Modelarstwo z pasją

Uwaga!

Na sąsiednim forum automaty/boty próbowały/próbują przejmować hasła administracji i użytkowników.
Na innym z kolei działy się jakieś dziwne, podejrzane rzeczy z ilością użytkowników, co również może wskazywać na próbę ataku na forum.

Dla powszechnego bezpieczeństwa proponuję więc, byście pozmieniali hasła dostępu na pwm.org.pl na w miarę skomplikowane (minimum 8 znaków w tym wielkie litery i cyfry), jeśli jeszcze takowych nie macie, zwłaszcza, gdy używacie takich samych lub podobnych haseł gdzie indziej (nie daj boże do konta bankowego

).

Jarek

Reklama

Moim zdaniem niepotrzebnie siejesz panikę.

Jarek Gurgul napisał(a):Na sąsiednim forum automaty/boty próbowały/próbują przejmować hasła administracji i użytkowników.

Z tego co sobie zerknąłem to zwykłą metodą brute-force boty próbują odgadnąć hasło. Więc zmiana, jak ktoś ma porządne hasło, jest niepotrzebna. A jak ktoś ma w stylu "12345", czy takie samo jak w innych serwisach/usługach, to i bez zagrożenia powinien zmienić.

Jarek Gurgul napisał(a):Na innym z kolei działy się jakieś dziwne, podejrzane rzeczy z ilością użytkowników, co również może wskazywać na próbę ataku na forum.

Boty na tym forum to nie nowość. Już nie raz pojawiały się tam posty "reklamowe". Teraz się chyba spam nie pojawia, ale zarejestrowane boty mogą np. zbierać adresy mailowe.

Tak więc ja bym się nie przejmował. Natomiast jak ktoś ma proste hasło, lub używa w wielu miejscach tego samego, to niech zmieni, bo to proszenie się o kłopoty jest. Jak ktoś nie kojarzy, jakie hasło jest bezpieczne, niech zerknie np tu: http://www.passwordmeter.com/

Jarek Gurgul napisał(a):Na sąsiednim forum automaty/boty próbowały/próbują przejmować hasła administracji i użytkowników.

Które to jest sąsiednie forum? Bo nie wiem, czy to z czym się spotkałem, to było coś, o czym piszesz.

Paweł Wymysłowski napisał(a):Które to jest sąsiednie forum? Bo nie wiem, czy to z czym się spotkałem, to było coś, o czym piszesz.

Paweł, to FMR. Raczej niezbyt blisko Twoich zainteresowań

.

Tomku, nie sieję paniki. Wcale, a wcale

.
Tak, jak napisałem, proponuję by zmienić hasła na trudniejsze do złamania.

Wiem z doświadczenia zawodowego, że ludzie często stosują bardzo proste hasła, co gorsza często takie same w kilku miejscach. Dlatego wolę, byśmy dmuchali na zimne, niż obudzili się z ręką w nocniku, bo nie da się przewidzieć wszystkich zagrożeń. I dlatego też proponuję tę dobrą praktykę w postaci minimum 8 znaków, wielkich liter, cyfr. Myślę, że warto zadać sobie odrobinę trudu...

Jarek

przez **karambolis8** » wtorek, 15 lutego 2011, 11:01

Powiem jeszcze trochę, dlaczego nie warto używać takich samych haseł w różnych miejscach.

Portal może przechowywać hasła na dwa sposoby:

1. w plaintexcie, czyli w bazie danych jest zapisane twoje hasło i administrator może je podejrzeć.

2. przez funkcję haszującą - w bazie zapisywana jest informacja, dzięki której można jednoznacznie sprawdzić, czy podane hasło jest poprawne, ale nie można za pomocą tej informacji się zalogować, ani poznać oryginalne hasło.

Widać teraz chyba, że warto stosować różne hasła. Jeśli administrator serwisu z punktu 1. nie zdaje sobie sprawy z braku bezpieczeństwa takiego rozwiązania, to można się spodziewać, że łatwo się do jego serwisu włamać i wykraść hasła. A wtedy już jesteśmy bezradni. Takie serwisy można rozpoznać po tym, że w przypadku odzyskiwania wysyłają stare hasło. Jeśli serwis stosuje metodę funkcji haszującej, to nie ma takiej możliwości i wysyła nowe, automatycznie wygenerowane hasło.

Jeśli ktoś boi się, że nie spamięta tylu haseł, to może zastosować program, który zrobi to za niego. Takie programy działają w ten sposób, że w zaszyfrowanym pliku przechowują wszystkie nasze hasła i sam plik też jest chroniony hasłem. Teraz, żeby się gdzieś zalogować wystarczy przypomnieć sobie jedno hasło chroniące nasz plik i wybrać odpowiedni wpis.

Przykładem takiego programu jest KeePass. Jest bardzo wygodny, dzięki jego funkcjonalności nie musimy nic kopiować ręcznie, on zrobi to za nas, sam wpisze login i hasło do formularza. Ma też możliwość automatycznego wygenerowania skomplikowanego hasła.