Arhiva za ‘lozinka’ tag
Lozinke koje hakeri najčešće koriste za upad u zaštićene sistema
Lozinka ili šifra je unapred ugovoren tajni signal, odnosno reč kao elemenat raspoznavanja. Zadržati lozinku tajnom je osnovna praksa bezbednosti.
Jedan od najjednostavnijih načina za upad u nečiji online nalog je pogoditi njegovu lozinku, pa stoga i softver za hakiranje pokušava upravo to, testirajući prvo one koje se najčešće koriste. Vrlo često ljudi koriste iste lozinke za više računa, što svakako nije dobra praksa jer ako hakeri uspeju pogoditi lozinku na jednom računu, sreću će okušati i na nekoliko drugih računa, uključujući i bankovni račun.
Preporučujemo da pročitate članak: “Kako se zaštititi na Internetu?”.
Kompanija Rapid7 je objavila vrlo zanimljiv izveštaj o bezbednosti lozinki. Umesto da se fokusira na lozinke koje ljudi obično izaberu, kompanija Rapid7 je odlučila da otkrije koje to lozinke koriste online prevaranti da bi provalili u zaštićene sisteme.
Nalazi do kojih je došao Rapid7 prilično su šokantni. Naime, većina od 10 lozinki sa kojima online prevaranti najčešće pokušavaju upasti u zaštićene sistema su smešno jednostavne, što implicira da ogroman broj ljudi ne primenjuje savete stručnjaka te i dalje upotrebljava užasne lozinke.
Da bi pratili pokušaje hakerskih napada, stručnjaci su postavili tkz. “honeypots”, područja sajta koji izgledaju normalno ali su zapravo mamci za hakere koji se mogu pratiti.
Tokom istraživanja koje je trajalo nešto manje od godinu dana, od marta 2015. do februara 2016. godine, zabeleženo je 221.203 različita pokušaja upada sa 5.076 uređaja iz 119 zemalja. Tom prilikom hakeri su koristili 1.806 različitih korisničkih imena i 3.969 različite lozinke.
Kompanija Rapid7 navodi da je ova vrsta istraživanja vrlo korisna za proveru “domišljatosti i snage hakera” jer može pokazati stanje vaše digitalne bezbednosti.
Prema istraživanju Rapid7, najčešće lozinke sa kojima hakeri pokušavaju su:
Takođe, ovim istraživanjem nije otkriveno samo koje su lozinke hakeri koristili za upad već i koja korisnička imena! Deset korisničkih imena koje su hakeri najčešće koristili su:
Kraju vam možemo dati nekoliko saveta:
- Ne upotrebljavajte istu lozinku za više različitih računa! Razlog je prost, bez obzira koliko jaku lozinku koristite ako je hakeri uspeju otkriti biće ugroženi ne samo jedan već svi vaši računi.
- Iako se često preporučuje da za lozinku koristite neku nezaboravnu reč koja je napisana kao kombinacija brojeva sa velikim i malim slovima ipak treba biti pažljiv i izabrati malo komplikovaniju reč o recimo “madona” (M4d0N4).
- Takođe, možete koristiti i neki alat za kreiranje lozinki kao na primer 1Password, koji može da generiše bezbedne lozinke te ih za vas čuva online.
- Najbolji način da zaštitite sebe svakako je da koristite potvrdu identiteta u dva faktora (verifikaciju u dva koraka koju koristi Google i mnogi drugi), koja će vam poslati SMS poruku sa kodom ili koristiti aplikaciju za verifikaciju prilikom prijave na račun.
Preporučujemo članak: “Koliko su kvalitetne vaše lozinke i kako ih pamtite?”
Hakeri ukrali 6.5 miliona LinkedIn lozinki!
Nekoliko izvora danas je objavilo da je 6,5 miliona hashed i šifrovanih LinkedIn lozinki navodno kompromitovano. Norveški web sajt Dagens IT prvi je objavio da je 6,5 miliona šifrovanih LinkedIn lozinki kompromitovano i objavljeno na Ruskom hakerskom sajtu.
Per Thorsheim, stručnjak za IT bezbednost takođe je potvrdio krađu LinkedIn lozinki putem svog Twitter Feed-a, navodeći da su napadači postavili šifrovane LinkedIn lozinke na poznati Ruski hakerski sajt s ciljem traženja pomoći za njihovo dešifrovanje.
Finska sigurnosna kompanija CERT-Fi upozorava da iako detalji o korisnicima nisu objavljeni, napadači imaju pristup korisničkim podacima, kao i njihovim lozinkama.
Ono što treba odmah da uradite jeste da promenite svoju Linked lozinku!
LinkedIn do trenutka pisanja ovoga članka nije dala nikakvo zvanično obaveštenje vezano za kompromitovanje 6,5 miliona šifriranih lozinki.
Profesionalna društvena mreža LinkedIn ima više od 150 miliona korisnika, što ukazuje da je kompromitovano manje od 10 odsto korisničkih naloga, ali je to ipak veoma veliki broj.
LinkedIn lozinke su šifrovane sa SHA-1 kriptografskom hash funkcijom koja koristi SSL i TLS, i generalno se smatra relativno bezbednom, ali se ipak se može razbiti.
Koliko su kvalitetne vaše lozinke i kako ih pamtite?
Lozinke su nešto nezaobilazno za svatkog tko koristi bilo kakav softver. Trenutne alternative kao što su crtanje prstima po ekranima osjetljivim na dodir, sener mrežnice oka, glasovna identifikacija i USB tokeni su svi sa određenim ograničenjima. Ništa nije tako jednostavno i jeftino kao staromodan niz karaktera.
Web usluge i mrežni menadžeri gotovo uvijek zahtijevaju minimalan stupanj težine lozinke kako bi se spriječilo da se ona vrlo lako i brzo kompromituje. Međutim, s obzirom na to koliko puta se korisnik prijavljuje na neke usluge ili mreže, morati bi pamtiti tko zna koliko različitih lozinki, da i ne spominjemo razne ID prijave koje se koriste zajedno sa lozinkama (puno ime i prezime? velika i mala slova? e-mail adresa?). Mnogi računalni stručnjaci trebaju pristup desecima sigurnosnih sustava, što prevazilazi granica nečije memorije.
Postoje tri opcije kako to možete rješiti. Prva je da koristite program za upravljanje lozinkama, druga je da lozinke zapisujete na papir ili da ih snimate kao kriptiranu tekstualnu datoteku, i treća opcija je da osmislite metode za pamćenje lozinki.
Za mnoge ljude, najbolji način za zaštitu podataka i identiteta je korištenje programa za upravljanje lozinkama, koji pohranjuje lozinke u Cloud ili na lokalni disk, često na USB ili neki drugi prijenosni uređaj za pohranu. Rizik kod ovog načina je taj da može da se desi da server bude hakiran ili da izgubite disk na kom su pohranjene vaše lozinke.
Servis za upravljanje i pohranu lozinki koji može da se preporuči je LastPass, dostupan kao Firefox add-on i kao ekstenzija za Internet Explorer, Chrome i druge preglednike. Verzija za mobilne uređaje košta 1 dolar mjesečno.
Tu sa također i programi poput RoboForm, KeePass i Password Safe koji također spadaju među najbolja rješenja za pohranu i upravljanje lozinkama.
Ako se odlučite da ne koristite program za upravljanje i pohranu lozinki kao opcija vam ostaje da zapisujete lozinke, bio na papiru ili kao kriptovanu tekstualnu datoteku ili da ih nekao pamtite. Gunter Ollman, istraživač sigurnosne tvrtke Damballa, naglašava da je zapisivanje lozinke na jedno od boljih rješenja, mnogo bolje neko korištenje iste lozinke na više mjesta, postavljanje softvera da pamti vaše lozinke, čestog ne mjenjanja lozinki i ostalog. Kompanija Microsoft je također uvjek isticao da je zapisivanje lozinki na papir nešto što bi trebalo da potakne korisnike da koriste mnogo jače lozinke jer ih ne bi morali pamtiti.
Loša strana ove opcije je ta da netko može da pronađe vaš papir sa lozinkama ili da ga možete izgubiti što znači da bi morali da mjenjate svoje lozinke prolazeći kroz verifikaciju u dva koraka za svaku mrežu i uslugu.
Posljednja opcija, koja je možda i najbolja, jeste da nekako pronađete način da pamtite svoje lozinke. Tu postoji više mogućnosti a neke od njih su da koristite imena obitelji sa njihovom godinom rođenja ili da odaberete jednu lozinku, kao defoult-nu, a potom svaka sljedeća da bude njena nadogradnja korištenjem nekog unikatnog sistema. Recimo da odaberete lozinku “BCGA1339”, svaka sljedeća lozinka koja vam zatreba će na primjer biti +2 sistem tj. svi karakteri se pomjeraju za 2 mjesta naprijed tako da nova lozinka sada postaje “DEIC3551”.
Da je pitanje lozinki vrlo ozbiljno govori i to da je Microsoft predstavio novi način logovanja na uređajima sa ekranima osjetljivim na dodir koje će pokretati Windows 8. U svakom slučaju, bilo bi dobro da na neki način pronađete neki svoj sistem za pravljenje i memorisanje jakih lozinki kako bi sačuvali svoje podatke i identitet na Web-u.
Crtanje linija i krugova na fotografiji novi je način prijavljivanja na Windows 8 touch-screen uređajima
Microsoft za Windows 8 priprema novi način prijavljivanja na Tablet računara tako što će korisnicima omogućiti pokrete na ekranu umesto kucanja slova i brojeva. Korisnik će izabrati fotografiju sa nekim ličnim značenjem za njega, i kreirati niz linija i krugova koji se moraju obaviti kako bi se otključao računar.
Očigledno pitanje je da li je ovaj sistem siguran kao i kucanje lozinki na tastaturi. S obzirom da veliki broj korisnika sada koristi jednostavne lozinke, sistem koji se bazira na gestikulaciji može obezbediti mnogo veću sigurnost ovim ljudima. Microsoft priznaje da bi mrlje na ekranu ili uređaju za snimanje teoretski mogli omogućiti da ovakva lozinka budu kompromitovana, ali, navode da je takav rizik veoma mali.
Međutim, e slažu se svi sa Microsoft-om po ovom pitanju. Kenneth Weiss, tvorac RSA SecurID token, koji sada vodi Universal Secure Registry, poznat po tri faktora autentifikacije, ističe da ovo nije nikakva "ozbiljna bezbednost," da se gestovi koje neko radi na ekranu vrlo lako mogu snimiti sa distance.
Microsoft priznaje mogućnost da ovakve lozinke mogu budi kompromitovane, ali isto tako navodi i da je broj kombinacija koje ovakav sistem lozinki dozvoljava toliko veliki da on kao takav pruža dodatnu sigurnost. Na primer, Microsoft navodi da se slikovna lozinka sastavljen od pet gestova može napraviti na 398 trilion načina. Nasuprot tome, lozinka od pet karaktera sa slovima i drugim karakterima “samo” 182 miliona kombinacija, a lozinka od osam karaktera, 9 trilion kombinacija.
Ako se ovakva slikovna lozinka sastoji samo od linija, onda je ona znatno lakša za pogoditi. Microsoft navodi da kombinaciju crtanja linija i krugova, a dodirom na određene tačke na ekranu, eksponencijalno povećava broj načina na koji se lozinke može završiti.
Zach Pace, program menadžer u kompaniji Microsoft, demonstrirao je ovaj sistem prijavljivanjem na Tablet sa porodičnom fotografijom na kojoj je zaokružio glavu svog oca, postavljajući liniju između noseva njegovih sestara, a zatim tapnuo na nos svoje majke. Kako ovo izgleda možete videti na slici.
Microsoft je kritičarima koji smatraju da mrlje na ekranu mogu da kompromituju ovakvu lozinku odgovorio i da kucanje PIN-a može ostaviti mrlje na mestima gde korisnik dodiruje tastaturu na ekranu. Povlačenje linija i krugova će sigurno ostaviti neke tragove, ali to neće otkriti redosled kojim su oni pravljeni, a takođe, oni mogu biti i dosta nerazumljivi jer će korisnik raditi i druge radnje na svom ekranu osetljivom na dodir, poput korišćenje aplikacija ili surfovanja.
U stvarnosti je veoma teško iskoristiti mrlje na ekranu za kompromitovanje lozinke. Kada smo uzeli Tablet-e koje su ljudi koristili nekoliko dana, bilo je isuviše mnogo mrlja da bi se čak i moglo pretpostaviti koji bi pokreti mogli biti korišćeni za lozinku,
navodi kompanija Microsoft.
Microsoft je takođe ponudio i nekoliko saveta potencijalnim korisnicima operativnog sistema Windows 8, pa tako navode da bi trebali da koriste fotografiju na kojoj se vide lica osoba ili na kojima postoji neka druga vrsta orijentira, da koriste nekoliko vrsta gestova, sekvenci i pravaca, kao i da često čište ekran.
Baš kao i sa današnjim alfanumeričkim lozinkama, bezbednost u velikoj meri zavisi od sposobnosti korisnika da kreira složene sekvence i sačuva svoje uređaje od krađe ili gubitka.
Zloglasna hakerska grupa LulzSec objavila lozinke 26.000 korisnika porno sajtova
Zloglasna hakerska grupa LulzSec je objavila prijavne lozinke gotovo 26.000 korisnika porno sajtova. Hakeri su upali u bazu podataka porno sajta “pron”, otkrivajući ne samo e-mail adrese i lozinke skoro 26.000 članova već i akreditive 55 administratora drugih porno sajtova.
LulzSec je u ovoj objavi skrenuo posebnu pozornost na razne vladine i vojne e-mail adrese (.mil i .gov) koji se pojavljuju na spisku lasnika račune na porno sajtovima.
Da problem bude još veći, hakerska grupa LulzSec je pozvala svoje Twitter sljedbenike da iskoriste ovu situaciju tako da što bi pokušali da sa prijave na Facebook kombinirajući ove email-ove i lozinke žrtvi a potom da objave njihovoj familiji i prijateljima o njihovim porno navikama.
Srećom, Facebook-ov sigurnosni tim brzo je reagirao na ovu prijetnju resetujući lozinke svih računa koji odgovaraju objavljenim e-mail adresama. Naravno, ostaje mogućnost da se kombinacija ovih e-mail adresa/lozinki koriste na drugim web sajtovima ili nekim uslugama.
Ovo bi trebalo biti još jedno upozorenje i podsjetnik korisnicima Interneta o važnosti korištenja različitih lozinki za različite web sajtove.
Jednom kada je lozinka je ugrožena, samo je pitanje vremena kada će prevaranti uspjeti pristupiti vašim ostalim računima i ukrasti podatke koji bi im mogli donijeti financijsku dobit ili, u ovom slučaju, izazvati potencijalne neugodnosti.
Svoje navike oko odabira i korištenja lozinki morate mijenjati. Članak “Većina ljudi koristi tri lozinke” objašnjava naviku većine ljudi koju prevaranti vrlo vješto koriste da bi upadali u njihove račune. U članku se također navodi vrlo jednostavan primjer kako da osmislite vlastiti sustav za odabir lozinke.
Većina ljudi koristi tri lozinke!
Imate točno tri lozinke, zar ne? Prva je ona koju koristite za neke prijave koje vam nisu toliko vrijedne i na kojima ne mislite držati ništa važno. To može biti lozinka koju koristite za prijavu na neke web sajtove koje možda nikada nećete više posjetiti, ili pak kada je potrebno da se registrirate da bi preuzeli neki sadržaj i slično.
Druga je može se reći srednje sigurnosti. Ona je vjerojatno kraća od osam znakova. Obično sadrži ili samo slova ili samo brojeve i vrlo rijetko sadrži posebne znakove. Također je vjerojatno da koristite ovu lozinku i za e-mail i za Facebook.
Treći lozinka je ona koju koristite za svoje bankovne račune.
Najgora moguća varijanta je da imate samo jednu lozinku koju koristite za sve.
Previše ljudi ponavlja svoje lozinke a nedavno hakiranje Sony-a trebalo bi da posluži kao poziv svima na akciju ka promjeni ne samo samih lozinki već i metoda kojima se služimo za njihovo kreiranje i pamćenje.
Softver arhitekt i Microsoft MVP Troy Hunt obavio je nezavisnu analizu podataka lozinki koje su procurile nakon što je hakiran Sony i to potom usporedio sa drugim skupom podataka koji je postao dostupan nakon što je hakirana Gawker-ova baza komentara u prosincu 2010 godine.
Jedna od najšokantnijih stvari do koji je došao sa svojom analizom jeste da 88 ljudi imalo i Gawker i Sony korisnički račun sa istom e-mail adresom, a 67 posto njih koristilo je i istu lozinku. To je mali uzorak, ali je ipak vrlo zanimljiv. Tomu u prilog ide i studija sigurnosti, objavljena prošle godine u kojoj se navodi da 75 posto ljudi koristi istu lozinku i za Facebook i za svoj e-mail.
Štoviše, kada je Troy Hunt pregledao Sony datoteke otkrio je da među korisnicima koji su imali dva Sony računa (npr., Sony PlayStation i SonyPictures), s istom e-mail adresom, 92 posto njih je koristilo istu lozinku za oba računa.
Problem je u tome što mnogi koriste ovaj sistem tri lozinke. Ako e malo bolje razmisli, to je i logično jer ljudi misle slično i dolaze do sličnih planova, a ovaj se čini najefikasnijim i najlakšim. E, to i jeste problem. Pogledaj kompletan post »
Google-ov nalog mnogo sigurniji sa verifikacijom u dva koraka
Google je predstavio još jednu sigurnosnu mogućnost za Google Apps Account verifikaciju u dva koraka. Kompanija Google navodi da se sa ovom mogućnosti "značajno povećava bezbednost Cloud-a."
Verifikacija u dva koraka je jednostavna za postavljanje, upravljanje i korišćenje. Kada je omogućena od strane administratora, zahteva dva načina identifikacije da bi se prijavili na Google Apps nalog, nešto što vam je već poznato: lozinka, i nešto što imate: mobilni telefon. Ne zahteva nikakve posebne tokene ili uređaje. Nakon unosa lozinke, verifikacioni Kod se šalje na vaš mobilni telefon putem SMS poruke, govornog poziva ili se generiše putem aplikacije koju možete instalirati na vaš Android, BlackBerry ili iPhone uređaj. Čak i ako neko ukrade lozinku bit će mu potrebno više od toga da bi pristupio vašem nalogu. Takođe, možete naznačiti da, kada koristite računar u koji imate poverenje, ne želite da budete upitani za proveru Koda sa tog računara u budućnosti,
navodi direktor Google Apps bezbjednosti Eran Feigenbaum.
Administratori za Google Apps Premier, Education i Government Editions mogu sada aktivirati verifikaciju u dva koraka iz engleske verzije Admin Control Panel. Korisnici mogu očekivati Standard Edition u narednim mesecima.
Google-ova mobilna autentifikacija je open source, tako da kompanije mogu da je prilagode.-Listen
Google Street View automobili prikupljali lozinke i druge "osetljive podatke"
Poznato je da Facebook prolazi kroz teško razdoblje zbog poznatog skandala oko bezbednost i privatnosti korisnika, ali iskreno, Google radi fantastično dobar posao kako bi to pratio.
Google se dobro opržio sa prikupljanjem podataka sa Wi-Fi mreža prilikom vožnje gradovima u 30 zemalja sveta radi kreiranja svog Google Maps Street View-a.
Google je naveo da su “greškom prikupljanji podaci iz otvorenih (tj. nezaštićenih lozinkom) Wi-Fi mreža”.
Sada BBC izveštava da je Francuska agencija za zaštitu podataka CNIL, pošto je počela sa pregledom egzaktnih podataka koji su zapljenjeni iz Google Street View vozila, utvrdila da imali “osetljive podatke”, koje su navodno greškom pokupili, kao što su e-mail lozinke i bankarska i medicinska pravila o privatnosti.
Francuske vlasti i dalje istražuju sa nadom da se sve reši do septembra, ili se se Google sudski goni zbog povrede privatnosti ili da se samo izda upozorenje ako ne bude dokaza.
Google kaže da sarađuje sa francuskim vlastima kao i sa drugima širom sveta i da na kraju želi da izbriše te podatke i da krene dalje.
Naš krajnji cilj je da izbrišemo te podatke u skladu sa našim zakonskim obavezama i uz konsultacije sa odgovarajućim nadležnim organima,
navodi se u Google-ovom obraćanju.
Ruski haker prodaje 1,5 miliona Facebook naloga
Haker koji sebe naziva Kirllos, nudi na prodaju 1,5 milijuna Facebook naloga po nevjerojatno niskim cijenama, 25 dolara za 1000 naloga za korisnike sa manje od 10 prijatelja i 45 dolara za 1000 naloga za korisnike sa više od 10 prijatelja,
Gledajući brojke, Kirllos je ukrao jedan od 300 naloga Facebook korisnika. Informacije za prodaju uključuju prijavu, nije poznato da li su e-mail adrese i lozinke legitimne. Trenutno, oko 700.000 naloga je prodano. Također nije poznato kome su prodani. Korisnici čije su e-mail adrese i lozinke kompromitirane rizikuju da im identitet bude ukraden, ali isto tako mogu postati meta i opasne prevare
Hakiranje Facebook-a nije novi hobi za ovog hakera. Evo screenshot-a još jedne ponude hakera na forumu napravljen početkom ove godine, gdje je prodavao 100.000 hakiranih naloga od korisnika širom svijeta.
Izgleda da je Kirllos imao interes i za iPhone aplikacije u jednom trenutku. Prema nekim informacijama na Antichat.ru forumu, on je rođen u Rusiji, živi na Novom Zelandu, ima 24 godine i govori i engleski i francuski.
Dobra ideja ja da povremeno mjenjate lozinku. Također je poželjno ako bi se moglo osigurati da sve lozinke socijalnih mreža budu različite, generirane da uključuju brojeve, slova i posebne znakova, ako je ikako moguće.
Ukraden izvorni kod Google-ovog Gaia sustava za zaštitu lozinki tokom siječanjskih hakerskih napada
Trebate dobar motivator da bi koristili različite lozinke za svaki web sajt i birali lozinke koje nije lako hakovati?
Kako bi na vas uticalo saznanje da je tokom siječnja bilo povrede sigurnosti Google-ove lozinke i sigurnosnog sustava "Gaia" koji je bio izravno ugrožen od strane hakera. Google navodi da uljezi nisu uspjeli pristupiti stvarnim lozinkama i da će oni krenuti u brze popravke i pravljenje izmjena na Gaia sustavu. Činjenica je da su hakeri imali pristup Google-ovom Gaia izvornom kodu, što bi moglo predstavljati velike probleme Internetskom divu kao i korisnicima koji su nekoć vjerovali da je barem jedan Cloud sustav neprobojan.