Comments 28
UFO just landed and posted this here
Врятли все «люди с такими паролями» — программисты. Наверняка там много обычных пользователей зашедших посмотреть что есть что.
Ну не совсем. На GitHub начали сидеть как ученые, так и писатели. Они через гит книги пишут.
И 3D-визуализаторы github.com/blog/1633-3d-file-diffs
я думал самым популярным будет — GitHubPassword
Хорошая реклама. Срочно переходим с md5 на bcrypt (он медленнее шифруется).
Кстати, мне кажется, полезно поставить рандомную паузу с серверной стороны перед ответом о том, что пароль подошёл или нет. Так перебирать придётся дольше.
Кстати, мне кажется, полезно поставить рандомную паузу с серверной стороны перед ответом о том, что пароль подошёл или нет. Так перебирать придётся дольше.
Эмм, я недопонял, откуда им известны перебираемые пароли, они их что, логируют что ли?
Может по радужным таблицам не обломались проверить
Логируют, наверняка, неудачные попытки аутентификации. Соответственно, увидили всплеск таких попыток, подняли логи и сдедали вывод о брутфорс-атаке.
Все равно это брешь в защите! А что, если я по ошибке/запарке введу пароль от своей почты, а потом эти логи кто-нибудь почитает?
А если там посолённые bcrypt и хранятся они только сутки?
Если Вы параноик, то давно поставили себе 1Password или его аналог и не вводите пароли руками и даже не придумываете их, а генерируете. Брешью в защите это назвать сложно – тут скорее Ваша невнимательность. _Всё_, что Вы отправляете в сеть, навсегда остается здесь. Если не в логах гитхаба, то в логах провайдера или ещё кого-то, помните об этом, нажимая Enter в окне браузера.
И, если по хорошему, Вы представляете себе что такое «почитать логи гитхаба», даже предположив, что у Вас появился чудесным образом доступ к ним?
И, если по хорошему, Вы представляете себе что такое «почитать логи гитхаба», даже предположив, что у Вас появился чудесным образом доступ к ним?
для случая с поисковиками и поисковой строкой того же github, даже нажатия на enter не потребуется.
Это именно брешь в защите. По сети пароль отправляется в защищённом виде, провайдер его не знает. А наличие в итоге пароля в открытом виде с доступом для чтения кому попало (анализировать его должны же) — огромнейшая уязвимость.
Почитать логи — именно что прекрасно представляю. Руками практически ничего делать не надо — всё анализируется существующими скриптами, в худшем случае — с десяток тысяч строк просмотреть и выбрать наиболее интересное, что уже потом внимательнее изучать.
Почитать логи — именно что прекрасно представляю. Руками практически ничего делать не надо — всё анализируется существующими скриптами, в худшем случае — с десяток тысяч строк просмотреть и выбрать наиболее интересное, что уже потом внимательнее изучать.
В логах вестимо.
UFO just landed and posted this here
Не знал что на гитхабе есть двухфакторная авторизация. Автору спасибо! Сразу включил.
Причем здесь bcrypt и брутфорс?)
В форму вводится пароль, в API тоже есть basic аутентификация. Почему сложность атаки в данном случае зависит от алгоритма хэширования пароля?
В форму вводится пароль, в API тоже есть basic аутентификация. Почему сложность атаки в данном случае зависит от алгоритма хэширования пароля?
Sign up to leave a comment.
Брутфорс атака на GitHub