Żeby przekonali się na własne oczy, że ich hasło, które mieli za bezpieczne już gdzieś krąży.
Nie była moim celem agresja, choć oczywiście nie czuję się komfortowo, kiedy się ktoś ze mną nie zgadza ;) To oczywiście zupełnie normalne, że ktoś ma inne zdanie na ten czy inny temat. Chętnie się uczę nowych rzeczy i poznaję inne punkty widzenia, bo nie jestem (niestety) nieomylny.
no wlasnie tego nie mozna byc nigdy pewnym, czy to jest bezpieczne i czy ta strona wlasnie nie jest po to, zeby hasla zbierac. Tez moge napisac gdzies, ze bylem pracownikiem MS, poszukac jakiegos zdjecia pracownika w sieci itp. itd.
Nie, nie jest. Troy Hunt jest łatwo weryfikowalny, nie jest anonimową postacią w tym środowisku, a ta baza była opisywana w największych branżowych portalach. Trochę się na tych tematach znam. Poza tym, można ściągnąć całą bazę haseł na dysk i potem to zweryfikować. To opcja właśnie dla osób, które się czegokolwiek obawiają. A po trzecie, jak można zbierać hasła skoro nie wiadomo do jakich serwisów one służą? To dziwne, że przy takich okazjach ludzie wykazują ostrożność, jednocześnie nie stosując się do żadnych zasad bezpieczeństwa w innych przypadkach - używania skomplikowanych haseł, używania różnych haseł do różnych serwisów, nie publikowania nadmiernej ilości informacji o sobie.
Dokładnie ;) Samo hasło bez maila/loginu nic nie da.
Zgadzam się, że jest postacią znaną i weryfikowalną, ale gwoli ścisłości nie jest i nie był pracownikiem Microsoftu. Sam o tym pisze na swoim blogu:
A teraz o tym:
Nie zgadzam się, że należy piętnować ostrożność (którą w moim wykonaniu, na własny użytek nazywam moją paranoją) zwłaszcza, że w tym samym zdaniu zakładasz, że ten ktoś w innych sytuacjach ostrożny nie jest. Również nigdy nie sprawdzę w tym serwisie swojego hasła. A to dlatego, że serwis Troya też może zostać zhackowny. Mimo, że facet ma łeb jak sklep są też ludzie, którzy mogą (i na pewno próbują) go przechytrzyć. A w ich interesie wtedy będzie, by serwis nadal działał tak jak do tej pory i by nikt nigdy się nie dowiedział. że ktoś tam jest i słucha.
Można i się to robi. Hasło takie można wrzucić do słownika. Takie słowniki można potem wykorzystywać w atakach brute force i przy generowaniu tablic tęczowych. Jak myślisz czemu Troy przy wspomnianej metodzie weryfikacji hasła lokalnie nie pozwala na ściąganie słownika haseł w zwykłym tekście? Sciągasz listę haszy, potem lokalnie haszujesz swoje hasło i sprawdzasz czy znalazło się na liście.
OK, mylnie zinterpretowałem hasło Microsoft Regional Director. Jakoś wydało mi się jasne, że to dyrektor regionalny i tym samym, że pracuje dla Ms.
Nie piętnuję ostrożności, tylko postawy nielogiczne w których zdecydowanie odmawia się użycia tego typu serwisu, jednocześnie korzystając z hasła jasiu1. Poza tym w jego serwisie jest ostrzeżenie, które sugeruje nie używanie go, jeśli hasła, które chcesz sprawdzić nadal używasz. To są kwestie wynikające z dekalogu bezpieczeństwa elektronicznego.
Brute force i atak słownikowy to dwa różne ataki. Oczywiście ściąga się hashe. Jeśli by były podane otwartym tekstem zwątpiłbym w inteligencję Hunta.
To bardzo słusznie ale nie wiem czemu od razu zakładasz, że ktoś kto odmawia używania takiego serwisu to właśnie należy do grupy osób które korzystają z hasła jasiu1.
To czemu Ty namawiasz ludzi żeby tam sprawdzali swoje hasła?
Jasne. Możemy spierać się o słówka i nazwy. Ale jeśli widziałeś kiedyś jakieś narzędzie do pentestów to może byś zauważył, że tam od iterowania wszystkimi możliwymi sekwencjami z danego zestawu znaków do sprawdzania wartościami ze słowników jest najczęściej jeden checkbox do kliknięcia. Ja na własny użytek nazywam każdy atak, który wiąże się z wysyłaniem masy danych brute forcem i na swoją obronę powiem tylko, że to nauczyłem się tego od bezpieczników i pentesterów.
I na koniec... uff. Odebrałem Twój post jako nieco agresywny i nieco zbyt agresywnie odpowiedziałem. Może nawet to co napisałem powyżej nie jest również w zbyt łagodnym tonie, ale jest późno i nie będę już tego poprawiał. I za to Cię przepraszam, PEACE & LOVE. :-)
Nie była moim celem agresja, choć oczywiście nie czuję się komfortowo, kiedy się ktoś ze mną nie zgadza ;) To oczywiście zupełnie normalne, że ktoś ma inne zdanie na ten czy inny temat. Chętnie się uczę nowych rzeczy i poznaję inne punkty widzenia, bo nie jestem (niestety) nieomylny.
Dzięki sprawdzę