PplWare Mobile

Foi descoberta a maior fuga de palavras-passe da história… E provavelmente está a afetá-lo

                                    
                                

Autor: Rui Neto


  1. Saiyajin says:

    fizeram uma nova compilação de passwords

  2. O Barbaro says:

    Balelas, se não tem o username, o mail ou qualquer outra parte que associe a palavra passe uma entidade ou individuo, isso não é absolutamente nada.

    • Zé Fonseca A. says:

      não deves saber o que faz um brute force, mas eu explico, para um login vai testar todas as tentativas de passwords conhecidas… 2+2 = ?!?!

      • O Barbaro says:

        Que tem uma coisa a ver com a outra ? Qual é a diferença em descarregares um ficheiro com milhões de strings e um programa a gerar milhões de strings ? Se esse ficheiro tem milhões de palavras passe… pois o gerador de strings também as pode criar para o brut force. Em suma esse ficheiro não é absolutamente nada.

        • Naodou says:

          A diferença é a quantidade de passwords usadas vs não usadas

        • W. says:

          Se considerarmos que as passwords têm no máximo um comprimento de 10 caracteres.

          Constituídas “apenas” por dígitos de 0 a 9, e a 26 letras básicas ocidentais de “a” a “z”, sem cedilhas, acentos ou equivalentes. Maiúsculas e minúsculas.

          São 10 dígitos, 26 letras minúsculas + 26 letras maiúsculas, ou seja, 62 caracteres, recetíveis 10 vezes, ou seja, 62 elevado a 10.

          Um programa que gere estas strings todas, vai gerar 839.299.365.868.340.224 strings diferentes. Para strings com um comprimento máximo de 10 míseros caracteres! Só com dígitos e letras básicas!

          10.000.000.000 nem sequer é comparável.

          Além disso, dessas 10k milhões muitas hão de ser repetidas e idênticas.

          Neste exemplo, esse ficheiro acelera o brute force numa porção de 83 milhões de vezes mais rápido.

          Se as passwords forem maiores e mais complexas, esse ganho é ainda maior.

      • David Guerreiro says:

        Como se conseguissem fazer tentativas de login infinitas em todos os serviços. Dificilmente a maioria dos serviços permite tentativas de entrada inifintas sem bloquear

    • No-IA says:

      Então e o brute force amigo? Se eu agarrar no email do meu tio avô e meter um script a fazer brute force consultando esse ficheiro, aka, dicionário, não poderei ter a sorte na pesca?
      Demora? Dá trabalho? Poderá não resultar? Sim
      Mas se resultar e eu tiver acesso à sua conta e tirar uns milhares?
      Bem sei dos métodos de autenticação 2 fatores, SMS tokens e o resto deles mas ainda assim não se pode dizer que isto são balelas amigo.

  3. sergio m says:

    alterem as password sim.
    No mês que vem voltam a ser hackeadas milhões de contas, enfim 🙂
    É um ciclo infinito…

  4. SergioA says:

    Eu tambem sei o numero de telemovel e de telefone de toda a gente!
    So nao sei a quem pertence.

    Isto nao e nada mais que um dicionario. As palavras passe estao la, so nao se sabe a quem pertence.
    Tive algumas palavras passe de ha 10 anos em que o google ja disse que essa pass ja esta na lista. Na boa, sao para paginas e contas da treta de uso quase unico.

  5. Pedro António says:

    Parece-me que não há nada de perigoso!
    Num fóruns de hackers que querem visibilidade!

  6. Marcos says:

    Qualquer programa pode gerar infinitas pass para fazer o brute force attack, por isso é que há um número de tentativas limite num limite de tempo, talvez daqui a 100 anos entrem nessas contas da treta que tenho, já os mails e contas importantes a pass a usar é outra bem mais forte….
    Os sistemas em si até são seguros, o que faz deles inseguros é o utilizador, nunca vai haver sistema nenhum eficaz por mais seguro que seja se o utilizador em um ou outro momento revelar dados de acesso…..

  7. joao carlos says:

    como se vê, nao sabeis o que e um brute force!!!!, eu testar 1 milhao de PW seguidos (ou seja começar no 0 e acabar no 999.999) nao é a mesma coisa que ter 1 milhao de PW aleatorias.
    alias eu ate posso ter 1 milhao de PW que nem sequer tenha um desses numeros acima referidos.
    Uma PW com 4 caracteres nao tem so 9.999 combinaçoes, se incluires letras e caracteres especiais. tem uma infinidade de soluçoes. nem consigo calcular esse resultado rapidamente.

  8. bm says:

    Lista de passwords… milhões! Normal…a quantidade de plataformas e utilizadores que existem ou existiram…
    Vale o que vale este alerta…Autenticação de dois fatores hoje em dia deveria ser obrigatório …
    Nunca ninguém está seguro!

  9. Nirelle says:

    Um caso raro onde há fumo mas não há fogo 🙂

  10. Jack says:

    Alguém tem o link para o ficheiro?

  11. Dinis says:

    Para já, desde a última compilação feita pelos mesmo só apareceram 1 e tal milhões novas passwords. E todas são de leaks já conhecidos. Isto é uma compilação.
    Os problemas que eu vejo com isto são 2. Um menos grave e outro muito mais grave. O menos grave é que esta compilação pode ser usada por um programa que corre todos esses milhões de passwords em fracções de segundo com um computador normal e aposto que 90% das contas do mundo são acedidas por uma password nesta lista. A gravidade é relativa porque estas passwords já estavam disponíveis e quem leva a sério já as tinham. Alguém disse que sem o usernme só a password não serve de nada mas também já existem listas de usernames e o Linux tem sempre o utilizador root. Além disso, com o aumento das capacidades computacionais das placas gráficas o brute force (o computador corre todas as combinações possíveis dentro do mapa de caracteres definido para essa password) tornou-se viável sem um super computador. A cerca de 20 anos experimentei uma ferramenta que para uma password de uns 6 caracteres só com letras (maiúsculas e minúsculas) demorava uns 300 anos no meu computador (os NÃO são os certos mas são para exemplificar). Essa aplicação até tinha um método misto em que eu podia colocar um “dicionário” (a lista de palavras ou lista de passwords conhecidas) e fazia a brute force primeiro à volta de combinações dessas palavras…. demora uns 150 anos… Agora, uma password alfanumérica de 12 dígitos mais caracteres especiais uma placa gráfica faz em 10 minutos (outra vez um exagero mas não é na ordem de anos se percebem o que eu quero dizer).
    O segundo problema que eu vejo é o facto de de alguma maneira (que eu não sou capaz de apontar mesmo o dedo) isto sirva para treinar IA para encontrar alguns padrões marados. Mas, outra vez, quem tem interesse e percebe já tinhas estás listas todas…

  12. Joao says:

    pergunta estupida… assumindo que sao 10 mil milhoes de palavras passes differentes… sao 10 mil. milhoes de palavras combinadas que nao podemos usar ? tipo entao nao. importa qual a palavra passe nova vai estar sempre na lista (?!) lol

    • Warlock says:

      longe disso, com apenas 4 letras e apenas sendo uma letra em maiusculas podes ter 1827904… logo as combinacoes possiveis sao de numeros impressionantes, o ficheiro em causa tem “mto pcas” passwords na realidade, apesar das ultimas versoes ter cerca de 130mb so em texto. Eu tenho mtas password e algumas ate bastante inseguras, e nenhuma das que tenho estao la. Logo digo com seguranca que nao é nada facil, se as pessoas usarem numero, letras, caractares e maisculas.

  13. Marcos says:

    Posso ter um script a gerar passwords e uma banco de passwords, bem uma boa password com servidor bem configurado com limite de tentativas num espaço de tempo será muito mas mesmo muito difícil encontrar em tempo útil, se a minha pass está na outra opção que é o banco de dados então já fui eu que fiz asneira e num ou outro momento a divulguei…..mais uma vez digo os sistemas são seguros, quem faz deles inseguros é o utilizador qdo cede dados de acesso ou anda em sites que não deve…..

  14. Dinis says:

    Isto deve ser só para os amigos

  15. F1sg4x says:

    “A maior fuga de palavras-passe da história
    Tudo começou na passada quinta-feira, 4 de julho, quando, num dos fóruns de hackers mais importantes do mundo, foi descoberto um ficheiro de tamanho considerável chamado “rockyou2024.txt”. Nele encontrava-se a fuga de palavras-passe mais relevante até à data.”

    De que fórum de hackers se trata?

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.