Предположим, что пользователь использует безопасный пароль на сайте A и другой, но похожий безопасный пароль на сайте B. Может быть, что-то вроде mySecure12#PasswordA на сайте A и mySecure12#PasswordB на сайте B (не стесняйтесь использовать другое определение «сходства», если это имеет смысл). Предположим, что пароль для сайта A каким-то образом скомпрометирован . возможно, злонамеренный сотрудник сайта A или утечка безопасности. Означает ли это, что пароль сайта B также был эффективно скомпрометирован, или в этом контексте не существует такой вещи, как «сходство паролей»? Имеет ли какое-то значение, был ли компромисс на сайте A утечкой простого текста или хешированной версией?
задан Michael McGowan 362
4 ответа 4
Сначала ответим на последнюю часть: Да, было бы важно, если бы раскрываемые данные были открытым текстом или хешированием. В хэше, если вы измените один символ, весь хэш будет совершенно другим. Единственный способ, которым злоумышленник узнает пароль, — это взломать хэш (это невозможно, особенно если хэш несоленый. См. Радужные таблицы).
Восстановление страницы вк!!!Это такое говн.
Что касается вопроса о сходстве, это будет зависеть от того, что злоумышленник знает о вас. Если я получу ваш пароль на сайте A и если я знаю, что вы используете определенные шаблоны для создания имен пользователей или тому подобное, я могу попробовать те же соглашения в отношении паролей на сайтах, которые вы используете.
В качестве альтернативы, в паролях, которые вы приводите выше, если я как злоумышленник вижу очевидный шаблон, который я могу использовать, чтобы отделить специфичную для сайта часть пароля от общей части пароля, я определенно сделаю эту часть атаки с использованием специального пароля специально тебе. Например, скажем, у вас есть супер-безопасный пароль, такой как 58htg% HF!с. Чтобы использовать этот пароль на разных сайтах, вы добавляете элемент, специфичный для сайта, в начало, чтобы у вас были пароли, такие как: facebook58htg% HF!c, wellsfargo58htg% HF!c или gmail58htg% HF!c, вы можете поспорить, если я взломаю ваш Facebook и получу facebook58htg% HF!c Я собираюсь увидеть этот шаблон и использовать его на других сайтах, которые вы можете использовать. Все сводится к шаблонам. Увидит ли злоумышленник шаблон в определенной для сайта части и общую часть вашего пароля?
ответ дан queso 734
- Никогда не используйте один и тот же пароль для более чем одного сервиса,
- Введите какой-нибудь случайный (хотя бы немного) элемент в генерацию ваших паролей, и
- Никогда не передавайте и не сохраняйте ваши пароли в открытом виде
Вы должны быть в порядке. И не забывайте всегда иметь разные пароли для разных сервисов — просто не используйте один и тот же пароль для всех и даже не используйте один и тот же пароль дважды. Важно защититься от глупых компаний, которые отказываются следовать передовым методам, когда дело доходит до хранения пользовательских данных, таких как пароли.
ответ дан Michael Trausch 476
Что такое УКРАДЕННЫЕ ПАРОЛИ?
Мой короткий ответ — ДА. Например: strongpassword+game.com взломан,
Если я нападающий, мне очень легко понять шаблон, который вы использовали, и попробовать его на других сайтах. Например, сильный пароль +paypal.com
Чтобы исправить это, я лично использую:
hash ( strongpassword+game.com ) hash ( strongpassword+paypal.com )
Используя математические свойства хэша (я использую sha1), зная первый пароль, трудно найти пароль и второй пароль.
Если вы хотите больше подробностей, я сделал запись в блоге о безопасности пароля, которая точно отвечает на ваш вопрос:
Я также сделал несколько инструментов, чтобы упростить управление всеми моими паролями, потому что вам необходимо поменять взломанный пароль, запомнить максимальную длину пароля и т.д.
ответ дан yogsototh 171
Это зависит от того, что вы беспокоитесь. При широкомасштабной автоматической атаке с использованием учетных данных с одного сайта на другом, злоумышленник в первую очередь выберет самую легкую часть — люди, использующие точно такой же пароль. Как только это будет исчерпано, если атака все еще остается незамеченной, злоумышленник будет искать то, что он считает общими шаблонами — вероятно, что-то вроде базового пароля + сайт.
Умный злоумышленник, который уверен, что ее первоначальная атака (та, которая получила ваши пароли) осталась незамеченной, должна выполнить эту обработку перед использованием паролей, которые она добыла. В этом случае любая предсказуемая модификация опасна, в зависимости от того, насколько она очевидна для атакующего.
Если ваш пароль, скажем, префикс плюс случайный элемент, и злоумышленник подозревает это, а злоумышленник хэш-пароль вашего пароля на другом сайте, они могут получить ваш другой пароль немного раньше.
Вы можете создавать свои пароли, хешируя что-то предсказуемое, но если эта практика становится вообще распространенной или вы получаете личное внимание от вашего злоумышленника, это не спасет вас. В некотором смысле надежность пароля — это вопрос популярности арбитража.
TL; Dr не делать ничего детерминированного.
Источник: poweruser.guru
Скомпрометирован — что значит это слово?
Сотрудники «желтой прессы» очень любят знаменитостей, которые позволяют себя скомпрометировать. Что это значит для журналиста? То, что вскоре появится заметка, дополненная фото, которая вызовет интерес у читателей. Автор же статьи получит неплохой гонорар. Что это значит — «скомпрометирован»?
Рассмотрим происхождение и значение слова.
Компромат
Человек, который предпочитает отшельнический образ жизни, может вести себя как угодно. Много себе позволить может и тот, кто не боится общественного порицания. Чем известнее человек, чем чаще он совершает поступки, не соответствующие общепринятым понятиям о морали, тем быстрее он будет скомпрометирован.
Что это значит — «компромат»? Фотографии, бумаги, звукозапись, видео, которые содержат сведения, способные разоблачить темные стороны личности. «В глазах общественности он скомпрометирован» — что значит эта фраза? То, что роль, которую человек старательно играл, после определенных событий неубедительна.
Компромат — это то, чего боится лицо, занимающее высокий общественный статус. Неприглядные фотографии, видеозаписи, сделанные в неподходящий момент, звукозапись, на которой зафиксированы слова оскорбительного характера, — все это может губительно сказаться на карьере. Стоит сказать, что медийные личности, в отличие от политических деятелей, не боятся быть скомпрометированными. Значение они придают не тому, что они говорят, а количеству заметок, посвященных их профессиональной деятельности или личной жизни. Скандал в прессе – признак популярности.
Часто компромат используют преступники, специализирующиеся на вымогательстве. Нередко его применяют в политической игре, особенно в преддверии выборов.
Синонимы
Компромат — это слово, образованное от сокращения (компрометирующий материал). На многих языках звучит почти одинаково. Компрометировать – это портить репутацию, ставить в неловкое положение, выставлять в неблаговидных свете, порочить. В некоторых случаях синонимом может служить и глагол «дискредитировать».
Источник: fb.ru
Когда банковская карта считается скомпрометированной и что это означает для ее владельца
Компрометация пластиковой карты наступает в том случае, когда данные, необходимые для совершения платежей или съема наличных, становятся известны не только ее владельцу, но и посторонним. Если такую конфиденциальную информацию получат злоумышленники, то у них появится возможность вывести с карточки все накопления. При этом банк не сможет воспрепятствовать преступлению. Ведь мошенники будут действовать дистанционно и оперировать теми данными, которые, в принципе, должны быть известны только владельцу карты.
В этой статье мы расскажем:
- какую информацию владелец карты обязан хранить в строгом секрете:
- как происходит компрометация банковского пластика;
- какие последствия наступают для держателя карты, если она оказывается скомпрометированной;
- что делать, если секретные данные пластика стали известны другим людям.
Какую информацию пользователь карты должен держать в тайне
В соответствии с «Условиями пользования картой», которые владелец банковского пластика подписывает при его получении, он обязуется не разглашать:
- данные, нанесенные на саму карточку (ее номер, точное написание имени и фамилии владельца латинскими буквами, срок действия пластика, секретный код CVV2 (CVC2) с оборота карточки);
- PIN-код;
- логин и пароль для входа в интернет-банк и мобильное приложение, а также одноразовые пароли, приходящие по смс;
- секретное проверочное слово, которое задавалось при оформлении договора на обслуживание карты;
- данные своего общегражданского паспорта.
Как происходит компрометация карты
Однако на практике эти секретные сведения порой все же становятся известны третьим лицам. Причем в большинстве случаев платежные данные посторонним людям раскрывают сами владельцы банковских карт. Как это происходит?
Опытные мошенники звонят своим жертвам и представляются сотрудниками банков. Они сообщают человеку, что зафиксирована попытка перевести с его счета крупную сумму денег в соседний регион. Затем спрашивают у него, совершал ли он подобную трансакцию. Взволнованный владелец карты говорит, что лично он не делал никакого перевода. В ответ на это фальшивый сотрудник банка предлагает человеку отменить трансакцию и запрашивает у него конфиденциальные сведения.
Иногда мошенники узнают платежные данные у своей жертвы, чтобы «перевести на ее счет денежную сумму» (пришедшую в банк социальную помощь или излишне перечисленные средства по кредиту).
Получить данные банковской карты мошенники могут и при помощи технических средств. На картоприемники банкоматов преступники накладывают специальные устройства — скиммеры. Они способны считывать данные, помещенные на пластик. PIN-код карточки можно узнать с помощью специальной накладной клавиатуры или веб-камеры, передающей изображение в режиме онлайн. При этом скиммеры и накладные клавиатуры внешне ничем не отличаются от подлинного оборудования.
Завладеть данными пластика преступники могут в интернете с помощью поддельных сайтов. Злоумышленники умело создают копии популярных площадок (интернет-магазинов и онлайн-сервисов, на которых люди производят оплаты). При этом дизайн фальшивого сайта неотличим от дизайна оригинального, а его URL-адрес изменен всего лишь на одну букву. Введя данные своей карточки на таком сайте, вы передадите их мошенникам.
Отличить надежно защищенный сайт вы сможете, если внимательно присмотритесь к его адресу. URL-адрес безопасного сайта начинается с букв «https», а не «http». Так обозначается протокол, который шифрует все передаваемые посетителями данные. Перед адресом надежного сайта будет стоять изображение маленького замочка зеленого цвета — знака того, что вся передаваемая информация защищена.
Получить доступ к платежным сведениям преступники смогут, если взломают базу данных банка или заразят компьютер пользователя карты вирусом. Вредоносное ПО может попасть на ваш компьютер, если вы скачаете из интернета файл с бесплатным содержимым, перейдете по рекламной ссылке из письма на почту или даже если просто посетите зараженный сайт.
Также банковская карта будет считаться скомпрометированной, если человек ее потерял или забыл в банкомате. Даже если карточку потом вернули и деньги с нее не списали, пользоваться ей в дальнейшем опасно. Ведь банковский платежный инструмент держали в руках посторонние люди (нашедшие пластик граждане, инкассаторы, сотрудники финансовых учреждений). Все он могли видеть данные, нанесенные на него.
Списать с пластиковой карточки деньги можно, даже если не иметь ее на руках, не знать ее PIN-кода и не иметь доступа к привязанному к ней мобильному телефону. При совершении платежей через интернет система двухступенчатой идентификации клиента применяется далеко не всегда. В таком случае для списания денег с карточного счета достаточно ввести в платежную форму информацию, указанную на самом пластике (включая CVV2 /CVC2-код). Таким образом можно будет купить, например, несколько смартфонов топового уровня на китайском сайте Алиэкспресс или авиабилеты на сайте российской компании «S7». В обоих случаях ущерб для владельца скомпрометированного пластика составит несколько десятков тысяч рублей.
По той же причине не рекомендуется передавать пластиковую карту людям, которые принимают от вас оплату — продавцам в магазинах, официантам в барах, сотрудникам компаний по аренде автомобилей и т.д. Все подобные действия приводят к компрометации пластика. В этих случаях лучше показаться в глазах посторонних людей излишне мнительным, чем затем лишиться своих денег.
Последствия компрометации карты для ее владельца
Если секретные данные банковской карты (ее полные реквизиты, коды, пароли и т. п.) станут известны третьим лицам, то они получат доступ к банковскому счету человека и смогут распоряжаться деньгами, хранящимися на нем.
Согласно закону о «Национальной платежной системе», банк должен возместить клиенту сумму, снятую со счета без его ведома. Однако очень важно разобраться, по чьей вине произошла утечка данных, которые позволили произвести несанкционированное списание.
Если сотрудникам банка удастся доказать, что клиент «нарушил порядок использования электронного средства платежа», то деньги, списанные со счета без согласия человека, банк возмещать ему не должен. Другими словами: если банк покажет, что человек сам скомпрометировал данные своей карты, то средства, списанные со счета, он не вернет. Ведь в этом случае сотрудники банка выступали всего лишь в роли операторов и выполняли указания клиента. А введенные коды и пароли подтвердили волеизъявление человека.
Действия клиента банка, которые будут считаться нарушением технологии пользования пластиком, должны быть четко прописаны в «Условиях обслуживания карты». И владелец платежного инструмента перед тем, как начать совершать платежи, должен внимательно ознакомиться с этим документом.
Приведем конкретные примеры, когда банк может вернуть списанные после компрометации пластика деньги, а когда может отказать в возмещении утраченных средств. Часто бывает, что в процессе телефонного разговора с мошенниками человек сам сообщает им секретную информацию. Затем в течение нескольких секунд преступники выводят с его карточного счета все накопления.
Однако в этой ситуации очевидно, что пострадавший «нарушает порядок использования электронного средства платежа». Он разглашает посторонним людям информацию, которую должен держать в тайне. Здесь обращение в банк с требованием вернуть деньги, списанные без согласия человека, результата не принесет.
В каких ситуациях банки могут вернуть людям похищенные средства? Проиллюстрируем ответ на этот вопрос реальной историей. Клиент одного из российских банков столкнулся с финансовыми преступниками в Латинской Америке. В процессе расчета в одном из магазинов человек заметил, что продавщица подозрительно долго вертит его карточку в своих руках. Однако он принял этот эпизод за обычное любопытство женщины, которая в первый раз увидела экзотично выглядящую для нее карточку.
Через несколько дней, находясь в аэропорту перед вылетом на родину, человек неожиданно получил смс-уведомление от своего банка. В сообщении указывалось, что только что было произведено списание средств за покупку в неизвестном ему интернет-магазине. Все выглядело так, будто российский турист приобрел себе две обычные футболки по цене почти 1 000$ за каждую.
Оказалось, что продавец магазина вертела в руках карточку не просто, а перед веб-камерой. Таким образом данные карты стали известны ее подельникам. Через несколько дней, используя полученную информацию, преступники совершили покупку в своем же собственном интернет-магазине.
После получения уведомления о списании денег россиянин сразу же позвонил в банк и заблокировал карточку. После возвращения на родину он обратился в банк с претензией. Рассказанная им схема мошенничества оказалась знакомой сотрудникам службы безопасности кредитного учреждения. Проведенное расследование показало, что клиент банка не нарушал правила пользования пластиком.
Он совершил обычную платежную операцию и стал жертвой хорошо организованной банды мошенников. Выведенные с его счета деньги банк вернул.
Стороной, пострадавшей от преступников, оказалась финансовая организация. Теперь она сама должна обращаться с заявлением в полицию, требовать заведения уголовного дела, розыска преступников и возмещения за их счет нанесенного ей ущерба.
Что делать, если данные пластиковой карты стали известны посторонним
Если факт компрометации платежного средства станет известен банку, то он сам без согласия клиента заблокирует пластик. Это будет сделано в целях защиты интересов человека, чтобы предотвратить хищение его денежных средств.
Если гражданин заподозрил, что данные его банковской карты могут быть известны третьим лицам (он потерял пластик или получил уведомление об операции, которую не совершал), то ему следует немедленно связаться со своим банком и попросить заблокировать карточку. Компрометация данных пластика может нанести серьезный ущерб.
Источник: moneyzz.ru