sekurak reposted this
Dziennikarz serwisu o2 zabrał się za opisywanie "olbrzymiego wycieku". Mamy tu np. ❌rekomendację żeby na względnie losowej stronie ~"wpisać hasło, żeby sprawdzić czy nie wyciekło" (!!!). ❌ Chyba nie muszę dodawać, że rekomendacja podawania jakichkolwiek swoich haseł (np. do Linkedin, Twittera, poczty, banku, ...) na losowej stronie jest ❌katastrofalnym❌ pomysłem. Po takim "podaniu hasła" rzeczywiście można uznać, że ono wyciekło. Wyciekło, w chwili kiedy je podaliśmy... ❌ Dodatkowo czytamy w leadzie newsa: "Każdy kto ma konto na LinkedInie, X(dawniej Twitter), MySpace, MyFitnesPal, Canvie, Badoo i kilkunastu innych portalach powinien natychmiast zmienić hasło." To też marna rekomendacja. Jeśli ktoś ma silne hasło, dwuczynnikowe uwierzytelnienie, nie powinien się niczego bać. ✅ Jeśli ktoś nie jest pewien czy jego hasło gdzieś wyciekło, to polecam wpisać emaila (login) w serwisie haveibeenpwned[.]com Jeszcze raz: wpisujemy tam email, nie hasło (!) i odpowiednio zmieniamy hasło w przypadku kiedy serwis zwróci info, że rzeczywiście nasze dane wyciekły 🔶 "Eksperci radzą, by wybierać silne, unikalne kombinacje" - tutaj z jednej strony sensowna rekomendacja. Z drugiej strony niewiele wnosząca, bo brak jej konkretów. Co to jest "silna kombinacja"? :-) Różne osoby zinterpretują to różnie. ✅ Osobiście w temacie haseł polecam: połączyć ze sobą 4+ nieoczywiste słowa (idealna wersja to 5+ nieoczywistych słów), tak żeby miały one w sumie >= 15 znaków. Takie hasło będzie bardzo trudne do złamania. ✅ Warto też korzystać z managerów haseł (wtedy wystarczy, że pamiętam jedno silne hasło, reszta jest generowana, przechowywana w managerze haseł) ✅ Dobrą rekomendacją jest używanie dwuczynnikowego uwierzytelnienia (dzięki temu, nawet jak ktoś zna moje hasło - nie zaloguje się na moje konto) ✅ I na koniec - pamiętajmy o unikalności haseł (różne hasła do różnych serwisów). Tutaj bardzo pomoże nam manager haseł :-)
Pomysł na dziś: Strona na której wpisujesz swój e-mail i hasło, żeby sprawdzić czy nie wyciekło. Może to jest idiotyczne, ale nie jedna, nie dwie osoby by się złapały, promując to za 200 zł na FB.
W przypadku długości hasła(personalnych) biorę pod uwagę rekomendację CISA - z tym, że jeden bank w Polsce ogranicza mi możliwość hasła dłuższego niż 20 znaków. Zastanawiam się dlaczego, zna ktoś odpowiedź? Chodzi o czerwony bank, z białym elementem w logo.
Cyberbezpieczenstwo to teraz nośny temat, każdy chce być specem 😡
Sam ten artykuł jest jak dobrze przygotowany phishing :) Ktoś nieświadomie, albo świadomie dobrze to ogarnął. 🙃
"Dziennikarz serwisu o2 " - to jednak nadużycie, to nie są dziennikarze...
W perc.pass dajemy możliwość sprawdzenia, czy hasła, z których korzystają nasi użytkownicy, nie pojawiły się w którymś ze znanych wycieków. Stosujemy bezpieczne podejście z przesłaniem części hasha, czyli jednokierunkowej funkcji skrótu pozwalającej na wyliczenie specjalnego ciągu znaków reprezentującego hasło. Dzięki temu z dostępnych baz możemy uzyskać wszystkie hashe skompromitowanych haseł rozpoczynające się od tego samego ciągu i porównać je już po stronie urządzenia właściciela danych. Podczas sprawdzania haseł nic, poza fragmentem skrótu (który jest w zupełności bezużyteczny dla potencjalnego napastnika), nie wychodzi poza urządzenie użytkownika, co zapewnia pełne bezpieczeństwo.
Dokładnie tak 😉
Przykład silnego hasła: 1~mlo0tek2~pelen3~palc0w&
Hasła z o2 latają w ruskich combosach chyba od 10 lat btw
IT Sec guy, manager with tech background, focused on understanding tech
1wCybernews faktycznie nie korzysta z dość bezpiecznego mechanizmu przesyłania częściowego hasha - jak w HIBP Ale nawet na HIBP czasem ludziom sugeruję weryfikację post-factum - weryfikację starego hasła już po jego zmianie... A z tą zmianą hasła przez każdego to już gruba przesada - wyciek haseł z LinkedIn był chyba w 2016-tym, z MySpace jeszcze wcześniej... ;)