Адрес для входа в РФ: exler.world
ВКонтактик поимели
Из ВКонтакта увели базу данных о пользователях (100.000.000 записей с паролями), продают её теперь в даркнете за один биткоин ($582,85).
Но трудно не умилиться рейтингу самых популярных паролей у пользователей ВК:
Место | Пароль | Поголовье |
1 | 123456 | 709,067 |
2 | 123456789 | 416,591 |
3 | qwerty | 291,645 |
4 | 111111 | 189,151 |
5 | 1234567890 | 156,614 |
6 | 1234567 | 141,620 |
7 | 12345678 | 107,799 |
8 | 123321 | 93,048 |
9 | 000000 | 91,981 |
10 | 123123 | 89,461 |
Так что если вы есть во Вконтактике, поменяйте на всякий случай пароль на надежный. И считайте ваш старый пароль "123456" скомпрометированным.
А вообще, конечно, в сотый раз повторю вместе с Носиком: нужно использовать устойчивые и вместе с тем уникальные пароли. Для каждого сервиса - свой пароль! Если есть двухфакторная аутентификация на важном сервисе (банкинг, соцсети) - обязательно ее включайте!
Понятно, что пароль типа "7j7AAV9DGj5633K2S3" запомнить почти невозможно. Ну так и не надо! Запомните один-единственный устойчивый пароль и используйте проверенные менеджеры паролей. Я много лет использую платный Roboform - он меня пока ни разу не подводил. А бесплатный Lastpass, на моей памяти, раза два вскрывали.
Кстати, сейчас пишу обзор нового интересного менеджера паролей, который работет по двухфакторной аутентификации через телефон, при этом вам пароли вручную вообще не требуется вводить. Интересная штука.
гугл-аутентификатором я уже пользовался (для аккаунта одной биткоин-биржи) на гэлэкси с4, не помню только, с каким адроидом, 4.2/4.3 или 4.4. когда с4 сдох, после его замены не было возможности зайти опять на эту биржу (и пароль я тоже забыл). слава богам, что по после контакта с ее техподдержкой по мылу, они дали мне ссылку на сброс пароля и отмену двухфауторной аутентификации с помощью гугла (надо было ввести код, полученный по смс).
только мастер-пароль - никак не годится. как я уже писал в другой теме, недавно обнаружил на компе, как на линуксе, так и на винде (где стояла авира фри) кучу малвари. честно скажу, я - идиот и долгое время пользовался фф-15 из-за одного жизненно нужного расширения, которое стало несовместимым с дальнейшими версия и, чуть позже, вообще всем линуксом без обновлений (в 2013м году несколько месяцев подряд не было времени вдумчиво прочитать последние арч-новости, поправить, что надо, и обновить систему. когда свободное время наконец появлось, обнаружил, что за это время поменялся принцип работы pacman/pacman-keyring и новые ключи не импортируются. короче, обновления стали невозможны). но, судя по дате модификации как минимум одного безусловно зараженного файла (апрель 2012, фф-15 вышел в сентябре того же года), заражение произошло еще до этого. там был, в том числе, и как минимум один кейлоггер. правда, за все это время не было украдено ни одного аккаунта и не были уведены деньги с пэйпала, несмотря на то, что некоторые из важных паролей (фейсбук, аська) хранились в конфигурационном файле пиджина вообще в открытом виде, а другие пароли или вводились вручную (самые важные, в т.ч. пэйпал), или были сохранены в фф/громоптице с постоянно вводимым вручную мастер-паролем.
Посоветую Lastpass, потому что сам им пользуюсь. Linux-Windows - бесплатно, Android - придется купить полную версию, но она недорогая - 1 доллар в месяц. Все перечисленное вами поддерживается.
Да хотя бы
Из ВКонтакта увели базу данных о пользователях
Берете каждую n-ую букву, начиная с первой, в английской раскладке.
начиная со второй итд.
Желательно чтобы ключевая фраза была такой, которую вы постесняетесь произнести перед другими)
Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?
Меня всегда занимал вопрос - а на каком основании я могу доверять "менеджерам паролей"?
На том же, что вы доверяете компьютерам вообще. Беспокоящиеся ставят линукс, параноики сами его компилируют из сорцов, остальным и так хорошо.
В принципе, открытый софт достаточно надежен благодаря общественному аудиту, алгоритмы известны, реализация - вот она, ковыряйтесь. И ковыряются, и дыры находят.
Но открытый софт традиционно фронтендами хромает и интеграцией всего и вся, поэтому я выбрал ластпасс. Доверять им у меня никаких причин нет, кроме двух - в случае серьезного косяка ластпасс потеряет больше чем я, поэтому безопасность моих данных для них жизненно важна. Кроме того, Lastpass долгое время имел офисы в одном здании с NSA, значит хотя бы от других разведок какая-никакая защита подразумевается.
А в остальном нету у вас выбора, либо менеджер паролей, либо два-три условно сложных пароля на все случаи жизни.
Ну банкам же вы доверяете, нет? А у них вообще ваши деньги лежат..
Ну и я полагаю, понятно, что пароли от платёжных систем и онлайн-банкингов по-любому запоминать надо.
Пользуюсь. Платным. Лет восемь.
Никуда переходить даже не думаю, особенно после двух якобы "вскрытий". - У ластпасса нет моих паролей, нет и никогда не было, у него сразу все зашифровано. Это можно украсть но прочесть это может только мой локальный клиент. Так что давайте, вскрывайте дальше.
Ничто не мешает всяким менеджерам паролей взломаться или поломаться. Ну и каждый раз лазить туда лениво.
Персональная карточка генерируется на сайте и может быть распечатана или сохранена, например, в телефоне как обычная картинка. Карточку можно показывать кому угодно, запоминать нужно минимум информации. Просто и удобно.
PS. Сам не проверял ещё, потому что пользуюсь KeePassX в линуксе.
А вообще соцcети зло.
Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?
Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".
Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?
Все понятно, нечетник. Нечетники отстой, четники рулят.
Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?
www.anekdot.ru
Знакомый ставил на apple id пароль FuckThisShit01, на что софтина сказла "такой пароль популярен, его ставить нельзя".
Это сколько народу должны были его поставить, что бы он стал популярным и несекьюрным?
Я пока еще не встречал ни одного ресурса, которы говорил бы "такой пароль популярен", только в анекдотах.
Самое близкое по смыслу что встречалось - это запрет повтора истекшего или скомпроментировавнного пароля.
Впрочем, жизнь сложная и разнообразная штука
Нет, вы неправильно ставите вопрос - это насколько большая дыра в apple id, что там хранят пароли в открытом виде и знают, какие наиболее популярные 😄.
Ну и прикол еще в том что первый человек, который сделал такой пароль - он же еще не знал, что тот станет популярным. Обрадует ли его apple однажды таким запросом "Извините, ваш пароль стал очень популярным - смените его" 😄?
Тем не менее, на случайно проверенных 100 аккаунтах у 92-х пароли из базы подошли 😄 Так что не волнуйтесь, она таки ещё достаточно актуальна 😉
Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.
А что касается вконтакта - там базу 2012 что ли года достали, толку от нее не особо.
Я какое-то время посвятил поиску альтернатив Lastpass, для меня важно чтоб менеджер не только хранил пароли, это все умеют, но и умел сам их в нужные поля вставлять. Особенно такое умение важно для телефона. На десктопе скопировать-вставить полегче, хоть и напрягает, а на телефоне это уже откровенно неудобно. Так вот я никакой вменяемой альтернативы не нашел, может не там искал, может люди добрые чо посоветуют, а то при всей моей симпатии к ластпассу, запасной вариант надо иметь.
Ну и славно. Вот только Lastpass значительно менее удобен, чем Roboform. Точнее, он вообще не работает с некоторыми режима входа, с которыми нормально работает Roboform.
LastPass хоть и вскрывали, ничего это не дало. На серверной стороне пароли хранятся в зашифрованном виде, а пароль для расшифровки используется только на локальной машине и не передается на сервер.
Можно еще использовать KeePass в связке с google drive или дропбокс или еще что.
А что касается вконтакта - там базу 2012 что ли года достали, толку от нее не особо.
Облака тоже иногда бывают доступны спецслужбам или взламываются. Мой выбор - Keepass с паролем и ключевым файлом, который лежит только на моих компьютерах/планшетах, база лежит на SD-карточке, ее копия - на флешке или другой SD-карточке, которая хранится в другом месте. Если все же выбирать облако, то стоит выбрать MEGA - там дают по 50 гиг, и всё хранится в зашифрованном виде, причем ключей у владельцев облака нет, они хранятся только у клиента, и система предлагает клиенту сразу сохранить у себя fingerprint, без которого никто файлы расшифровать не может. Именно поэтому у MEGA нет и не будет WebDAV и FTP-доступа.
geektimes.ru
Сразу вспомнилось:
– Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка. Набирай… и повторяй по буквам.
Чего он тянет…
Чингиз выдыхает и ледяным голосом произносит:
– Сорок тысяч обезьян в жопу сунули банан.
С.Лукьяненко. "Фальшивые зеркала". )))
https://geektimes.ru/post/276856/
Да ну нах, гон какой-то. Чтоб у всех 33 тыщ на 0211 кончалось? Ни в жисть не поверю))
https://geektimes.ru/post/276856/
Да уж 😉
Никогда не заморачивался с паролями там, где нет доступа к моим деньгам или моей работе. 123456 вполне неплох для всяких мордокниг, имхо.
Вот таких пользователей в первую очередь и имеют. Которые не заморачиваются.
Вот только социальную инженерию никто не отменял. Можно войти в ваш фб и, например, поразводить френдов на деньги. Кто-нибудь да клюнет.
Алекс, а что скажите по поводу 1Password?
А что про него можно скзаать? Оно работает и все. Одна рекомендация сначала положить базу на зашаренный ресурс типа dropbox. Тогда щастье настанет.
Алекс, а что скажите по поводу 1Password?
Не тестировал еще.
Не везде пройдет, многие ресурсы просят спецсимволы.
Так что 1P@ssword.
Хотя лично я предпочитаю просто "1"