Epic Games hackade, 800 000 kontouppgifter stulna
Ett bra tips ...
Är många diskussionsforum baserade på vBulletin som åker dit just nu, tydligen är folk väldigt dåliga på att underhålla sina installationer så när ett nytt hack kommer ut så finns det ofta gott om äldre installationer att suga ut data ur.
https://www.troyhunt.com/self-hosted-vbulletin-youre-doing-it...
/ LordDaimos
Varför ska folk hacka riktiga forum..... Kan de inte sätta upp ett eget och försöka knäcka det.
Varför ska folk hacka riktiga forum..... Kan de inte sätta upp ett eget och försöka knäcka det.
Öhh... va? Vad skulle syftet med det vara? Varför tror du de hackar stora forum för?
..:: trickeh2k ::..
Windows 11 Pro - Ryzen 7 7800X3D - ASUS TUF B650-PLUS - Kingston FURY Beast DDR5 64GB CL36 - MSI MAG A850GL - MSI RTX 4080 VENTUS 3X OC - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/Logitech G PRO Wireless - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, Crucial MX500 1TB, Kingston KC3000 2TB - Steelseries Arctic 5 - Cooler Master Masterbox TD500 Mesh V2
KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.
Jo jag kommer ihåg mitt. Det är 8rt923jklSklKeuiyu82s10djL8uo23kd9uKi2lidaskeio3ks02klwi ... nej vänta, det ska vara ett P nånstans på slutet också....hm.
/ LordDaimos
KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.
Använd LastPass, så fylls alla inloggningsfält i automatiskt. Funkar både på dator och mobil och allt synkas mellan enheter Tjänsten kan till och med automatiserat byta lösenord hos många stora hemsidor utan att man behöver logga in och göra det manuellt.
KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.
Jag har börjat använda KeePass på både datorn och mobilen, och är toknöjd. Det tog en bra stund att ändra alla lösenord på alla mina användarkonton, men det får det vara värt.
🖥️ RTX 4090 | i9-13900KF | 64GB
Om det är kopplat till kreditkortsuppgifter eller liknande så är det bekymmersamt. Annars brukar jag helt enkelt strunta i att det hackats. Inget har hänt heller. Vad ska de göra? Gå in på 800 000 konton och jävlas? De tycker mest det är roligt att hacka.
Har jag drabbats av PMA? Positiv Mental Attityd.
Så inga lösenord. I värsta fall saltade lösenord.
Med andra ord fick hackarna ett... kundregister?
Saltet kan du komma åt genom att bruteforca korta usla lösenord med alla saltkombos mot en databasdump.
För övrigt bör ni tänka över om ni ska använda password managers som automatiskt trycker in uppgifterna i fälten:
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-giv...
Det ovan är bara en av flera sårbarheter som drabbat PW managers de senaste åren. Bättre att klippa/klistra eller se till att programmet skjuter in lösenordet i fältet - när du begär det. Då minskas attackytan till enbart klientsidan (typ du måste vara infekterad med skadlig kod för att få ditt lösenord snott).
Problemet med PW mangers är att om huvudlösenordet kommer på vift så är alla andra komprometterade. Bättre är att köra generativa lösenordsmanagers, har skrivit en själv och det finns ingen lösenordsinfo att komma över.
Men jämfört med postits eller att lagra PW i textfiler eller "qwe123" som lösen så är PW managers generellt en bra ide.
Så inga lösenord. I värsta fall saltade lösenord.
Med andra ord fick hackarna ett... kundregister?
Saltet kan du komma åt genom att bruteforca korta usla lösenord med alla saltkombos mot en databasdump.
Låter oehört, oehört tid och processorkrävande. Per lösenord. En vettig kryptering avslöjar inte heller längden av ett lösenord så det går ju inte att se vilka lösenord som är korta.
I'm a snake, follow me!
Så inga lösenord. I värsta fall saltade lösenord.
Med andra ord fick hackarna ett... kundregister?
Saltet kan du komma åt genom att bruteforca korta usla lösenord med alla saltkombos mot en databasdump.
Låter oehört, oehört tid och processorkrävande. Per lösenord. En vettig kryptering avslöjar inte heller längden av ett lösenord så det går ju inte att se vilka lösenord som är korta.
Hashalgoritm, inte kryptering.
Korta och icke komplexa lösenord går fort att gissa, de vanliga "secret, password,123456, letmein" brukar finnas om kvalitetskontroll saknas för lösenord, sen kan det vara så att saltet kan vara sajt specifikt och inte nödvändigtvis unikt per lösenord. Som jag sa, de som skapar forummjukvaror är sällan säkerhetsexperter.
Salt brukar vara ~16-24 bitar, det tar några sekunder att knäcka per lösenord och iom internet så är du inte enbart beroende av din hemmadator. GPU kan också användas i beräkningar.
Proper hashning av lösenord i professionella kretsar brukar iterera ca 1000+ gånger, vilket ökar mängden processorkraft som krävs, forum kan också implementera det, men det måste vägas mot slöa scriptbaserade språk som PHP/ASP/JSP och användaren ska inte behöva dö av hög ålder under autenticeringen...