fagmin
|
Mudanca de senhas
05-01-11, 02:28
#1
TL;DR;
seu admin é incompetente, mudem a senha, de preferencia para algo que so usem aqui. extended version: Bom, como vcs viram (ou nao, entao esta aqui -> http://forum.darkside.com.br/vb/showthread.php?t=46490 ) o vaca veio me avisar de um exploit que rodava em um soft do forum que permitia acesso remoto. como essa brecha ficou aberta 2-3 semanas e esse exploit virou febre, é bem capaz que alguem scaneou a faixa de ip do forum, viu que tava com coisa e entrou tambem, entao, pelo sim, pelo nao, eu aconselho vcs a mudarem novamente a senha. "de novo jeep?", sim, de novo, a 1a vez era necessario, na 2a foi noia minha, preferi pedir pra vcs mudarem a senha antes de ver melhor o assunto, e felizmente naquele caso nao era nada, agora novamente eu nao sei se mais alguem pegou, mesmo pegando as senhas sao criptografadas, mas gente com senhas de dicionario seriam vitimas mais faceis. vou dar uma dica simples para vcs verem se suas senhas sao frageis. Vamos supor que vcs tenham a senha "testando123", bem fraca, né? mas olha que legal, no forum ela vira 523b06c9d2baf8c0396e1cb274a792f9 (tem o salt tambem, mas vamos nos ater a um exemplo mais simples), po, nunca que o cara vai conseguri decodificar isso, certo? certo, porem... algumas pessoas simplesmente comecaram a montar dicionarios enormes com o hash das senhas, entao basicamente eles cadastram trocentas combinacoes de letras, numeros, palavras de dicionario, etc etc, tiram o hash disso e fazem um sistema de busca. por exemplo, entrem em http://md5.rednoize.com/ e coloquem 523b06c9d2baf8c0396e1cb274a792f9 e cliquem na lupinha verde, vcs vao ver ele devolver o "testando123" entao, caso vcs queiram testar suas senhas, vcs podem calcular o md5 com alguma ferramenta online como http://md5-hash-online.waraxe.us/ e depois jogar a string em http://md5.rednoize.com/ e ver se ela esta cadastrada. Agora, sera q esse site nao vai aproveitar e cadastrar sua senha? Sera que nao tem outros sites de busca ou dicionarios que vc baixa que possam ser mais completos? provavelmente. Entao, talvez seja mais seguro achar um site mais confiavel, ou baixar um soft pro seu micro, ou mesmo instalar alguma linguagem que tenha a funcao md5 e calcular com mais seguranca. Enfim, o assunto é extenso e eu estou loooonge de ser um bom exemplo. um wiki sobre o assunto-> http://pt.wikipedia.org/wiki/MD5 um soft indicado na wiki -> http://www.md5summer.org/download.html Last edited by Jeep; 05-01-11 at 02:40.. |
||||
Trooper
|
05-01-11, 02:33
#2
nao entendi mto bem
mas mudei! |
fagmin
|
05-01-11, 02:45
#3
no wiki explica melhor, mas a grosso modo, tem um calculo feito em cima da sua senha que a transforma numa sequencia de caracteres que pelo menos ate hj nao foi possivel quebrar, e é essa sequencia (chamada de hash) que é armazenada no forum, e nao sua senha em texto simples.
"mas se nao da pra ler, como que o sistema sabe que eu digitei minha senha corretamente?" Quando vc digita sua senha, ele transforma em hash, e compara esse hash com o hash do banco de dados do seu usuario, se eles forem iguais, esta aceito. no exemplo acima, o testando123 vira 523b06c9d2baf8c0396e1cb274a792f9 e é isso que vai ser comparado, nao o "testando123". e é isso que esses sites fazem, eles vao guardando os pares de senha e hash, tipo testando123 - 523b06c9d2baf8c0396e1cb274a792f9 testando456 - 2971c971669c49cb576718bd8ba4748e mudemelogo - dc1bef8089e8be27396fd86388d1648e abc12 - b2157e7b2ae716a747597717f1efb7a0 ai quando vc entra com o hash, eles verificam se ja nao esta cadastrado e devolvem a senha "aberta" |
Trooper
|
05-01-11, 02:47
#4
uma coisa interessante sobre md5 é que 2 palavras diferentes podem ter a mesma hash.
ou seja, sua senha pode ser "a4gHf762dh43", porém há chances de um simples "oi" ter a mesma hash. Se for o caso, ambas senhas vão logar. Mas claro que é raro isso acontecer. |
Trooper
|
05-01-11, 02:49
#5
aparentemente a minha senha está cadastrada... deveria me preocupar?
nao pela minha conta no fórum, mas costumava usar essa mesma senha em outros lugares.. |
fagmin
|
05-01-11, 02:51
#6
eu evitaria de usar essa senha, se ela ja faz parte de um dicionario aberto ao publico, é muito mais facil de dar problemas, em suma, é uma senha "fraca"
|
Trooper
|
05-01-11, 02:56
#7
mas pq nao acrescentar todas as possibilidades de uma vez já no banco de dados, entao? quer dizer, se é possível fazer a conversão pro tal modo codificado.. simplesmente converter e acrescentar ao banco
se isto já estiver escrito no post inicial, ignore, nao li |
Trooper
|
05-01-11, 02:59
#8
a minha não está nesse dicionário
vamos ver daqui um anos já q eu usei o site q o jeep colocou e ver se ela foi cadastrada, mas eu garanto q ng digita minha senha sem querer |
Trooper
|
05-01-11, 02:59
#9
Pra quem não se ligar: Painel do Usuário, acima na esquerda, Edit Email & Password
Ouvi dizer que o número de suicídios por perda de contas que usavam o mesmo email cresceu um bilhão porcento de ontem pra hoje Boa sorte a todos and god help us all |
fagmin
|
05-01-11, 03:07
#10
Quote:
e tambem, isso so funciona em situacoes onde pegam fisicamente o hash, como numa invasao que foi o que rolou aqui. Tentar logar na sua conta testando todas as combinacoes possiveis nao ia levar a nada, ate pq a maioria dos softs apos algumas tentativas erradas bloqueia por alguns minutos as proximas tentativas, ou seja, ai que nao ia dar mesmo. |
|
Trooper
|
05-01-11, 03:16
#11
editei isso pois nao to nenhum pouco afim de entrar em uma nova discussao...
porem o que eu falei é a mais pura verdade, adios muchachos... e nao vou fazer como o rocka qe diz que saiu da ds mas anda por ai dando positivos.... primeiro foi a maconha depois o cigarro agora será a DS e livre de 3 vicios em menos de 1 anos. Last edited by dos Pampas; 05-01-11 at 03:31.. |
Trooper
|
05-01-11, 03:21
#12
alguém ta de TPM
|
fagmin
|
05-01-11, 03:24
#13
pampas, o kenshin nao tem nada a ver com isso, foi uma falha do software de email do forum, ele so duvidou que o deadcow conseguiria entrar na maquina e ele conseguiu (me avisando antes), foi so uma aposta perdida sem maiores consequencias, o problema é se alguem de fora tambem aproveitou a brecha.
|
Trooper
|
05-01-11, 03:41
#14
mudei minha senha pra uma que nunca saberei novamente a nao ser que alguem me diga... =]. como nao vou perguntar faloooooooooou.
desconectando.... jeep, ia mandar por pm mas assim que terminar essa msg vou desconectar, entao se perceber um deposito nao mto generoso na sua conta essa semana é minha despedida. na verdade metade é despedida e metade é o que te devia já por prometido. |
Trooper
|
05-01-11, 03:42
#15
AE KENSHIN, OBRIGADO POR ESTRAGAR O FORUM.
QUAL O PROXIMO PLANO? ACABAR COM O NATAL? |
Trooper
|
05-01-11, 03:53
#16
pampa, nao conhecia esse teu lado drama queen
tenho certeza q tu já vai sair pedindo pra alguém a senha dps de ler isso aqui eahueahu agonia hein |
Trooper
|
05-01-11, 04:26
#17
heoiuae VALEU KENSHIN!
|
Trooper
|
05-01-11, 04:52
#18
boiei e fiquei com preguiça de entender melhor a essa hora
mas mudei. |
Trooper
|
05-01-11, 05:21
#19
EHAUIHEIAHEIAHeia
vaca ownou!! BOA CABELO |
Trooper
|
05-01-11, 06:27
#20
mudei a poucas horas e nao lembro mais da senha;
|
Trooper
|
05-01-11, 08:21
#21
Como a minha senha da ds é a UNICA difernete de todas as outras, nao preciso me preocupar
aheuihaeiuhae os caras que tao falando que eu tenho a ver com isso deveriam tomar cartao por incitar o flame bando de burros, e babacas =* Pampas, eu vi que vc editou, mas se vc quer sair por causa disso, por favor, a porta ta aberta mano! huiaheiuhaeiuhaei Abraçao ae vei! |
manboipig
|
05-01-11, 08:24
#22
mano, errei 3x na hora de confirmar minha nova senha uiehar, pqp
|
Trooper
|
05-01-11, 08:24
#23
A conivência me espanta.
|
Engineer
|
05-01-11, 08:28
#24
Não entendi, Saico.
|
Trooper
|
05-01-11, 08:42
#25
|
Trooper
|
05-01-11, 08:44
#26
rainbow tables...
|
Trooper
|
05-01-11, 08:46
#27
Nego já qria dar um tempo do forum, surgiu a aportunidade está indo, simples assim...
|
Trooper
|
05-01-11, 08:52
#28
ele queria ser banido
e tentou atirar para todos os lados mas pelo jeito ninguém entendeu. pampas, pq isso? :/ |
Trooper
|
05-01-11, 08:53
#29
eh nois, minha senha na ds eh diferente das outras pq eu sei q o vaca frequenta este lugar... então não trocarei!
|
Engineer
|
05-01-11, 08:57
#30
Bom, não sei se vocês perceberam, mas o cartão vermelho foi aplicado. Porém foi revertido depois de explicada a situação e o motivo do post.
|
Trooper
|
05-01-11, 09:27
#31
|
Trooper
|
05-01-11, 09:51
#32
pode crer
tenho uma palestra de um perito forense computacional la em casa q fala sobre as rainbow tables a da PF foi adquirida há pouco tempo e é ENORME, nao me lembro quão grande, mas é algo superior a centenas de teras pericia forense RLZ! |
Caldas
|
05-01-11, 10:04
#33
Mudei a senha, na verdade, nem lembrava qual a minha senha, aí resetei ela e vou deixar nessa mesma. huauhahu
|
The Alpha Male
|
05-01-11, 10:06
#34
porra a ds é invadida pelo kenshin, minha senha é postada nesse topico, ela ta na base q o jeep postou, eu uso ela em outros sites
puta q pariu tomar no cu |
Engineer
|
05-01-11, 10:19
#35
Qual parte do não foi o Kenshin quem invadiu vocês não entenderam?
Se bem que o Bombastica está obviamente trollando... |
Trooper
|
05-01-11, 10:32
#36
|
Trooper
|
05-01-11, 10:36
#37
Que legal, tem q trocar de senha denovo, daqui a pouco vai rolar os leaks do q rola por pm, igual no fur affinity
|
The Alpha Male
|
05-01-11, 10:42
#38
AE O KENSHIN ME MANDOU AS CONVERSAS SECRETAS DA DS
ABRIREI UM SITE CHAMADO DS-LEAKS VAMOS DESCOBRIR QUEM SAO OS FILHOS DA PUTA abracos |
manboipig
|
05-01-11, 10:46
#39
Ae, melhor acabar com essa porra toda e adotar leitores biométricos
|
Master Chief
|
05-01-11, 11:01
#40
internet eh foda hauoehauioehuioaehoauie
|
Trooper
|
05-01-11, 12:03
#41
aehuaieohe ds-leaks pqp bomba
tentei positivar e nao due |
Robson
|
05-01-11, 12:15
#42
Mas o salt não deveria impedir rainbowtable?
De qualquer jeito, a minha senha é bem aleatória. Mas eu confio no SALT. |
Trooper
|
05-01-11, 12:19
#43
Nem vou trocar minha senha...
[SPOILER]Problem, hacker? |
|
05-01-11, 12:28
#44
Bomba querendo descobrir os filhos da puta? HUEUHUUHEUAHUHUSHUHAUHEUHAURHAEUHHUE
|
The Alpha Male
|
05-01-11, 12:30
#45
Quote:
tem q ver como o salt do forum é gerado mas se o attacker tiver acesso a isso, ele pode implementar a mesma função pra gerar os hashs do dicionario dele(ele nao vai conseguir obviamente achar na internet um dicionario de md5 pronto pq o salt é diferente) só da mais trabalho pro cara, mas com acesso ao salt + hashs é possivel quebrar tudo dado tempo suficiente |
|
Trooper
|
05-01-11, 13:07
#46
nao vou mudar
aerohiaeohirea |
Trooper
|
05-01-11, 14:39
#47
Ae gente, quando quiser postar algo que não pode fala que é aposta que ta suavão!
|
Trooper
|
05-01-11, 14:42
#48
|
Trooper
|
05-01-11, 14:46
#49
nem vou mudar
salt FTW |
Trooper
|
05-01-11, 15:20
#50
Eu não entendo porque não usar um método de criptografia de verdade. Usar hash é piada de mal gosto. Tão fácil fazer um scriptzinho usando AES ou 3DES.
|
The Alpha Male
|
05-01-11, 15:47
#51
Quote:
senhas nunca devem ser salvas usando algoritmos de chaves simetricas e etc |
|
Banned
|
05-01-11, 15:52
#52
minha senha não é baseada em dicionarios... ainda pesquisei no rednoize o md5 dela e não achou nada, então PROBLEM HACKNER?
|
tony
|
05-01-11, 16:00
#53
ae seu raquicker, pra facilitar, segue o md5 da minha senha:
3a2d7564baee79182ebc7b65084aabd1 beijos |
R2D2
|
05-01-11, 16:03
#54
Vou mudar... novamente... :P dessa vez pra uma cheia de letras e números e simbolos ninjas voadores...
|
Trooper
|
05-01-11, 16:28
#55
|
Trooper
|
05-01-11, 17:07
#56
Quote:
Code:
public class AES { char[] chave; byte[] salt = "a9v5n38s".getBytes(); SecretKey encKey; public AES(char[] chave) { this.chave = chave; PBEKeySpec password = new PBEKeySpec(chave, salt, 1000, 128); try{ SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1"); PBEKey pbeKey = (PBEKey) factory.generateSecret(password); encKey = new SecretKeySpec(pbeKey.getEncoded(), "AES"); } catch (Exception e){ e.printStackTrace(); } } } |
|
Trooper
|
05-01-11, 18:08
#57
ALGORITMO
ALGORITMO DE FESTA MA-AI O-OE HI-HI |
The Alpha Male
|
05-01-11, 18:11
#58
|
Trooper
|
05-01-11, 19:16
#59
hash e criptografia simetrica tem suas funções
o hash é melhor nesse caso pq ele tem a magia/propriedade de q todos sabem o algoritmo, mas eh dificil conseguir a entrada do algoritmo a partir da saída. diferente de criptografia simétrica, onde isso é desejável (pra descriptografar). a sugestão é não usar MD5, que já foi declarada "inadequada" nessa década, e sim SHA-2 (SHA256) ou pelo menos SHA-1 com ctz deve ter como alterar o algoritmo de hash no forum, mesmo que obrigue td mundo a entrar com uma senha nova na migração PS: isso provavelmente nao resolve completamente o problema do dicionario, mas MD5 deve morrer de qq forma |
Trooper
|
05-01-11, 19:34
#60
e daí, ele nao vai conseguir logar com a secret key direto. Ele vai ter que saber o password e o salt pra chegar naquela secret key. Nem o próprio user vai saber a sua secret key.
|
The Alpha Male
|
05-01-11, 19:45
#61
|
Trooper
|
05-01-11, 21:33
#62
feito coloquei a mesma senha do banco
|
Trooper
|
06-01-11, 09:15
#63
alterei a minha pra 2 animas 1 de teta e otro de bico rsrs
|
Trooper
|
06-01-11, 09:21
#64
que massa, coloquei a senha da ds la e descobriu hauirairiariair
|
Trooper
|
06-01-11, 11:36
#65
Quote:
|
|
Trooper
|
06-01-11, 11:55
#66
esquece, seguro mesmo é usar md5.
|
Trooper
|
06-01-11, 12:01
#67
Md5+SALT, se sua senha não for baseada em palavras, e sim aleatória, acho bem seguro.
Dificilmente uma Rainbow Table vai conter sua senha e se for usar brute force vai levar muuuuito tempo. |
The Alpha Male
|
06-01-11, 12:23
#68
pra senhas o mais seguro é nao md5, mas hashs tipo SHA2 etc
oq vc ta pensando em utiliza é usado em comunicação segura, é outro problema (1) |
Trooper
|
06-01-11, 13:53
#69
eu mudei a minha, espero nao esquecer eaheah
|
|
|