Parole dinamice

[AlStar]

Intr-o zi, creierasul meu a conceput o idee foarte interesanta...Gandindu-ma la o modalitate de a avea cat mai multe parole si cat mai puternice, dar sa nu fie usor de uitat, mi-a venit ideea ca ce-a mai buna solutie ar fi schimbarea periodica a parolelor, automat, in functie de un anumit algoritm. Acest algoritm trebuie desigur cunoscut si inteles de utilizator, astfel incat sa-si poata genera in minte aceeasi parola ca cea generata automat.Un exemplu: Pentru Forum RST, as putea avea o parola formata din data (sau ora, sau..orice altceva ce se schimba des), numele site-ului si probabil inca vreo doua caractere, de umplutura

"RST"+"826" (atat arata ceasu meu) + "psec" (post [PM] + security) = [B]RST826psec[/B]

- parola de 10 caractere...nu-i chiar scurta, litere mari si mici, alaturi de cifre.. e ceva, iar partea ce-a mai interesanta e ca se schimba mereu, astfel ca un keylogger ar pierde vremea..Acu' ma gandesc, cat de greu ar fi sa folosesti o asemenea solutie de securitate? Pentru un server, poate fi usor, modificand des baza de date, dar asta ar insemna un consum mai mare de resurse.. Pentru utilizator ar fi putin mai greu, cred..Ce credeti?

[AlStar]

Pe mine m-ar interesa mai mult posibilitatea de a-ti face un program care sa-ti schimbe parolele des, eventual un script php sau ceva, care sa fie pe un server online cat mult timp. Fiecare utilizator sa-si creeze propriul algoritm.

[pyth0n3]

E o idee excelenta , eu ca utilizator folosesc password pt putin timp dupa care le schimb ,

De exemplu de fiecare data dupa ce platesc ceva cu paypal schimb parola ,

O fac ca si cum ar fi ceva normal , iar spre exemplu paypal vine deschis automat , nu dau click pe nici un link ca si in privinta oricarui forum sau serviciu unde imi cere sa ma logez

Un exemplu

parola yahoo messeger :

EHQ7ArlS2ulEtd?J+3Om`fH^^ Valabila in jur de 30 de zile

Dupa care facem iar

V,]c*I~TlSF8e52Tq/;wZk=Hy Valabila cam 25 de zile

pt raspusul la intrebarea in caz ca uit parola pt yahoo

Care este actorul tau preferat?

pyth0n3 raspunde :

)TwY,['Tf#-3*>UW8}WW_?I4clnO0lW,K`NTkUqc(A.W'vk2;L Si asta o schimbam la 60 de zile (nu se stie niciodata)

Pai si unde tinem toate passwordurile astea ?

Intrun database care le va pune direct intrun form de login cand avem nevoie

Acest database va contine si adresele unor siteuri ca sa nu fim victima unui phisher

Si daca gaseste cineva acest database?

In primul rand nu stie cu ce tool trebuie sa il deschida

In al doilea rand este criptat (Si in acest caz passwordul vine schimbat la 40 de zile) si bineinteles schimbate si algoritmele

Nu putem cripta numai cu rsa tot timpul vom folosi algoritme diverse AES, twofish , SHA

Vom folosi si encryption rounds diferite : 378302 3458673 37373 8546 sau ma rog

Iar daca uit deschis acest database se inchide dupa 50 de secunde sa nu intre altii la mine in pc (nu se stie cine vine ca oaspete si ce are prin cap)

O faceti asai ? Schimbati passwordurile din cand in cand ?

Nu scrieti niciodata numele actorului vostru preferat asai?

nu alegeti password mai scurte de 10 caractere asai?

Nu folositi aceeasi password la orice account asai?

[parazitul29]

e buna ideea

[AlStar]

Ai multa treaba, pyth0n3.

Eu nu-s chiar asa..strict, in privinta parolelor... Is doar un pusti, inafara de 2 e-mailuri si cateva conturi de forumuri nu prea am ce pierde. Insa folosesc parole diferite, scurte ce-i drept, dar stiu ca un brute-force pentru o parola alfa-numerica de 6+ caractere este pierdere de timp, iar pe dictionar nu se prea poate face treaba, in cazul meu.

Aa, iar la Yahoo, am raspuns la nimereala la intrebarile alea, pentru ca nu prea cred ca am nevoie de recover password.

[begood]

@pyth0n3 exagerezi, asa poti uita chiar tu parola, iar din toata obsesia protejarii parolelor si a informatiilor personale te alegi cu toate conturile pierdute.

uite un om mai obsedat ca mine in privinta securitatii

[AlStar]

@pyth0n3 exagerezi, asa poti uita chiar tu parola, iar din toata obsesia protejarii parolelor si a informatiilor personale te alegi cu toate conturile pierdute.

Intr-adevar...

uite un om mai obsedat ca mine in privinta securitatii

Ha ha:)) And the winner is: pyth0n3

Edited May 29, 2010 by AlStar

[cigraphics]

eu am facut un cifru in C

daca scrii un text de fiecare data la textul respectiv o sa-ti dea alta parola

PS: Pentru web fac ceva de genul:

private function hash($pass) {

$new = md5($pass);

$new = md5($new.$this->blowfish);

$new = sha1($new.$pass);

return $new;

}

si mai generez inca un hash pentru fiecare user de fiecare data cand se logheaza si pun si ip-ul:D

[pyth0n3]

OK putina dreptate aveti pt ca mai sunt cateva lucruri de facut ,dar totul sistemat nu e chiar asa de greu

-un database trebuie sa aiba cel putin 3 backup-uri in 3 locuri diverse

-de fiecare data cand vin schimbate passwordurile trebuie facut update la toate backup-urile

- 1 copie criptata ramane pe calculator

-1 copie criptata si pusa intro arhiva criptata vine pusa pe un hard disck criptat la randul lui cu truecrypt folosind 3 algoritme (a luat o gramada de timp sa fac asta)

-1 copie vine criptata si pusa intro arhiva criptata care vine facut upload pe un file-host online (imi da possibilitatea sa folosesc acest database oriunde ma aflu in caz ca nu am pc-ul cu mine)

-un tool sau script vine tinut tot timpul pe diverse usb sau file-host (acest tool permite decriptarea unui databese si face restul automat, deschide url la care vrei sa te coleghezi ,pune username si password si face login , cu un plugin vine controlat ca ip-ul de la site sa corespunda cu adresa dns in acest caz se evita phishing)

-acest tool trebuie sa fie cross platform (windows, Linux,Mac) pt ca nu se stie niciodata ce fel de sistem ai la dispozitie

-acest tool trebuie sa foloseasca neaparat Two-Channel Auto-Type Obfuscation va trimite keypresses simulat la alte aplica?ii ,asadar un keylogger nu va primi passwordul cand se lucreaza intrun sistem Windows (sa nu uitam ce poate face un keylogger in windows)

-poate fi configurat in asa fel in cat sa fie utilizat direct de la tastiera

exemplu :

F1 il porneste , pui passphrase ca sa decripteze passwordurile , folosesti sagetile ca sa alegi unde vrei sa faci login , Butonul enter pt a deschide un url in browserul pe care l-ai configurat , dupa care faci auto-type (aici va folosi tecnica de obfuscation pe care am mentionato mai sus ) care va pune username si password direct in form pt login si vei avea access

-daca nu vine folosit pt un timp determinat de user cripteaza automat toate passwordurile spre exemplu dupa 50 de secunde folosind ca algoritm AES sau oricare altul

-pot fi definite niste encryption rounds

-genereaza in automat passwordurile pt tine ,cat de lungi vrei tu folosind

Litere mari, litere mici, numere ,caractere speciale , underline,spatii libere , caractere definite de catre user

Exemplu password 50 caractere folosind toate aceste lucruri la un loc

j>\u<AUB>+p~KZ?x!dIO jGCDvKy<.Zl31AsbkqyvSP`ap`Tv`

Eu zic sa nu coborati sub 10

@begood backup e necesar e pt ca sa nu te trezesti cu calculatorul ca nu mai merge si se ajunge la cuvintele tale "conturi pierdute "

Edited May 29, 2010 by pyth0n3

[firewind]

eu de obicei folosesc ca parole...o fraza din cartea pe care o citesc atunci+nr paginii in care este fraza+pretul cartii+nr de tel cu ceva simboluri ca separator .

De acord cu back-up in 3 locuri diverse, cu precizarea ca trebuie separate fizic, ca te iei cu mana de cap daca-s toate copiile la un loc, si ia foc locatia.

Nu sunt de acord cu upload date sensibile pe net, nu atat din cauza securitatii, ci din cauza vitezei de acces.

[Android324]

daca nu aveti chestii extrem de importante care sa fie protejate de parola eu recomand add-on-ul lastpass de la firefox(acu probabil exista si pt alte browsere ceva asemanator) din mai multe motive :

1) ai nevoie de un master pass si restu iti face el autofill.....(asta ar insemna ca poti pune parole in gen ")TwY,['Tf#-3*>UW8}WW_?I4clnO0lW,K`NTkUqc(A.W'vk2;L" ) fara sa te mai chinui sa memorezi algoritmi(desi eu am cate un algoritm pt fiecare din cele 9 adrese de mail....fiecare parola are 17 caracte)

2) daca iti e frica de un keylogger atunci canditi creezi cont add-on-ul iti poate genera o parola cat de complexa vrei fara ca tu macar sa o vezi...si implicit keyloggerul

3) toate datele se stocheaza la "baietii" de la firefox deci...no stres..

Sunt constient ca sunt putini care nu stiau chestia asta (si sper sa nu ma trezesc cu un coment in gen :"bv ma ...ai inventat roata:D") dar avand in vedere ca toata lumea si-a dat cu parerea mi-am permis sa share-uiesc ceea ce folosesc eu

[pyth0n3]

2) daca iti e frica de un keylogger atunci cand iti creezi cont add-on-ul iti poate genera o parola cat de complexa vrei fara ca tu macar sa o vezi...si implicit keyloggerul

Esti sigur de cum functioneaza ? Ai testat ?

Zice doar ca are un "Virtual screen keyboard to protect yourself from keyloggers and keysniffers"

Trebuie testat dar asta e singurul lucru care nu cred ca e sigur in windows ,vezi ? Nu stii nicioda daca cineva inregistreaza ceea ce tastezi

[Ellimist]

OMFG pyth0n3....you're a security psycho!

[Android324]

@pyth0n3: sincer nu am testat ....dar nu am avut nici o problema de doi ani de cand il folosesc....instaleaza-l si vezi ce si cum....astept o parere dupa ce vezi ce si cum

[paxnWo]

ce destepti sunteti voi mancamiati pula, va ganditi la parole cand tara e in genunghi si lumea moare de foame.

iar daca voi inca va mai ganditi cum sa pacaliti keyloggere, lasati-o-n pula goala de treaba, sunteti niste idioti buni doar de upload, limitati cu mintea oprita intr-un loc, pierduti pe net si depasiti. de-asta baietii cu vocabular extins de pe la firmele pulii de securitate sunt mereu in urma autorilor nebuni, ca ei mor de foame, se opresc, si se hranesc cu boabele de porumb din cacatul autorilor, in loc sa rabde de foame, sa continue urmarirea si sa-i prinda, ca apoi sa ii manance de vii, nu numai boabele. dar ce sloboz pretentii sa aiba lumea pe aici, numai lesinati de soarta care daca pacalesc idiotii pe net ca au ei pula mare, se fut, beau, se drogheaza, ca sunt lideri, ca au ei exploituri private si ca sunt haxorii vietii, inseamna ca sunt si smecheri si baieti cu sange-n coaie pe strada, cand lor le plutesc plamanii in furadan, si care n-au pic de imaginatie si onoare. mi s-a luat de voi, luati pula.

ideea cu keyloggerul e, ca stiu ca n-ati prins-o, voi inca dezbateti subiecte depasite si rezolvate, dar vreti voi mereu sa scoateti rahatul din pamant in loc sa o scoateti pe doamna cenusie din cap. fiti ba openminded, care nu inseamna sa aduci o noua rezolvare la o problema care are deja mii de rezolvari.

la threaduri serioase, interesante, care necesita gandire, nu postati.

begood posteaza o gramada de cacaturi interesante, n-am vazut pe unul sa dezbata o idee.

baiatul ala c/pm posteaza chestii grozave si va doare in pula.

neme posteaza de-ale lui si in loc sa puneti intrebari ii luati pula in gura si va faceti buchet din flocii curului sau.

ma pis pe voi dinamic

[Flubber]

Foarte bine explicat de catre pyth0n3, dar asta este extrem. Subiectul initial al acestui thread (cred eu) este un algoritm facut de tine(om) care sa-ti genereze o parola iar tu dupa niste calcule sa iti dai seama de ea. La asta m-am gandit si eu de mai multe ori, dar problema este el insusi algoritmul fiind facut de om poate la randul lui fi spart de un alt om fiindca, daca tu ai putut sa il gandesti asa poate si altul, e simplu. Dar ar fi interesant sa fie pusa in aplicare ideea, gen nu stii ce parola e, ajungi in momentul in care e nevoie sa o aflii si sa-ti bati putin capul sa faci nu stiu ce formule extraterestre ca sa "o scoti la iveala". xD

[sonyx]

APROB PAX.

va simtiti asa filati?

[pyth0n3]

Pai si cu cine vrei sa vorbesc despre lucrurile pe care le pune begood sau cp/min

O fi cateva calculatoare acasa la mine pe care fac diverse test iar daca pun un raspuns la anumite lucruri atat ramane , nu mai adauga nimeni nimic ca si cum ar fii inteles toti tot

Sunt obsedat de securitate doar pt ca vad o gramada de admin cu passworduri de tipul 123 care vin platiti o gramada de bani si habar nu au sa faca ceva iar altii lucreaza in locuri de c***t ,vin seara acasa si stau 6-7 ore la pc dupa care se trezesc iar la 6 dimineata si fac 12 ore de munca si vin platiti doar ca sa aiba ce manca

In plus iti rup c*****e la munca ca esti prea obosit si ai o groaza de fumuri in cap cu calculatoarele tale si ca nu vei ajunge niciodata nimic (ca si cum parca vei imbatrani muncind in c***t la ei toata viata )

Iar cand vezi ca nu iti merge internetul si suni la un tehnic informatic care lucreaza la ISP-ul care iti da internet si il intrebi frumos de ce oare nu reusesc sa fac ping la adressa ip de la router iti spune ca nu te aude bine pt ca se intrerupe legatura ,iar tu suni din nou , iti raspunde altul care la aceeasi intrebare iti zice ca nu te aude bine si se intrerupe iar legatura, dupa care iti dai seama care e problema ,nimeni nu stia ce inseamna ala ping si cu scuza ca se intrerupe iti inchidea telefonul in fata

Parerea mea este ca sa fi foarte precaut chiar si in situatii foarte simple , prefer un password de 50 de caractere la un forum ,doar asa va intra in cap sa il pui destul de tare oriunde va fii necesar si cand va fii necesar

Nu trebuie doar sa stii anumite lucruri si sa nu le faci

Exista intradevar si chestii de tipul password foarte tare iar paginile sunt vulnerabile la SQLI

In plus chestia cu Windows-ul imi sta putin pe c***e nu e numai keylogger sau chesti de genul ,este faptul ca se intampla atatea chestii ciudate in spatele tau pe acest sistem ca nu stii niciodata daca cineva e cu ochii pe tine

Prea multe processe si lucruri in background si e prea greu sa controlezi toate astea pt ca sigur iti scapa ceva care va lucra in hidden mode in spatele tau

@paxnWo pai si daca spui assembly ,debugging, internetworking ,firewall sau ma rog ai topicuri goale si nu iti ramane decat sa vorbesti singur sau sa iti gasesti niste carti de citit

Daca zici yahoo , phishing , hi5, facebook, offtopic , ai un help desk enorm , o gramada de persoane care iti umple toate topic-urile

Si raspunsuri de tipul "pai da ce vrei sa spun daca nu stiu "

Pai da eu zic : CITESTE CINE TE PUNE SA STAI NUMAI PE MESS SAU SA JOCI JOCURI

Daca nu facem un forum de tipul how ho hack a game sau how to f**k yahoo passwords

Si il umplem si de o gramada de hacking tools pt windows asa ii vom da possibilitatea sa ne faca SYN flood

Ca in afara de put url here and click on the button to attack la nimeni nu ii place nimic

Iar chestia cea mai frumoasa o vezi in Club ShowOFF cand cineva face un post iar ceilalti intra si scriu hacked by me dupa care schimba username si password

Aici mai vin si ultimii care iti umple topicul si iti spun ca nu mai merge

Si apar in continuare o gramada pt ca sa confirme ceea ce a zis ultimul NU MAI MERGE NICI LA MINE

And here we go again de la inceputul la sfarsitul saptamanii cu stiri despre niste c******i care ma incurca cand vreau sa fac parsing pt a gasi macar ceva mai interesant

Dupa care mai vine cineva si imi spune ca nu stiu sa vorbesc limba romana , parca e vina mea desi incerc sa fiu cat de corect posibil , dar intelegeti ca nu toti sunt romani aici si ca probabil in limba mea veti face mai multe greseli

Corectatima da nu imi spuneti ca e de c***t romana pe care o vorbesc

Fiecare incearca sa imi gaseasca greselile si sa le comenteze ca sa puna si ei un post in plus , nu astept sa imi spuneti bravo dar macar adaugati si voi anumite argumente daca e cazul sau explicati de ce nu e asa sau ma rog .

Fiecare foloseste ce limbaj vrea el iar cred ca daca suntem aici trebuie sa progresam , sa vedem lucruri noi , sa desbatem lucruri noi ,nu putem vorbi despre yahoo spre infinit

Un sigur lucru vreau sa adaug

NU EXISTA PROGRAM CARE SPARGE PASSWORDURILE PT FACEBOOK,YAHOO,SAU MA ROG

Doar bruteforce ,dar nu cred ca are rost pt ca vine blocat dupa cateva tentative

Vad multi care cer asa ceva

Pai ori il prostesti sa iti dea passwordul ori nu ai passwordul

Cateodata nu stiu daca are rost sa scriu asa de mult , pt ca oricum nu cred ca multi vor intelege ceva si sunt sigur ca voi mai vedea un topic de tipul Yahoo messenger passwords , Yahoo booter (dar nimeni nu stie sa faca boti ) )sau Here some DOS tools dupa care RST nu il mai pot deschide deoarece un copil prost face syn flood , Nu mai zic cate c******i voi mai vedea si cati vor zice aceleasi cuvinte si peste 10 ani cand vor ajunge ceva de genul Nickname (Cultul betivilor) "Pai da ce vrei sa zic daca eu nu stiu "

Asta e preoblema , sa taci ,fara sa scrii nimic intra ca Guest citeste si gata

Edit: Inca o data dovedeste prostia omeneasca A ramas insarcinata cu un film porno

Pai si ce inteleg eu aici despre cum sa scriu un shellcode pt intel x86 ?

Am gresit eu forumul ? sau ei?

Edited May 30, 2010 by pyth0n3

[euMahu]

Edit: Inca o data dovedeste prostia omeneasca A ramas insarcinata cu un film porno

Pai si ce inteleg eu aici despre cum sa scriu un shellcode pt intel x86 ?

Am gresit eu forumul ? sau ei?

Ma inclin!

[1337]

1337 isi baga pula. Eu am ce manca si vreau sa fentez keyloagaru! Na pax !