Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 2006 сообщений
Cообщения с меткой

пароли - Самое интересное в блогах

Следующие 30  »
ТИН22

Как узнать пароль от своего WiFi за 10 секунд

Пятница, 20 Августа 2016 г. 00:19 (ссылка)

Это цитата сообщения Владимир_Шильников Оригинальное сообщение

Как узнать пароль от своего WiFi за 10 секунд

Чаще всего мы подключаемся к домашнему Вайфаю автоматически и не считаем нужным держать в голове пароль (также называемый сетевым ключом). Но представьте, что к вам приехали гости и вы не прочь поделиться с ними Интернетом. А ключик, как назло, забыли. Что делать?

Читать далее



http://faqpc.ru/kak-uznat-parol-ot-svoego-wifi-za-10-sekund/
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Пастильда — открытый аппаратный менеджер паролей

Четверг, 14 Июля 2016 г. 14:05 (ссылка)

Pastilda — open source аппаратный USB менеджер паролей



Немало заметок и обсуждений посвящены непростому вопросу безопасного хранения паролей, тема интересная и, похоже, актуальной будет ещё долго. Существуют различные программные решения для хранения паролей, о них довольно часто пишут на Хабре (например тут и вот тут), однако многим из них, как нам кажется, в той или иной степени свойственны следующие недостатки:


  • закрытый код снижает доверие и вероятность оперативного устранения уязвимостей

  • для автозаполнения нужно ставить дополнительный софт

  • после ввода мастер-пароля вся база открыта и доступна, в том числе для вредоносного ПО, что особенно актуально на недоверенных устройствах

  • использование мобильных приложений для хранения паролей все равно подразумевает ручной ввод с клавиатуры, например когда требуется залогиниться на стационарном ПК

  • автозаполнение невозможно в некоторых случаях (в bios, консоли)



Мы пришли к выводу, что наиболее удобным решением будет простой и недорогой девайс, позволяющий аппаратно хранить и вводить логины/пароли на любые устройства, без установки какого-либо ПО.





Pastilda — open source аппаратный USB менеджер паролей



Для начала мы, конечно же, прочитали весь интернет, чтобы понять, кому еще приходила в голову идея хранить и вводить пароли аппаратно, и как она была реализована. Найденные варианты можно условно разделить на следующие категории:


  • шифрованные накопители, по сути — просто флешки с паролем (например, такая). Можно безопасно хранить документы, но об автоматическом вводе паролей речь не идет

  • устройства с биометрической идентификацией (пример). Биометрическая идентификация выглядит привлекательно, однако она менее универсальна, чем символьный пароль (например, если надо удаленно предоставить кому-то доступ к устройству, передача отпечатка пальца станет настоящей проблемой), к тому же дополнительные датчики увеличивают стоимость изделия. В случае компроментации сложно быстро сменить отпечатки

  • программные менеджеры паролей с аппаратным ключом-токеном, который дает доступ в базу (например) обладают теми же недостатками, что и программные менеджеры без ключа-токена

  • устройства для ввода 1-4 паролей и их генерации (пример, пример). Наиболее близкие решения. Из недостатков следует отметить ограниченное количество хранимых паролей а также управление исключительно кнопками на устройстве, что далеко не всегда удобно.



Ни одно из найденных устройств в полной мере не соответствовало нашей задумке. Мы обрадовались — и давай думать дальше.



Идея



Не так давно для корпоративных задач хранения паролей вместо бумажек, браузеров и биологической памяти мы стали использовать KeePass. Вполне довольные удобством и универсальностью этого продукта, мы решили приспособить его для задач аппаратного хранения паролей, портировав на микроконтроллер.

Однако, осталось огромное количество вопросов. Каким образом выбирать нужную запись в базе на устройстве? Как показать пользователю, какая запись выбрана? Стоит ли размещать на корпусе устройства кнопки? Экран? Как вообще оно должно подключаться к компьютеру? К планшету? К телефону?



От экрана отказались сразу. Если уж у пользователя возникла необходимость вводить пароль — скорее всего, экран у него уже есть. Что касается способов подключения, то мы решили не рассматривать беспроводные интерфейсы, ввиду потенциальной их уязвимости для перехвата.



Pastilda, использование с клавиатурой



Для управления мы будем использовать стандартную клавиатуру, а для непосредственного ввода сохраненных паролей в формы — эмулировать клавиатурные команды. “Перехват” управления будет происходить при вводе специальной комбинации клавиш. По умолчанию мы выбрали сочетание Ctrl + Shift + ~, потому что оно удобно для нажатия и практически нигде не используется. Проект получил название “Pastilda” (от password, tilda), у нас оно ассоциируется с чем-то вкусным и сладким, а также помогает не забыть главное сочетание клавиш для работы с устройством.



Находясь в пассивном режиме Пастильда транслирует все сообщения от клавиатуры к ПК без изменений, ожидая нажатия специальной комбинации. После ввода комбинации устройство входит в активный режим. Если в этот момент курсор находится в поле для ввода текста — это может быть поле “Логин”, или любое другое текстовое поле — в нем появляется одно-строчное текстовое меню.



Pastilda, ввод пароля



Для работы с базой KeePass, хранящейся в памяти Пастильды, пользователь вводит мастер-пароль, а затем при помощи навигационных клавиш выбирает название интересующего его аккаунта и нажимает ввод. Пастильда вводит нужные логин и пароль в соответствующие поля. При этом расшифровка базы происходит на устройстве, и целевая система не получает доступа к мастер-паролю и ко всей базе. Выход из активного режима происходит либо автоматически, после ввода пароля, либо после повторного нажатия комбинации “Shift + Ctrl + ~”. Да, кстати, комбинации можно придумать свои.



Реализация 0.1



Как всегда много чего хочется реализовать, а начать решили с малого. Ревизия 0.1 предназначена для проверки идей, удобства использования и всяческого баловства. В текущей версии запланирован следующий минимум функций:


  • составное USB устройство (HID+Mass Storage)

  • USB host

  • работа с одной базой KeePass

  • однострочное меню

  • FAT16.





Схема







Тут всё просто — контроллер Stm32f405, два разъема и флешка на SPI. Так же немного защиты, разъем SWD и, конечно же, RGB светодиод. Выбор компонентов не вызвал затруднений — STM, похоже, единственный, кто реализовал два аппаратных USB в микроконтроллере, а память взяли какая была.



Плата







Все компоненты в обычных корпусах, чтобы плата была дешевая и быстрая в производстве. Размер 40х17 мм, 4 слоя. Текущая версия платы выглядит вот так:







Софт



На данный момент реализовано:


  • USB host, для того чтобы распознавать подключенную к устройству клавиатуру и прокидывать сообщения от нее дальше в ПК

  • составное USB устройство (msd + hid): в режиме Pastilda устройство должно уметь быть клавиатурой, кроме того, быть всегда доступным как внешний диск, для удобного добавления и удаления паролей (Попутно @anaLazareva решила проблему с usb_msc libopencm3.



Ждет своей участи:


  • FAT для чтения данных, записанных во флеш память, чтобы мы могли ходить по директориям и брать нужный пароль

  • KeePass расшифровка, работа с записями

  • меню.




О своих суровых буднях программисты напишут в отдельных статьях.



Что дальше?



Дальше — больше. Хочется реализовать работу с любыми устройствами, понимающими внешнюю клавиатуру. Мы уже протестировали работу нашего прототипа с Android-смартфоном через USB OTG, всё работает прекрасно. Для удобства навигации по меню при использовании Пастильды с мобильными устройствами сделаем отдельный USB-модуль с колесом-кнопкой.







Ещё одна идея — маленькая гибко-жесткая печатная плата, которая заправляется прямо в разъем USB, оказываясь между контактами host и device. Жесткий кусочек платы с компонентами наклеивается на корпус штекера device. Таким образом устройство будет довольно сложно обнаружить. Впрочем, зачем бы нам это? Просто идея.







Встроенную память Пастильды можно использовать для хранения данных (если скорость не особо важна), и тут возможны варианты: просто USB накопитель, который виден всегда, когда устройство подключено, либо шифрованный накопитель. Базы KeePass, файлы ключей и т.п. предполагается хранить на этом пространстве.



Open all



Код выложен на github, вместе с железом. Лицензия GNU GPL. Естественно, можно пилить что-то свое на основе этого проекта, нам в голову пришли такие идеи:


  • эмуляция kbd+mouse для гейм-читинга

  • потоковое аппаратное шифрование USB-флеш.





Главная цель этой статьи — услышать ваше мнение, не стесняйтесь в комментариях!
Original source: habrahabr.ru.

https://habrahabr.ru/post/305594/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Onem

Пароли, явки, адреса: задержанные американские моряки выдали Тегерану секретную информацию | Продолжение проекта Русская Весна

Четверг, 01 Июня 2016 г. 03:51 (ссылка)
infopolk.ru/1/V/news/146732...00fc74687c

Пароли, явки, адреса: задержанные американские моряки выдали Тегерану секретную информацию


Экипажи катеров были доставлены на остров Фарси, где их допросили сотрудники спецслужб ...

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 23: украли все пароли, невзлом TeamViewer, Lenovo просит удалить уязвимую утилиту

Пятница, 10 Июня 2016 г. 15:47 (ссылка)

Тема паролей не отпускает. К недавним утечкам из LinkedIn добавились новые сливы из Вконтакта, Twitter, Tumblr и MySpace. У Марка Цукерберга взломали Твиттер и Пинтерест, выяснилось что пароль был «dadada», и это конечно эпик фейл.



Действительно, "астрологи объявили месяц утечек". Отчасти это может быть связано с действиями одного хакера, который сливает в дарквеб не самые свежие, но объемные базы, недорого. Не меньшую роль играют и профильные СМИ: если осенью прошлого года все копали до изнеможения тему шифрования, зимой — высказывались про кейс Apple и ФБР, то сейчас особое внимание уделяется паролям — так уж работает инфопространство.



Но тема важная. Arstechnica подсчитала, что за последний месяц слили более 600 миллионов паролей. Да, это действительно не самые свежие взломы, но аудит паролей стоит провести. Особенно тому легиону людей, у которых пароль 123456. Всем остальным можно ориентироваться на разумный срок смены паролей с интервалом максимум в два года, лучше чаще (исходя из типичного возраста слива в 4 года). Как защититься тоже понятно, непонятно как наконец начать это делать. Варианты улучшения ситуации обсудили в комментариях к предыдущей серии. Мой подход по убыванию надежности: (1) Менеджер паролей и одноразовые пароли везде (2) Сложные и разные пароли на критических сервисах (Основные соцсети, платежные системы) (3) Менее сложные и проще запоминаемые пароли с вариациами на некритичных сервисах (форумы и прочее). И конечно двухфакторная авторизация везде, где только можно.

Предыдущие выпуски сериала доступны по тегу.



TeamViewer исключает взлом собственных серверов, пользователи жалуются на перехват удаленного доступа

Новость.



Предположим, в одной из многочисленных утечек есть ваш пароль, но старый, который давно не используется в конкретном сервисе. Все хорошо? Да, если вы не имеете привычку защищать разные сервисы одним и тем же паролем, и забывать, где еще такой пароль может использоваться. Судя по всему, что-то похожее произошло у пользователей сервиса удаленного доступа к компьютерам (и даже умным телевизорам) TeamViewer: они массово начали жаловаться на угон аккаунтов. А удаленный доступ к домашнему или рабочему компьютеру — это золотой ключик почти ко всем данным. У одной из жертв так и произошло: через TeamViewer получили доступ к PayPal, купили карточку для Xbox и штанишки.







Естественно, пользователи склонны обвинять во всех грехах TeamViewer, тем более что утечка совпала (совпала ли?) с DDoS-атакой на серверы компании. Но организаторы сервиса против: утечки на их стороне не было. Трой Хант, владелец сайта Haveibeenpwned — агрегатора данных о «слитых» учетных записях — склонен видеть прямую связь между массовыми утечками и взломом TeamViewer. Просто берут e-mail и пароль из слитых баз и подбирают их к другим сервисам. Добро пожаловать в новую суровую реальность. Точнее не новую. Но все равно велкам!



У Lenovo (опять) критическая уязвимость в сервисном ПО

Новость. Еще новость с деталями уязвимости. Advisory Lenovo.



Компания Lenovo рекомендует удалить приложение Accelerator, предназначенное «для ускорения запуска утилит Lenovo». Как выяснилось, встроенный в приложение модуль обновления ПО регулярно обращается к серверу, не используя никаких мер защиты. В результате становится возможным подменить ответ от сервера и подсунуть вместо легитимного обновления вредоносное ПО. Уязвимость оказалась настолько серьезной, что решение предлагается единственное и самое радикальное: удалить приложение, вручную или с помощью специальной утилиты.



Это далеко не первая новость об уязвимостях в фирменном ПО Lenovo. Ранее в этом году в файлообменной утилите ShareIT нашли вшитый пароль. Еще раньше обнаружили дыру в Lenovo System Update — утилите обновления драйверов и ПО для ноутбуков корпоративной линейки. Фрустрации пользователям добавляет и тот факт, что речь обычно не идет о жизненно-важных утилитах, скорее о дополнительно-навязанном bloatware.



Как я уже писал ранее, нельзя говорить о том, что у Lenovo все плохо, в то время как у других вендоров все замечательно. Источником новости стало исследование компании Duo Security, где помимо Lenovo досталось Acer, Asus, Dell и HP. Примечательно, что ПО Lenovo Solution Center, которое ставится на корпоративные ноутбуки и ПК, с серверами обновлений общается с соблюдением всех мер предосторожности, в отличие от аналога для консьюмерских моделей. Как бы то ни было, реакция Lenovo оказалась быстрой и корректной: наличие проблемы отрицать не стали и предложили решение (пусть и невыгодное для себя).



Что еще произошло:



Серьезная уязвимость в NTP обнаружена и запатчена.



Новые уязвимости в Android, снова в Mediaserver.



Патч серьезной уязвимости в Chrome, провинился встроенный просмотрщик PDF.



Intel предложила аппаратную реализацию защиты от эксплойтов. Интересный подход к решению очень древней и очень опасной проблемы.



Древности:

«Clock»



Опасный вирус. Поражает Boot-сектора дискет при обращении к ним и MBR винчестера при загрузке с зараженной дискеты. В зависимости от своего внутреннего счетчика перезагружает компьютер или меняет настройку винчестера (на тех контроллерах, где это возможно). Перехватывает int 8, 13h.



Цитата по книге «Компьютерные вирусы в MS-DOS» Евгения Касперского. 1992 год. Страницa 21.



Disclaimer: Данная колонка отражает лишь частное мнение ее автора. Оно может совпадать с позицией компании «Лаборатория Касперского», а может и не совпадать. Тут уж как повезет.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/303082/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Хакер продает базу данных с 32 миллионами учетных записей Twitter

Четверг, 09 Июня 2016 г. 16:06 (ссылка)





По сообщению издания The Hacker News, неизвестный хакер продает учетные записи более чем 32 миллионов пользователей Twitter — цена архива составляет 10 биткоинов (больше $5800 по текущему курсу).



Информация об архиве скомпрометированных учетных записей сервиса микроблогов была впервые опубликована в блоге проекта LeakedSource — этот сайт собирает информацию об «утекших» в сеть данных различных сервисов. Представители проекта в блоге заявили о том, что копию архива им передал хакер под ником Tessa88 — на прошлой неделе он опубликовал базу данных, включающую учетную информацию 1 млн пользователей соцсети «ВКонтакте» (представители компании позднее заявили, что база старая, а пользователи были оповещены).



image



Человек с таким же псевдонимом «слил» базу на 400 с лишним млн аккаунтов MySpace в конце мая.



База данных с учетными данными пользователей Twitter включает имена пользователей, почтовые адреса (иногда и дополнительный email), а также хранящиеся в незашифрованном виде пароли — всего для более чем 32 млн аккаунтов.



Представители Twitter категорически отвергли возможность взлома, заявив, что «эти учетные данные были получены не в результате утечки из Twitter», а системы компании «не были взломаны».



Представители LeakedSource убеждены, что утечка данных стала результатом работы зловредного софта.



«Десятки миллионов людей “подхватили” вирус, который перехватывал введенные учетные данные социальных сетей, включая Twitter, в браузерах вроде Chrome и Firefox и отправлял их хакерам».


По мнению экспертов Positive Technologies, для похищения учетных данных настолько большого количества пользователей соцсети злоумышленникам необходимо было создать огромный ботнет — при заявленном числе скромпрометированных учетных записей, превышающем 32 млн, зловредный софт должен был быть каким-то образом установлен на десятки миллионов компьютеров (до 100 млн машин).



Создание такого ботнета маловероятно — теоретически это возможно, например, помощью эксплуатации низкоуровневых и массовых уязвимостей на протяжении долгого времени. Однако в данном случае вероятнее применение сценария с кросс-проверкой учетных записей ранее уже «утёкших» из других сервисов.



Редакция The Hacker News вспоминает в этой связи ситуацию со взломом Twitter-аккаунта основателя соцсети Facebook Марка Цукерберга. Хакерам удалось получить его учетные данные с помощью взлома другой соцсети LinkedIn — им удалось получить хешированную версию пароля Цукерберга и взломать его. Этот же пароль использовался в Twitter и Pinterest-аккаунтах гендиректора Facebook.



Поэтому существует вероятность того, что в базу данных, продаваемую хакером, входят учетные записи и пароли, похищенные ранее в ходе других взломов (LinkedIn, MySpace, Tumblr), а непосредственного взлома Twitter не происходило.



Тем не менее, пока происхождение утекших учетных данных неизвестно, эксперты Positive Technologies рекомендуют всем пользователям Twitter сменить пароль — и если он использовался и на других сайтах, то сменить пароли и к ним.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/303004/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
SoftLabirint

GridinSoft Anti-Malware 3.0.39 MULTI/RUS » SoftLabirint.Ru: Скачать бесплатно и без регистрации - Самые Популярные Новости Интернета

Вторник, 07 Июня 2016 г. 17:23 (ссылка)
softlabirint.ru/soft/intern...tirus.html


GridinSoft Anti-Malware 3.0.39 MULTI/RUS

GridinSoft Anti-Malware — антивирусная утилита, разработанная специально для удаления вредоносных программ без необходимости вручную править системные файлы и реестр. Обнаруживает и удаляет: шпионское и рекламного ПО, ПНП, трояны с удаленным доступом, интернет-черви. Она удаляет дополнительные системные изменения, которые осуществляют некоторые вредоносные программы, и которые игнорируются некоторыми стандартными антивирусными сканерами.



Программа GridinSoft Anti-Malware предназначена для удаления вредоносных компьютерных программ, включая различные виды рекламного ПО adware (отображают нежелательную рекламу); программ-шпионов spyware (передают Вашу персональную информацию, например, данные по кредитным картам, путем перехвата действий пользователя с клавиатуры или мыши); скрытые дозвонщики hidden dialers (могут инициировать нежелательные телефонные звонки), и многое другое.



Основные особенности:

• Бесперебойная надежная защита Windows от любых существующих видов вредоносного ПО;

• Выявление и удаление нежелательных рекламных модулей установившихся без Вашего ведома;

• Круглосуточный контроль над Вашей операционной системой в целях предотвращения внедрения в нее опасного ПО;

• Надежная охрана любой важной персональной информации (пароли, номера телефонов, кредитных карт и т.д.);

• Многоязычный интерфейс;

• Постоянная, непрекращающаяся защита от проникновения любого опасного ПО;

• Несколько режимов сканирования;

• Регулярные автоматические обновления;

• Поддержка всех операционных систем.

 



GridinSoft Anti-Malware 3.0.39 MULTI/RUS



GridinSoft Anti-Malware 3.0.39 MULTI/RUS



GridinSoft Anti-Malware 3.0.39 MULTI/RUS



GridinSoft Anti-Malware 3.0.39 MULTI/RUS






Информация о программе:

Название: GridinSoft Anti-Malware 3.0.39 MULTI/RUS

Год выпуска: 2016

Версия: 3.0.39

Язык интерфейса: Mультиязычный/Русский

ОС: Windows 10 / 8.1 / 8 / 7 / Vista / XP (32|64-bit).

Лечение: Присутствует

Размер: 64,25 Мб



Скачать: GridinSoft Anti-Malware 3.0.39 MULTI/RUS >>>



 



Подписка на новости сайта…

http://feeds.feedburner.com/Soft-Labirint

http://feeds.feedburner.com/Soft-Labirint?format=xml

https://feedburner.google.com/fb/a/mailverify?uri=Soft-Labirint

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Security Week 22: Microsoft против паролей, судебные неувязки с Tor, криптолокер атакует клиентов Amazon

Пятница, 03 Июня 2016 г. 16:17 (ссылка)

Google хоронит пароли, а Microsoft — нет. Напомню, в предыдущем выпуске я рассказал про светлое будущее в виде проекта Google Abacus — спорную, но весьма прогрессивную систему идентификации пользователя по его поведению (aka я помню все твои трещинки). Почти одновременно к беседе о паролях присоединилась компания Microsoft, но выступила (новость), скажем так, с позиций традиционализма и ортодоксальности. Конкретно, пост в блоге разработчиков Active Directory посвящен борьбе не со всеми паролями, а только с плохими.



Microsoft можно понять: она работает на рынке корпоративного ПО, а там инновации приживаются убийственно медленно (мимо дрожащих истерзанных рук; да что у меня сегодня такое с песенными ассоциациями?!). Очевидно, что с абакусом или без него, с паролями мы будем иметь дело еще долго. Так вот, по словам представителя Microsoft, типовые подходы к обеспечению стойкости паролей, такие как требования к длине пароля, наличию спецсимволов и регулярной замене — не работают. Более того, они упрощают задачу взлома: огражденные со всех сторон заборчиками политик, пользователи задают и обновляют свои пароли крайне предсказуемым образом. Если, например, поставить забор повыше (задать порог минимум в 10-15 символов), сотрудники начинают повторять одно и то же слово несколько раз подряд. Не ок.



Как многолетний офисный труженик Ворда, не могу не согласиться. Браво! Но не уверен, что предлагаемое компанией решение порадует меня именно как сотрудника. Microsoft работает с огромным количеством учетных записей в куче пользовательских и корпоративных сервисов, и решила использовать информацию о том, как эти записи пытаются взломать (10 миллионов атак в день!). В результате мы получаем функцию Dynamically Banned Passwords. Будучи внедренной в корпоративном окружении, эта фича не позволит сотруднику задать пароль, про который точно известно, что он (1) слаб и что (2) злодеи уже пытались (возможно успешно) взломать такой же (или похожий) пароль где-то еще.

Читать дальше →

https://habrahabr.ru/post/302548/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<пароли - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda