Διέρευσε βάση δεδομένων που περιλαμβάνει 10 δισεκατομμύρια password

[pcos]

 

[Tablet]

Διαρροές από πια site και υπηρεσίες?

Μηπως απλά είναι ένα text με random user name και passwords?😅

Πέρα από την πλάκα μόνο Apple Keychain έχω εδώ και 15+ χρόνια δεν σώζω πουθενά αλλού τους κωδικούς μου!

Επεξ/σία 10 Ιουλίου από Tablet

[Ola150]

Το μόνο email που έχει γλιτώσει είναι αυτό που είχα βάλει ΜΟΝΟ στην PayPal. Εντάξει το commoner που είχα φτιάξει πριν 15 χρόνια είναι σχεδόν παντού, καλά πήγε αυτό 😂

[gokuthelegend]

2 ώρες πριν, Xvipes είπε

Πες μου τον κωδικό σου να δω αν διέρρευσε. 

Τα τελευταία 8 ψηφία του π.

Η διαρροή αφορά usernames / emails με passwords ή σκέτα τα passwords;

Επεξ/σία 10 Ιουλίου από gokuthelegend

[VanJ]

9 ώρες πριν, Eloy είπε

Keepass for ever

Εχω πάνω απο 150 userid/passwords... Χωρίς το keypass (ή κάποια άλλη ανάλογη εφαρμογή) δεν θα μπορούσε να είναι εφικτό αυτό...

"KeePass Exploit Allows Attackers to Recover Master Passwords from Memory"

"Warning As 1Password, DashLane, LastPass And 3 Others Leak Passwords"

"Norton Password Manager breach: nearly one million users targeted"

"Password Managers Keep Getting Hacked. Should You Still Trust Them?"

"Why Using SMS Authentication for 2FA Is Not Secure"

"Disadvantages of two-factor authentication: 1. Factors can get lost, 2. it was able to be completely bypassed with no effort, 3. Hackers can set up or reconfigure two-factor authentication to keep you out of your own accounts"

Το passkey φαίνεται ασφαλές για τώρα, αλλά δεν ξέρω τι θα γίνει αν χαθεί το passkey. Πχ αν κάνεις register με passkey μέσω apple και τα κρατάς όλα εκεί, μέσω cloud μπορείς να κάνεις passwordless sign-in με οποιαδήποτε συσκευή apple. Αν είσαι σε non-apple και το passkey σου ήταν σε apple, σου δείχνει QR code το οποίο σκανάρεις μέσω του iphone και ξεκλειδώνει η εφαρμογή/υπηρεσία στην non-apple συσκευή σου. Αν χάσεις το κινητό σου, τα passkeys γίνονται restore στην νέα σου συσκευή. Αν όμως αποφασίσεις να πετάξεις το iphone και να πας σε android τι κάνεις; (Ισχύει και το αντίθετο, η google αποθηκεύει στο δικό της οικοσύστημα). Αν είσαι διακοπές και χάσεις το κινητό σου και πάρεις καινούριο, δεν μπορείς να το κάνεις setup επειδή δεν έχεις μαζί σου 2η συσκευή ώστε να κάνεις authentication την νέας σου συσκευής. Δεν μπορείς να μπεις στους λογαριασμούς σου ούτε μέσω internet cafe. Είναι σαν να βάζεις πόρτα θησαυροφυλακίου στο σπίτι σου και να χάνεις το κλειδί!

Σενάριο: Είσαι διακοπές σε μια εξωτική χώρα, χάνεις το κινητό (δεν θυμάσαι αν το άφησες χθες βράδυ στο club ή αν στο έκλεψαν). Πας στο internet cafe για να τσεκάρεις στο android find my ή στο apple find my. Προσπαθείς να κάνεις sign in και σου στέλνει το 2FA ή το keyless στο χαμένο κινητό. Το laptop που είναι authenticated είναι πίσω στο σπίτι σου και δεν έχεις πρόσβαση. Απελπίζεσαι και πας να πάρεις νέο κινητό για να έχεις στις διακοπές σου να βγάλεις και καμια φωτογραφία. Ξεκινάς το setup του νέου κινητού και σου λέει: κάνε sign in. Σου στέλνει 2FA η Passkey στην authenticated device (το χαμένο σου κινητό, ή το laptop που βρίσκεται πίσω στο σπίτι σου). Τελικά δεν μπορείς να κάνεις sign in. Ένα μήνα μετά γυρνάς πίσω από τις μεγάλες διακοπές, ανοίγεις το laptop για να κάνεις επιτέλους sign in και να δεις το λογαριασμό σου, να σετάρεις και το νέο κινητό, αλλά επειδή πέρασε 1 μήνας, έληξαν τα credentials του laptop και πρέπει να ξανακάνεις sign in στην authenticated device σου. Το πατάς και σου στέλνει 2FA η Passkey request στο χαμένο σου κινητό.

Και κάπου εκεί, όταν καταφέρεις να ξαναμπεις στο λογαριασμό σου, απενεργοποιείς όλα τα 2FA/MFA/Passkey/Password Managers και αφήνεσαι στο έλεος των hackers, αλλά έχεις το κεφάλι σου ήσυχο ότι τουλάχιστον δεν θα κλειδωθείς εσύ απ' έξω.

[Shinji ikari]

3 minutes ago, VanJ said:

 

Κρατάς και ένα χαρτί με τον 2FA κωδικό μαζί σου.

[Eloy]

4 minutes ago, Shinji ikari said:

Κρατάς και ένα χαρτί με τον 2FA κωδικό μαζί σου.

... κάτω απο τον πάτο του αριστερού παπουτσιού.

[killerx3]

[embrance]

11 ώρες πριν, cpc464 είπε

Διαφωνώ, υπάρχουν τρόποι,αν ξέρεις αριθμό μπορείς να παραπλανήσεις τον ιδιοκτήτη του αριθμού και να στείλεις το 2fa σε άλλο νούμερο ,υπάρχουν τρόποι, οι χάκερ δεν κωλώνουν σε λίγο social engineering, λεπτομέρειες παρακάτω.

https://www.globalguardian.com/global-digest/two-factor-authentication

ε τοτε μην βαζει κανεις κωδικο πουθενα. ολοι μπορουν να παραπλανηθουν.

[great]

13 hours ago, cpc464 said:

Διαφωνώ, υπάρχουν τρόποι,αν ξέρεις αριθμό μπορείς να παραπλανήσεις τον ιδιοκτήτη του αριθμού και να στείλεις το 2fa σε άλλο νούμερο ,υπάρχουν τρόποι, οι χάκερ δεν κωλώνουν σε λίγο social engineering, λεπτομέρειες παρακάτω.

https://www.globalguardian.com/global-digest/two-factor-authentication

διαβαστε λιγο τι γραφουν τα καθε αρθρα με αυτους τους "hackers" ! το 99% δεν ειναι hacking ειναι stupidity by the user. Οταν ανοιγει λινκ της τραπεζας με δυο νν παραπανω και βαζει κωδικος δενειναι hacking ειναι "εισαι βλακας"

το οτι το αρθρο λεει οτι παιρνουν τα στοιχεια απο τον χρηση οπως το AFM ευκολο και πανε και βγαζουν αλλη σιμ δεν ειναι hacking , ασε που δεν γινεται ετσι απλα πλεον, γινοταν ,οχι πια. Το ολο fappening τοτε ειχαν βαλει κωδικους, σχεδον παντα καποιος βαζει κωδικους που του ζητανε καποιος αλλος με καποιο "εξυπνο" τροπο.

Παιρνουν και ολα τα blogs ενα copy paste απο μεταφραση (το απο πανω ειναι αρθρο απο το 2019) κατι και το ανεβαζουν και δεν ελεγχει κανεις κανενα ουτε καν τι γραφει μεσα με τεραστιους τιτλους ΧΑΚΕΨΑΝ ΤΟΝ ΛΟΓΑΡΙΑΣΜΟ ΤΗΣ ΤΟΥΝΗ!

μια χαρα ειναι το 2fa, μια χαρα ειναι ολα αυτα τα 1password, keepass κτλ αρκει να ξερεις. Αμα δεν ξερεις αστο και πηγαινε στην τραπεζα για να πληρωνεις.

Επεξ/σία 10 Ιουλίου από great

[cpc464]

12 λεπτά πριν, great είπε

μια χαρα ειναι ολα αυτα τα 1password, keepass κτλ αρκει να ξερεις. Αμα δεν ξερεις αστο και πηγαινε στην τραπεζα για να πληρωνεις.

Μα αυτό είναι το πρόβλημα,ότι ο περισσότερος κόσμος δεν γνωρίζει,δίνει απλόχερα δεδομένα που μπορεί να του στοιχίσουν πολύ ακριβά,γιαυτό μιλάω και για social engineering, σε πολλές χώρες είναι πανεύκολο να μεταφέρεις αριθμό που ξέρεις σε άλλη sim,υπάρχουν πολλά κόλπα που δε θα αναφέρω για να μην δώσω οδηγίες σε υποψήφιους χάκερ αλλά το πρόβλημα στο 90% των περιπτώσεων είναι ο ανθρώπινος παράγοντας.

[ardi21]

1 hour ago, cpc464 said:

Μα αυτό είναι το πρόβλημα,ότι ο περισσότερος κόσμος δεν γνωρίζει,δίνει απλόχερα δεδομένα που μπορεί να του στοιχίσουν πολύ ακριβά,γιαυτό μιλάω και για social engineering, σε πολλές χώρες είναι πανεύκολο να μεταφέρεις αριθμό που ξέρεις σε άλλη sim,υπάρχουν πολλά κόλπα που δε θα αναφέρω για να μην δώσω οδηγίες σε υποψήφιους χάκερ αλλά το πρόβλημα στο 90% των περιπτώσεων είναι ο ανθρώπινος παράγοντας.

Kανονικα για να αλλαξεις sim πρεπει να πας ο ιδιος σε ενα καταστημα με την ταυτοτητα σου και την παλια sim. Νομιζω οτι αυτο γινεται στην Ελλαδα. Τωρα αν αλλες χωρες το κανουν online και ευκολα ειναι δικη τους αμελεια.

[killer76]

Προσωπικά χρησιμοποιώ το safeincloud που η κρυπτογραφημένη βάση δεδομένων του βρίσκεται σε δικό μου λογαριασμό cloud (drive, dropbox κλπ). Όλοι μου οι κωδικοί είναι από 12-18 χαρακτήρες, του στυλ "gfd#83_G43!i_34loP4" και δεν χρησιμοποιώ τον ίδιο κωδικό πουθενά. Επίσης όπου μπορώ έχω 2FA. Βέβαια για πολύ απλές καταστάσεις, πχ ένα site που θέλει εγγραφή αλλά ούτε θα κοινοποιήσω τίποτα, ούτε θα το ξαναχρειαστώ ποτέ, με λίγα λόγια ένα site που και να διαρρεύσει ο κωδικός κλαιν, έχω ένα εύκολο σχετικά password που το θυμάμαι εύκολα και το χρησιμοποιώ παντού

Πιστεύω οτι την σημερινή εποχή αυτό το επίπεδο ασφάλειας πρέπει να είναι το ελάχιστο που πρέπει να έχουμε.

16 ώρες πριν, Shinji ikari είπε

Φυσικα, ωρα για το https://haveibeenpwned.com/ παλι...

Να ρωτήσω κάτι γιατί δεν έχω καταλάβει τι ακριβώς δείχνει αυτό το site. Ώραία έβαλα το email μου και μου έβγαλε μια λίστα που έχει γίνει διαρροή. Μου έβγαλε για παράδειγμα canva, linkedin, Dailymotion και κάποια ακόμα.

Τι σημαίνει αυτό? 

• Μέσα από αυτά τα site διέρρευσε ο κωδικός του email μου? 
• Διέρρευσε ο κωδικός των λογαριασμών των παραπάνω site που είναι συνδεδεμένα με τα email που έχουν γίνει pwned?
• Δεν διέρρευσε στα σίγουρα κάποιος κωδικός αλλά αυτά τα sites είχαν κάποιο ιστορικό διαρροής οπότε καλό είναι να αλλάξουμε κωδικούς?

 

[off_d]

5 ώρες πριν, VanJ είπε

Σενάριο: Είσαι διακοπές σε μια εξωτική χώρα, χάνεις το κινητό (δεν θυμάσαι αν το άφησες χθες βράδυ στο club ή αν στο έκλεψαν). Πας στο internet cafe για να τσεκάρεις στο android find my ή στο apple find my. Προσπαθείς να κάνεις sign in και σου στέλνει το 2FA ή το keyless στο χαμένο κινητό. Το laptop που είναι authenticated είναι πίσω στο σπίτι σου και δεν έχεις πρόσβαση. Απελπίζεσαι και πας να πάρεις νέο κινητό για να έχεις στις διακοπές σου να βγάλεις και καμια φωτογραφία. Ξεκινάς το setup του νέου κινητού και σου λέει: κάνε sign in. Σου στέλνει 2FA η Passkey στην authenticated device (το χαμένο σου κινητό, ή το laptop που βρίσκεται πίσω στο σπίτι σου). Τελικά δεν μπορείς να κάνεις sign in. Ένα μήνα μετά γυρνάς πίσω από τις μεγάλες διακοπές, ανοίγεις το laptop για να κάνεις επιτέλους sign in και να δεις το λογαριασμό σου, να σετάρεις και το νέο κινητό, αλλά επειδή πέρασε 1 μήνας, έληξαν τα credentials του laptop και πρέπει να ξανακάνεις sign in στην authenticated device σου. Το πατάς και σου στέλνει 2FA η Passkey request στο χαμένο σου κινητό.

Και κάπου εκεί, όταν καταφέρεις να ξαναμπεις στο λογαριασμό σου, απενεργοποιείς όλα τα 2FA/MFA/Passkey/Password Managers και αφήνεσαι στο έλεος των hackers, αλλά έχεις το κεφάλι σου ήσυχο ότι τουλάχιστον δεν θα κλειδωθείς εσύ απ' έξω.

 

Συμπέρασμα:  Δεν πας διακοπές...

[CoffeeDrink10]

2 hours ago, off_d said:

Συμπέρασμα:  Δεν πας διακοπές...

Συμπέρασμα: Πας διακοπές με μια ευλογημένη (για να μη το πω αλλιώς) φωτογραφική μηχανή, ας είναι και κόμπακτ. ΔΕΝ κουβαλάς μαζί στις βόλτες το μαραφέτι που περιέχει όλη σου τη ζωή μέσα, το αφήνεις στο χρηματοκιβώτιο της ρεσεψιόν αν φοβάσαι.

Αν σου πέσει η φωτογραφική και γίνει κομάτια, παίρνεις την κάρτα μνήμης και έχεις όλες τις φωτό. Αν σου γίνει το κινητό κομμάτια, όπως είπε και ο κύριος από πάνω, κρεμιέσαι απ το πολύφωτο.