no wlasnie tego nie mozna byc nigdy pewnym, czy to jest bezpieczne i czy ta strona wlasnie nie jest po to, zeby hasla zbierac. Tez moge napisac gdzies, ze bylem pracownikiem MS, poszukac jakiegos zdjecia pracownika w sieci itp. itd.
You are viewing a single comment's thread from:
Nie, nie jest. Troy Hunt jest łatwo weryfikowalny, nie jest anonimową postacią w tym środowisku, a ta baza była opisywana w największych branżowych portalach. Trochę się na tych tematach znam. Poza tym, można ściągnąć całą bazę haseł na dysk i potem to zweryfikować. To opcja właśnie dla osób, które się czegokolwiek obawiają. A po trzecie, jak można zbierać hasła skoro nie wiadomo do jakich serwisów one służą? To dziwne, że przy takich okazjach ludzie wykazują ostrożność, jednocześnie nie stosując się do żadnych zasad bezpieczeństwa w innych przypadkach - używania skomplikowanych haseł, używania różnych haseł do różnych serwisów, nie publikowania nadmiernej ilości informacji o sobie.
Dokładnie ;) Samo hasło bez maila/loginu nic nie da.
Zgadzam się, że jest postacią znaną i weryfikowalną, ale gwoli ścisłości nie jest i nie był pracownikiem Microsoftu. Sam o tym pisze na swoim blogu:
A teraz o tym:
Nie zgadzam się, że należy piętnować ostrożność (którą w moim wykonaniu, na własny użytek nazywam moją paranoją) zwłaszcza, że w tym samym zdaniu zakładasz, że ten ktoś w innych sytuacjach ostrożny nie jest. Również nigdy nie sprawdzę w tym serwisie swojego hasła. A to dlatego, że serwis Troya też może zostać zhackowny. Mimo, że facet ma łeb jak sklep są też ludzie, którzy mogą (i na pewno próbują) go przechytrzyć. A w ich interesie wtedy będzie, by serwis nadal działał tak jak do tej pory i by nikt nigdy się nie dowiedział. że ktoś tam jest i słucha.
Można i się to robi. Hasło takie można wrzucić do słownika. Takie słowniki można potem wykorzystywać w atakach brute force i przy generowaniu tablic tęczowych. Jak myślisz czemu Troy przy wspomnianej metodzie weryfikacji hasła lokalnie nie pozwala na ściąganie słownika haseł w zwykłym tekście? Sciągasz listę haszy, potem lokalnie haszujesz swoje hasło i sprawdzasz czy znalazło się na liście.
OK, mylnie zinterpretowałem hasło Microsoft Regional Director. Jakoś wydało mi się jasne, że to dyrektor regionalny i tym samym, że pracuje dla Ms.
Nie piętnuję ostrożności, tylko postawy nielogiczne w których zdecydowanie odmawia się użycia tego typu serwisu, jednocześnie korzystając z hasła jasiu1. Poza tym w jego serwisie jest ostrzeżenie, które sugeruje nie używanie go, jeśli hasła, które chcesz sprawdzić nadal używasz. To są kwestie wynikające z dekalogu bezpieczeństwa elektronicznego.
Brute force i atak słownikowy to dwa różne ataki. Oczywiście ściąga się hashe. Jeśli by były podane otwartym tekstem zwątpiłbym w inteligencję Hunta.
To bardzo słusznie ale nie wiem czemu od razu zakładasz, że ktoś kto odmawia używania takiego serwisu to właśnie należy do grupy osób które korzystają z hasła jasiu1.
To czemu Ty namawiasz ludzi żeby tam sprawdzali swoje hasła?
Jasne. Możemy spierać się o słówka i nazwy. Ale jeśli widziałeś kiedyś jakieś narzędzie do pentestów to może byś zauważył, że tam od iterowania wszystkimi możliwymi sekwencjami z danego zestawu znaków do sprawdzania wartościami ze słowników jest najczęściej jeden checkbox do kliknięcia. Ja na własny użytek nazywam każdy atak, który wiąże się z wysyłaniem masy danych brute forcem i na swoją obronę powiem tylko, że to nauczyłem się tego od bezpieczników i pentesterów.
I na koniec... uff. Odebrałem Twój post jako nieco agresywny i nieco zbyt agresywnie odpowiedziałem. Może nawet to co napisałem powyżej nie jest również w zbyt łagodnym tonie, ale jest późno i nie będę już tego poprawiał. I za to Cię przepraszam, PEACE & LOVE. :-)
Nie była moim celem agresja, choć oczywiście nie czuję się komfortowo, kiedy się ktoś ze mną nie zgadza ;) To oczywiście zupełnie normalne, że ktoś ma inne zdanie na ten czy inny temat. Chętnie się uczę nowych rzeczy i poznaję inne punkty widzenia, bo nie jestem (niestety) nieomylny.