Mudanca de senhas

[Jeep]

TL;DR;

seu admin é incompetente, mudem a senha, de preferencia para algo que so usem aqui.

extended version:

Bom, como vcs viram (ou nao, entao esta aqui -> http://forum.darkside.com.br/vb/showthread.php?t=46490 ) o vaca veio me avisar de um exploit que rodava em um soft do forum que permitia acesso remoto.

como essa brecha ficou aberta 2-3 semanas e esse exploit virou febre, é bem capaz que alguem scaneou a faixa de ip do forum, viu que tava com coisa e entrou tambem, entao, pelo sim, pelo nao, eu aconselho vcs a mudarem novamente a senha.

"de novo jeep?", sim, de novo, a 1a vez era necessario, na 2a foi noia minha, preferi pedir pra vcs mudarem a senha antes de ver melhor o assunto, e felizmente naquele caso nao era nada, agora novamente eu nao sei se mais alguem pegou, mesmo pegando as senhas sao criptografadas, mas gente com senhas de dicionario seriam vitimas mais faceis.

vou dar uma dica simples para vcs verem se suas senhas sao frageis. Vamos supor que vcs tenham a senha "testando123", bem fraca, né? mas olha que legal, no forum ela vira 523b06c9d2baf8c0396e1cb274a792f9 (tem o salt tambem, mas vamos nos ater a um exemplo mais simples), po, nunca que o cara vai conseguri decodificar isso, certo?

certo, porem...

algumas pessoas simplesmente comecaram a montar dicionarios enormes com o hash das senhas, entao basicamente eles cadastram trocentas combinacoes de letras, numeros, palavras de dicionario, etc etc, tiram o hash disso e fazem um sistema de busca.

por exemplo, entrem em http://md5.rednoize.com/ e coloquem 523b06c9d2baf8c0396e1cb274a792f9 e cliquem na lupinha verde, vcs vao ver ele devolver o "testando123"

entao, caso vcs queiram testar suas senhas, vcs podem calcular o md5 com alguma ferramenta online como http://md5-hash-online.waraxe.us/ e depois jogar a string em http://md5.rednoize.com/ e ver se ela esta cadastrada.

Agora, sera q esse site nao vai aproveitar e cadastrar sua senha? Sera que nao tem outros sites de busca ou dicionarios que vc baixa que possam ser mais completos? provavelmente. Entao, talvez seja mais seguro achar um site mais confiavel, ou baixar um soft pro seu micro, ou mesmo instalar alguma linguagem que tenha a funcao md5 e calcular com mais seguranca. Enfim, o assunto é extenso e eu estou loooonge de ser um bom exemplo.

um wiki sobre o assunto-> http://pt.wikipedia.org/wiki/MD5

um soft indicado na wiki -> http://www.md5summer.org/download.html

[Zigfried]

nao entendi mto bem


mas mudei!

[Jeep]

no wiki explica melhor, mas a grosso modo, tem um calculo feito em cima da sua senha que a transforma numa sequencia de caracteres que pelo menos ate hj nao foi possivel quebrar, e é essa sequencia (chamada de hash) que é armazenada no forum, e nao sua senha em texto simples.

"mas se nao da pra ler, como que o sistema sabe que eu digitei minha senha corretamente?"

Quando vc digita sua senha, ele transforma em hash, e compara esse hash com o hash do banco de dados do seu usuario, se eles forem iguais, esta aceito.

no exemplo acima, o testando123 vira 523b06c9d2baf8c0396e1cb274a792f9 e é isso que vai ser comparado, nao o "testando123".

e é isso que esses sites fazem, eles vao guardando os pares de senha e hash, tipo

testando123 - 523b06c9d2baf8c0396e1cb274a792f9
testando456 - 2971c971669c49cb576718bd8ba4748e
mudemelogo - dc1bef8089e8be27396fd86388d1648e
abc12 - b2157e7b2ae716a747597717f1efb7a0

ai quando vc entra com o hash, eles verificam se ja nao esta cadastrado e devolvem a senha "aberta"

[snake]

uma coisa interessante sobre md5 é que 2 palavras diferentes podem ter a mesma hash.
ou seja, sua senha pode ser "a4gHf762dh43", porém há chances de um simples "oi" ter a mesma hash. Se for o caso, ambas senhas vão logar. Mas claro que é raro isso acontecer.

[marz]

aparentemente a minha senha está cadastrada... deveria me preocupar?
nao pela minha conta no fórum, mas costumava usar essa mesma senha em outros lugares..

[Jeep]

eu evitaria de usar essa senha, se ela ja faz parte de um dicionario aberto ao publico, é muito mais facil de dar problemas, em suma, é uma senha "fraca"

[marz]

mas pq nao acrescentar todas as possibilidades de uma vez já no banco de dados, entao? quer dizer, se é possível fazer a conversão pro tal modo codificado.. simplesmente converter e acrescentar ao banco
se isto já estiver escrito no post inicial, ignore, nao li

[SsjGohan]

a minha não está nesse dicionário
vamos ver daqui um anos já q eu usei o site q o jeep colocou e ver se ela foi cadastrada, mas eu garanto q ng digita minha senha sem querer

[Zedd]

Pra quem não se ligar: Painel do Usuário, acima na esquerda, Edit Email & Password
Ouvi dizer que o número de suicídios por perda de contas que usavam o mesmo email cresceu um bilhão porcento de ontem pra hoje
Boa sorte a todos and god help us all

[Jeep]

Quote:

Postado por marz

mas pq nao acrescentar todas as possibilidades de uma vez já no banco de dados, entao? quer dizer, se é possível fazer a conversão pro tal modo codificado.. simplesmente converter e acrescentar ao banco
se isto já estiver escrito no post inicial, ignore, nao li

o objetivo é esse, so que o numero de combinacoes é mt grande, pegar todas as combinacoes de letras e numeros, mesmo esquecendo de simbolos (!@#$%¨0, maiusculas/minusculas e pontuacoes ja fica enorme, basicamente levariam decadas pra calcular e sei la quanto espaco pra armazenar. Mas sim, eventualmente vao ter isso.

e tambem, isso so funciona em situacoes onde pegam fisicamente o hash, como numa invasao que foi o que rolou aqui. Tentar logar na sua conta testando todas as combinacoes possiveis nao ia levar a nada, ate pq a maioria dos softs apos algumas tentativas erradas bloqueia por alguns minutos as proximas tentativas, ou seja, ai que nao ia dar mesmo.

[dos Pampas]

editei isso pois nao to nenhum pouco afim de entrar em uma nova discussao...

porem o que eu falei é a mais pura verdade, adios muchachos...

e nao vou fazer como o rocka qe diz que saiu da ds mas anda por ai dando positivos....


primeiro foi a maconha

depois o cigarro

agora será a DS

e livre de 3 vicios em menos de 1 anos.

[SsjGohan]

alguém ta de TPM

[Jeep]

pampas, o kenshin nao tem nada a ver com isso, foi uma falha do software de email do forum, ele so duvidou que o deadcow conseguiria entrar na maquina e ele conseguiu (me avisando antes), foi so uma aposta perdida sem maiores consequencias, o problema é se alguem de fora tambem aproveitou a brecha.

[dos Pampas]

mudei minha senha pra uma que nunca saberei novamente a nao ser que alguem me diga... =]. como nao vou perguntar faloooooooooou.


desconectando....

jeep, ia mandar por pm mas assim que terminar essa msg vou desconectar, entao se perceber um deposito nao mto generoso na sua conta essa semana é minha despedida. na verdade metade é despedida e metade é o que te devia já por prometido.

[phrango]

AE KENSHIN, OBRIGADO POR ESTRAGAR O FORUM.
QUAL O PROXIMO PLANO? ACABAR COM O NATAL?

[marz]

pampa, nao conhecia esse teu lado drama queen

tenho certeza q tu já vai sair pedindo pra alguém a senha dps de ler isso aqui eahueahu
agonia hein

[MdKBooM]

heoiuae VALEU KENSHIN!

[u0165]

boiei e fiquei com preguiça de entender melhor a essa hora

mas mudei.

[SuckerBuster]

EHAUIHEIAHEIAHeia
vaca ownou!!

BOA CABELO

[asmur]

mudei a poucas horas e nao lembro mais da senha;

[Kensha]

Como a minha senha da ds é a UNICA difernete de todas as outras, nao preciso me preocupar

aheuihaeiuhae os caras que tao falando que eu tenho a ver com isso deveriam tomar cartao por incitar o flame
bando de burros, e babacas
=*

Pampas, eu vi que vc editou, mas se vc quer sair por causa disso, por favor, a porta ta aberta mano! huiaheiuhaeiuhaei
Abraçao ae vei!

[seuboi]

mano, errei 3x na hora de confirmar minha nova senha uiehar, pqp

[u3663]

A conivência me espanta.

[night]

Não entendi, Saico.

[Buwem]

[Aveia-Quaker]

rainbow tables...

[Aqualure]

Nego já qria dar um tempo do forum, surgiu a aportunidade está indo, simples assim...

[Demé]

ele queria ser banido
e tentou atirar para todos os lados
mas pelo jeito ninguém entendeu.

pampas, pq isso? :/

[ragauskas]

eh nois, minha senha na ds eh diferente das outras pq eu sei q o vaca frequenta este lugar... então não trocarei!

[night]

Quote:

Postado por Buwem

Flame, xenofobia, futebol no comunidade, assinatura do tapatalk. Tudo no mesmo post. Só pq o amigo é um cara legal?


Pra mim tanto faz, mas entendo os drama queen

Bom, não sei se vocês perceberam, mas o cartão vermelho foi aplicado. Porém foi revertido depois de explicada a situação e o motivo do post.

[snake]

Quote:

Postado por Aveia-Quaker

rainbow tables...

Pensei em postar sobre isso, mas fiquei com preguiça de explicar uehfuehf
mas o número e tamanho das rainbow tables que vc acha por aí é impressionante

[Demé]

pode crer
tenho uma palestra de um perito forense computacional la em casa q fala sobre as rainbow tables
a da PF foi adquirida há pouco tempo e é ENORME, nao me lembro quão grande, mas é algo superior a centenas de teras
pericia forense RLZ!

[Chronos]

Mudei a senha, na verdade, nem lembrava qual a minha senha, aí resetei ela e vou deixar nessa mesma. huauhahu

[Bombastic]

porra a ds é invadida pelo kenshin, minha senha é postada nesse topico, ela ta na base q o jeep postou, eu uso ela em outros sites

puta q pariu tomar no cu

[night]

Qual parte do não foi o Kenshin quem invadiu vocês não entenderam?

Se bem que o Bombastica está obviamente trollando...

[mrxrsd]

Quote:

Postado por Bombastic

porra a ds é invadida pelo kenshin, minha senha é postada nesse topico, ela ta na base q o jeep postou, eu uso ela em outros sites

puta q pariu tomar no cu

todo mundo sabe que sua senha é: 67f4ba1f6ed042f257e3041bd82d4f08

[Sh3lld3r]

Que legal, tem q trocar de senha denovo, daqui a pouco vai rolar os leaks do q rola por pm, igual no fur affinity

[Bombastic]

AE O KENSHIN ME MANDOU AS CONVERSAS SECRETAS DA DS

ABRIREI UM SITE CHAMADO DS-LEAKS
VAMOS DESCOBRIR QUEM SAO OS FILHOS DA PUTA

abracos

[seuboi]

Ae, melhor acabar com essa porra toda e adotar leitores biométricos

[serjaum]

internet eh foda hauoehauioehuioaehoauie

[Kensha]

aehuaieohe ds-leaks pqp bomba
tentei positivar e nao due

[David]

Mas o salt não deveria impedir rainbowtable?

De qualquer jeito, a minha senha é bem aleatória. Mas eu confio no SALT.

[Mr. Valle]

Nem vou trocar minha senha...


[SPOILER]Problem, hacker?

[rini]

Bomba querendo descobrir os filhos da puta? HUEUHUUHEUAHUHUSHUHAUHEUHAURHAEUHHUE

[Bombastic]

Quote:

Postado por David

Mas o salt não deveria impedir rainbowtable?

De qualquer jeito, a minha senha é bem aleatória. Mas eu confio no SALT.

+-


tem q ver como o salt do forum é gerado

mas se o attacker tiver acesso a isso, ele pode implementar a mesma função pra gerar os hashs do dicionario dele(ele nao vai conseguir obviamente achar na internet um dicionario de md5 pronto pq o salt é diferente)

só da mais trabalho pro cara, mas com acesso ao salt + hashs é possivel quebrar tudo dado tempo suficiente

[patrick]

nao vou mudar

aerohiaeohirea

[phrango]

Ae gente, quando quiser postar algo que não pode fala que é aposta que ta suavão!

[vegetous]

http://www.onlinepasswordgenerator.com

GG

[zorba]

nem vou mudar
salt FTW

[asmur]

Eu não entendo porque não usar um método de criptografia de verdade. Usar hash é piada de mal gosto. Tão fácil fazer um scriptzinho usando AES ou 3DES.

[Bombastic]

Quote:

Postado por asmur

Eu não entendo porque não usar um método de criptografia de verdade. Usar hash é piada de mal gosto. Tão fácil fazer um scriptzinho usando AES ou 3DES.

pq nesse caso, se fizessem isso q vc ta falando o cara teria TODAS as senhas em plaintext

senhas nunca devem ser salvas usando algoritmos de chaves simetricas e etc

[maxcool]

minha senha não é baseada em dicionarios... ainda pesquisei no rednoize o md5 dela e não achou nada, então PROBLEM HACKNER?

[colher]

ae seu raquicker, pra facilitar, segue o md5 da minha senha:
3a2d7564baee79182ebc7b65084aabd1

beijos

[Sabbath]

Vou mudar... novamente... :P dessa vez pra uma cheia de letras e números e simbolos ninjas voadores...

[Oni]

Quote:

Postado por maxcool

minha senha não é baseada em dicionarios... ainda pesquisei no rednoize o md5 dela e não achou nada, então PROBLEM HACKNER?

minha também

[asmur]

Quote:

Postado por Bombastic

pq nesse caso, se fizessem isso q vc ta falando o cara teria TODAS as senhas em plaintext

senhas nunca devem ser salvas usando algoritmos de chaves simetricas e etc

ahn?

Code:

public class AES {

    char[] chave;
    byte[] salt = "a9v5n38s".getBytes();
    SecretKey encKey;

    public AES(char[] chave) {
        this.chave = chave;
        PBEKeySpec password = new PBEKeySpec(chave, salt, 1000, 128);
        try{
            SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
            PBEKey pbeKey = (PBEKey) factory.generateSecret(password);
            encKey = new SecretKeySpec(pbeKey.getEncoded(), "AES");
        } catch (Exception e){
            e.printStackTrace();
        }
    }
}

Grava a secretkey no banco e ja era. Pro cara roubar as senhas teria que conhecer o algoritmo.

[Zedd]

ALGORITMO
ALGORITMO DE FESTA
MA-AI O-OE HI-HI

[Bombastic]

Quote:

Postado por asmur

ahn?

Grava a secretkey no banco e ja era. Pro cara roubar as senhas teria que conhecer o algoritmo.

se o cara tem root na maquina, ele tem acesso ao banco e por consequencia a chave secreta na sua solucao, qual é a duvida q eu realmente nao entendi

[ZeroCarontE]

hash e criptografia simetrica tem suas funções
o hash é melhor nesse caso pq ele tem a magia/propriedade de q todos sabem o algoritmo, mas eh dificil conseguir a entrada do algoritmo a partir da saída. diferente de criptografia simétrica, onde isso é desejável (pra descriptografar).

a sugestão é não usar MD5, que já foi declarada "inadequada" nessa década, e sim SHA-2 (SHA256) ou pelo menos SHA-1
com ctz deve ter como alterar o algoritmo de hash no forum, mesmo que obrigue td mundo a entrar com uma senha nova na migração

PS: isso provavelmente nao resolve completamente o problema do dicionario, mas MD5 deve morrer de qq forma

[asmur]

Quote:

Postado por Bombastic

se o cara tem root na maquina, ele tem acesso ao banco e por consequencia a chave secreta na sua solucao, qual é a duvida q eu realmente nao entendi

e daí, ele nao vai conseguir logar com a secret key direto. Ele vai ter que saber o password e o salt pra chegar naquela secret key. Nem o próprio user vai saber a sua secret key.

[Bombastic]

Quote:

Postado por asmur

e daí, ele nao vai conseguir logar com a secret key direto. Ele vai ter que saber o password e o salt pra chegar naquela secret key. Nem o próprio user vai saber a sua secret key.

WAT? do q vc ta falando velho
chaves assimetricas nao funcionam assim

[Kamikaze-Vesgo]

feito coloquei a mesma senha do banco

[deadcow]

alterei a minha pra 2 animas 1 de teta e otro de bico rsrs

[Kensha]

que massa, coloquei a senha da ds la e descobriu hauirairiariair

[Aveia-Quaker]

Quote:

Postado por asmur

ahn?

Code:

public class AES {

    char[] chave;
    byte[] salt = "a9v5n38s".getBytes();
    SecretKey encKey;

    public AES(char[] chave) {
        this.chave = chave;
        PBEKeySpec password = new PBEKeySpec(chave, salt, 1000, 128);
        try{
            SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
            PBEKey pbeKey = (PBEKey) factory.generateSecret(password);
            encKey = new SecretKeySpec(pbeKey.getEncoded(), "AES");
        } catch (Exception e){
            e.printStackTrace();
        }
    }
}

Grava a secretkey no banco e ja era. Pro cara roubar as senhas teria que conhecer o algoritmo.

super seguro hein amigão?

[asmur]

esquece, seguro mesmo é usar md5.

[snake]

Md5+SALT, se sua senha não for baseada em palavras, e sim aleatória, acho bem seguro.
Dificilmente uma Rainbow Table vai conter sua senha e se for usar brute force vai levar muuuuito tempo.

[Bombastic]

Quote:

Postado por asmur

esquece, seguro mesmo é usar md5.

pra senhas o mais seguro é nao md5, mas hashs tipo SHA2 etc

oq vc ta pensando em utiliza é usado em comunicação segura, é outro problema

Quote:

Postado por snak3

Md5+SALT, se sua senha não for baseada em palavras, e sim aleatória, acho bem seguro.
Dificilmente uma Rainbow Table vai conter sua senha e se for usar brute force vai levar muuuuito tempo.

(1)

[marz]

eu mudei a minha, espero nao esquecer eaheah

[seuboi]

Quote:

Postado por snak3

Md5+SALT, se sua senha não for baseada em palavras, e sim aleatória, acho bem seguro.
Dificilmente uma Rainbow Table vai conter sua senha e se for usar brute force vai levar muuuuito tempo.

Que acontece se o cara usar DOUBLE RAINBOW?

YouTube

YouTube