Украли пароли FTP

Есть очень простой и полезный способ генерации не подбираемых словарно паролей. Берете длиную фразу и по 1-3 буквы от с начала слова.

СоТыОбВЖоСуБан:)

Думаю эта фраза всем знакома? А пароль ну никак не табличный и в голове держится неплохо.

по порносайтам не лазить и кряки не качать еще никто не советовал? ))

Знаю человека, который хранил все пароли в истории браузера. Увели у него всё. Хостинги, домены, бесплатные блоги, партнёрки, кошельки с приличными суммами. Где-то, говорит, записано, только уже с февраля ищет, где. Висят сайты, даже доход капает на автомате, а доступа нету.

Я храню в TC и браузере, знаю, что не лучший вариант, но лень человеческая...

Почему же никакие, а те которые направлены на воровство ваших SSH ключей?:)

Всё верно, как только многие перейдут на ssh - вирусы станут воровать ключи. Дело не в протоколе, а в уязвимости клиентской системы

Хм, ну так многие так делают, и это я бы сказал нормально в какой-то степени. Надо просто понимать пароль "от чего" вы храните ... Если это пароль от ненужного забытого всеми почтового ящика на гугле - это одно дело, а если за этим паролем мульен денег спрятан, то лучше бы его даже в слух не произносить :) В 90% случаев утеря пароля происходит по вине неопытного пользователя, остальные 10% я отношу к целевым взломам. Разбил так грубо специально для показательного примера, давайте на секунду подумаем "а что же такое пароль?" я думаю что этот термин как суть появился с появлением первого человека на земле... просто раньше именуемый ныне "пароль" был в виде секретного слова... передающегося между узким кругом лиц, для какого-то вида доступа куда либо.... изменилась только технология его ввода )))) Раньше , бегать по площади и кричать свой "пароль" было бы пиком тупости.... но сегодня интернет дает возможность людям вводить свой пароль 500 раз в сутки, запоминать в программах, передавать протоколами..... В древние времена, человека надо было поймать и выпытать у него пароль, в нынешнее время достаточно посадить пару ботов и сотни паролей заедут к тебе к вечеру..... По этому как раньше так и сейчас остается единственное правило, пароль должны знать только ВЫ, а не программы, которые вводят его за вас, не друзья которые говорят "дай поюзать....". Другими словами что бы сохранить ваш пароль вам надо как можно меньше раз им пользоваться, а раз уж применяем к компьютерам... то и пользоваться им надо на доверенных машинах... Это краткая концепция термина - пароль. :)

ТС, я глубоко уверен, что ваш случай относится к описанным выше 90% процентам... Не поймите меня не правильно, ничего личного :) Скажу вам честно, на моей практике у меня был только 1 случай (году в 2004-2005) когда увели мой пароль (!), причем опять же .... по сути тех 90%, видимо где-то нажал, недосмотрел, молод был, зелен, пересмотрел концепцию пароля, не поверите даже сделал группы паролей, уровни сложности паролей, выработал собственный алгоритм применения паролей относительно мест входа и тому подобное, в общем усложнил злоумышленникам жизнь :)))) Теперь по сути у меня есть куча паролей разных, некоторые из которых завязаны друг на друга по доступу , т.е кража одного из них не приносит особого вреда, а так же появились пароли которые как я писал выше записаны в мозгу )))) и используются пару раз в месяц :) В общем фантазии человеческой нет предела, это факт..... Но найти решение проблемы "как сделать так, что бы у меня не украли пароль" у вас не выйдет :( Только ваше трезвое поведение в сети даст вам шанс попадать под остальные 10% взломов.

Romka_Kharkov добавил 15.11.2010 в 02:52

Именно по этому венда не может работать с "белым ИП". ;)) Именно по этому первая моя рекомендация это убрать ее за НАТ, а дальше , если вы тыкаете на все ссылки и открываете все атачи вам ничего не поможет :)

Перестать использовать windows? :)

Ну а если не готовы, то:

0) Под администратором не работать. Никогда. Для этого есть Run as.. или Launch as Administrator в win7.

1) Лицензионная или правильно крякнутая система, которая будет обновляться. Последняя версия, последний SP.

2) Настроенный антивирус с постоянно обновляемыми базами.

3) Выбрасываем кривой школософт хранящий пароли в plaintext в My Documents. IE6, IE7 относятся к кривому школософту, который оставляет инфекции не дверь, а ворота в систему. FTP вообще использовать не желательно, есть SFTP/SSHFS, которые гораздо надежнее и умеют авторизовывать по ключу.

4) Выбрасываем подозрительный софт вроде "лучший бесплатный антивирус" или "автоматический поиск драйверов - больше 1млн в нашей базе данных!".

5) Следим за системой - обновляем софт, удаляем ненужный софт, выключаем сервисы (особенно сетевые) когда они уже не нужны..

6) Регулярно (планово) меняем пароли.

И будет счастье.

А файрволл на десктопе не нужен совершенно. Всяческий софт вроде Ad-aware тем более. Правильно настроенный антивирус, пользовательская учетка и свежий софт решают 99% проблем со зловредами, рекламными программами и прочим подобным.

Вы говорите это так, будто это что-то плохое.

Правильный браузер на правильной системе вполне надежное хранилище всех повседневных паролей (почта, IM, вебресурсы и т.д.). Должен стоять мастер-пароль для доступа к автоформам. Т.к. взлом такой системы будет стоить дороже, чем цена результата. Естественно если это IE6 на WinXP SP1 у меня для вас плохие новости.

А там, где результат представляет _реальный_ интерес для вора нужно использовать криптоключи, двухфакторную аутентификацию, защищенные виртуалки и прочие методы защиты от кражи. Что собственно и делают всяческие интернет-банки, WM и т.д.

4а) как ни прискорбно, туда же надо отнести Adobe Flash

7) Забыли про НАТ (читай аппаратный фаервол) - сколько в винде еще дырок на открытых портах? - а ведь winXP более не поддерживается, и это не значит, что там нет дырок, значит что они не будет зашиваться

8) не использовать непроверенные кряки (покажите мне человека на винде, которому не нужен последний фотошоп)

Romka_Kharkov

Впечатляет... научный подход :)

Раньше у меня было 2 пароля: для важных применений и бытовых. Оба простые для подбора, особо не озадачивался. В 2008-м занимался игрой на HYIP's, и вот тогда у меня в первый раз через фишинг увели мой пароль, а с ним и деньги... С тех пор каждый мой аккаунт имеет свой пароль, "сгенерированный" случайным образом пальцами на клавиатуре. Пароль с этого форума не подойдёт ни к чему больше.

А помните недавнюю историю с 123cash? Там парень не заморачивался с безопасностью, весь бизнес-кидалово был заперт на единственный простенький пароль.

Здесь опять лень. Все знают, но продолжают.

Ну, вопрос наличия-отсутствия NAT - это уже за пределами десктопа, но так - да, безусловно. У многих провайдеров (билайна например) есть функция файрвола на стороне провайдера, что можно и нужно использовать.

Flash да, гадость та еще. Но закопать его пока не получилось даже у Apple, и думаю до перехода HTML5 в recommended standart не получится.

А WinXP вообще лучше не использовать, т.к. end-of-life и никто ничего никому не должен. Особенно в варианте всяких ZverDVD :)

differnetlocal добавил 15.11.2010 в 03:11

Именно, т.к. чтобы делать это в винде нужно мучиться. :)

Отсюда в том числе идет ошибочное восприятие windows как более простой и понятной системы, чем linux. На самом деле поддерживать винду в актуальном и защищенном состоянии гораздо сложнее и требует больших затрат времени, чем linux/bsd/any-other-nix-like. Единого механизма обновления ПО нет, единого механизма управления паролями и доступами нет, без пароля администратора жить невозможно (никакого аналога /etc/sudoers нет, например), а сам администратор нужен на каждый чих и т.д. и т.п.