Что значит ваш пароль был скомпрометирован

Как проверить логин или пароль на скомпрометированность

6pPvBuwv6N GSmMkB30eQvodwgY 100

Всем привет!
Я с детства интересовался разной техникой и электроникой и спасибо родителям что не отбивали у меня это желание. Позже появился компьютер, принципы работы которого меня интересовали на равне с софтверной частью процесса. Наверное тогда было положено начало моего стремления найти профессию на стыке областей.

Похоже, что год, как начало хорошо получаться. Я работаю системным аналитиком в Ростовской частной кампании. Если кому интересно, кто такой системный аналитик — сделаю отдельный пост, или отвечу в комменты.

Путь в IT был немного странным… Я учился в аспирантуре. 🙂 С дуру. 🙂 Сдал кандидатский минимум, на дисер так и не вышел. Потом работал около IT — в Ростовском-на-Дону (старом) аэропорту инженером по учету вычислительной техники. Дальше была перевозка автомобилей по ЖД из москвы на Восток нашей необъятной до самого Петропавловска-Камчатского. Повезло и в том же проекте (про грузоперевозки) я стал аналитиком. Теперь вот уже приобрел приставку «системный», но уже в другой фирме.

Интересная штука заключается в том, что некоторые проекты, казалось бы обреченные на популярность, ну, скажем «не заводятся»… Как одно из моих детищ, о котором я хотел бы сказать пару слов. Да, к стати, пока и в ближайшем будущем проект 100% бесплатный — azpassword.ru.

Один из них — это сервис проверки логина и/или пароля на скомпрометированность.
Т.е. можно бесплатно узнать, попадала ли когда-либо связка «твой Логин + Пароль» в руки злоумышленников.
Зачем? За тем, что-бы поменять пароль и держать свои данные в безопасности (вот Дзюба, видимо пароли не менял.) 🙂

Vxk65t8rv9DHeyXu7D4sX9jfnlc 960

Кроме логина можно проверить и пароль. И даже, если проверка покажет, что пароль скомпрометирован — это не значит что вы в прямой опасности. Дело в том, что при попытке намеренного взлома первое что делают злоумышленники — пробуют применить при взломе все пароли из справочника известных паролей. Эти справочники можно даже через торрент скачать, не говоря уж о дарк-нете. Так вот. Перебор по этим справочникам многократно уменьшает время взлома. Другими словами. Если вы проверили свой пароль и он скомпрометирован — значит, что он есть в справочнике паролей, который будут использовать при взломе. Его лучше поменять на «незасвеченый». Это не даст гарантии, что вашу учетку не взломают — но многократно увеличит сложность и время взлома.

QEIRReB8Jam3dBZmghRNAPA5 zI 960

Кто более-менее разбирается — поймет, что эти проверки безопасные. Мы не видим ни логины ни пароли и никуда не передаем их в открытом виде. Проверяемые данные шифруются и для проверки на сервер передается только небольшой отрывок шифра, по которому на клиентскую часть возвращается массив вариантов таких же шифров, в которых совпадает проверяемый кусочек шифра. Сравнение и выборка «того самого» полного шифра происходит на ПК пользователя.

Пример на пальцах.
Проверяется пароль 123456.
Он на стороне клиента превращается в последовательность символов:
ba3253876aed6bc22d4a6ff53d8406c6ad864195

Браузер клиента выбирает кусочек. Ну, например «22d4» и отправляет этот кусочек на наш сервер.
Мы по базе ищем все совпадения по данным, зашифрованным тем же образом и отправляем клиенту массив данных — строки, содержащие «22d4». Например:
22d4oidfsggb651rstbn68s45bt1s365th4s3d51b6
ef56bvse6vb4122d4654a3dsv16a4sfb65daf1bv9
6asd5vf4a65wrg422d46845asgdfv64a6v46a45rv
eb49w84b69w5e1vb69qer1v65er1g6894qer22d4
ba3253876aed6bc22d4a6ff53d8406c6ad864195

Заметьте, что в каждой из строк есть «22d4». Т.е. мы не знаем, что вы ввели для проверки. Мы отправили все, что нашли. И только Ваше устройство знает, что было отправлено ba3253876aed6bc22d4a6ff53d8406c6ad864195. В нашем ответе такая строка содержится. Значит проверяемые учетные данные скомпрометированы.
Если бы не содержалась — значит ваш логин или пароль никогда не попадал в руки злоумышленников* (Ну, по крайней мере с очень высокой долей вероятности).

Помимо проверки логинов и паролей на сайте можно сгенерировать надежный пароль по выбранным вами параметрам.

Нет, это не реклама.
Нет, меня не заставили.
Нет, мне за это не заплатят.
Просто мне нравится моя работа и нравится создавать сервисы для людей. Но не всегда люди знают, что есть такие сервисы. 🙂
Вот и решил поделиться с вами.

Источник

ВКонтакте: неправильно введен старый пароль, номер, email. Невозможно подать заявку на восстановление. Что делать?

Подаю заявку на восстановление страницы ВКонтакте. «Нам необходимо убедиться, что вы — владелец этой страницы. Поэтому мы просим подтвердить вашу личность. Укажите все данные, которые помните».

Нужно указать доступный (действующий) номер, старый пароль, старый номер, иногда еще старый email. Ввожу данные — возникает ошибка «Неправильно введен старый пароль» (номер, email) или «Укажите последний привязанный к странице номер». Что делать?

vkontakte ukazhite staryi parol

Если ты не можешь войти в ВК из-за того, что пароль введен неправильно, тебе нужно восстановить доступ. Об этом другая инструкция:

Решение проблемы

ВК дает подсказку: «Укажите все данные, которые помните». То есть если ты помнишь какие-либо из этих данных, надо их указать. Например, один из старых паролей или старый номер. Если не помнишь — не надо указывать! Оставь эти поля пустыми. Не заполняй то, чего не помнишь. То же самое, если ты вроде бы вводишь все верно, а ВК говорит, что неверно. Не вводи ничего.

Читайте также:  Что делать когда становится желудок

Но в мобильном приложении может возникнуть проблема: ВК не дает подать заявку, если данные не указаны, а если указать пароль или номер, он выдает ошибку, что данные введены неверно. Решение — не нужно делать это через приложение. Восстанавливай доступ через полную версию сайта ВК:

Желательно делать это с компьютера, ноутбука, планшета — то есть с такого устройства, которое имеет достаточно большой экран и где нормально работает полноценный браузер.

Если есть только телефон, то можно попробовать подать заявку через мобильную версию сайта (в браузере телефона), но все же лучше воспользоваться полной версией. Вероятность возникновения проблем будет существенно меньше.

Восстановление доступа — серьезное дело. Рекомендуется заниматься этим с компьютера, через нормальный браузер. По опыту, при этом возникает меньше проблем, чем с телефона.

В случае, когда и через полную версию ВК не дает создать заявку без указания старого пароля, а при его указании сообщает, что пароль неправильный, придется восстанавливать доступ через диалог с агентами. Создай запрос в поддержку ВК и укажи ссылку на страницу, которую хочешь восстановить. Как создать запрос:

Зачем ВК требует старый пароль и номер?

Когда восстанавливаешь доступ, ВК требует ввести старый пароль, номер, иногда email. Не обязательно самый последний пароль. Это может быть один из старых паролей, которые когда-либо были на странице. Если ты укажешь старые данные верно, то это будет служить дополнительным доказательством, что ты — настоящий владелец страницы, а не злоумышленник.

Ошибка «Этот пароль скомпрометирован»

При восстановлении страницы после «взлома», когда указываешь старый пароль, может возникнуть ошибка «Этот пароль скомпрометирован. Этот пароль известен мошенникам, которые получали доступ к странице ранее, и не может быть использован для восстановления доступа».

Проще говоря, пароль, который узнали злоумышленники, уже не может служить дополнительным доказательством, что заявку на восстановление подает настоящий владелец страницы.

Решение здесь точно такое же: не указывать никакой пароль (или же указать один из других старых паролей), и восстанавливать доступ не с телефона, а через полную версию сайта ВК.

Хранит ли ВК мои старые пароли?

Нет, в ВК не хранятся никакие пароли — ни старый, ни твой действующий. Но там хранятся результаты сложных математических вычислений на основе этих паролей (условно говоря, некие очень большие числа, которые по-другому называются хэши паролей).

Если произвести те же вычисления над паролем, который ты укажешь, и получится то же самое число, значит, пароль введен верно. А вот в обратную сторону это не работает — узнать пароль из этого числа нельзя. Это математика. Так делается и на многих других сайтах в целях безопасности пользователей.

Источник

Что значит ваш пароль был скомпрометирован, при смене и входе на сайт?

ваш пароль был скомпрометирован mail

ваш пароль был скомпрометирован вконтакте

доступ к ящику ограничен поскольку ваш пароль был скомпрометирован

что значит пароль был скомпрометирован вконтакте

пароль скомпрометирован что делать

как понять скомпрометирован

введенный вами пароль был ранее скомпрометирован пожалуйста укажите другой пароль

answer avatar

Притом не только на этом сайте а на всех других также где вы его вносили в качестве своего пароля.

Всё потому что данная комбинация вашего пароля уже числится в хакерских базах созданных для взлома или даже когда то уже использовалась.

answer avatar

Пароль, который вы указали при смене или при входе на сайт, был обнаружен в общедоступных хакерских базах. Многие сайты проверяют пароли пользователей по базам скомпрометированных паролей и не дают возможности использовать их во избежание взлома вашей учётной записи.

answer avatar

Взломали значит пароль.

Но у меня была иная ситуация, заходил на один и тот же сайт, но с разных компьютеров в итоге системе показалось что мой пароль взломан и выскочило предупреждение о том что пароль пора менять.

Если есть возможность привяжите пароль к номеру телефона.

answer avatar

Ваш пароль был не тяжелый и его смогли подобрать чтобы зайти на сайт, почту, инстаграм и тп. Ничего страшного в уведомления о скомпрометированност­ и нет (для бв), просто вам его нужно теперь будет новый придумать для входа. Старым пользоваться вам система уже не даст (для бв). У меня неоднократно было такое вк когда страницу вламывали и на майл.ру. Ничего сложно нет чтобы придумать новый пароль (бв) и подтвердить его в системе. Обычно нужно сложный придумывать и чтобы были не только буквы, но и пару цифр, а так же первая буква заглавная. Бывает что система сама предлагает не простой пароль, можно им воспользоваться.

answer avatar

С такой ситуацией приходилось пару раз сталкиваться и мне, когда в сети появилась база пользователей и данные от аккаунтов, наткнулся я там и на свой, но просто у меня для защиты были привязаны некоторые дополнительные аккаунты к данному, поэтому просто поменял пароль без проблем и все.

Читайте также:  Что за валюта kzt это в рублях

В другой раз это уже было немного иначе, возможно из-за того, что на некоторых сайтах, куда я не планировал возвращаться в дальнейшем, ставил несложные пароли, а на один из них вернуться все-таки потребовалось, поэтому тоже пришлось пароль менять на более сложный

answer avatar

у меня на пикабу стал выскакивать прямоугольник с сообщением о скомпрометированност­ и моего пароля.И теперь не получается там писать коменты и ставить минусы,плюсы.Они написали,что отправили соотв.письмо мне на мою эл.почту,зашла посмотреть,а там нет ихнего письма.Почему так?

answer avatar

answer avatar

answer avatar

Скомпрометированный пароль использовать невозможно. Это значит, он либо слишком доступный ввиду своей простоты либо имеются подозрения на попытку хакерского взлома вашего входа по паролю.

WXohmsC7GPVTq9J6PhYE3Wkz4QsEOy2

Есть вариант и вовсе неприятный- по итогам проверки ваш тайный код для входа на сайт оказался в руках хакеров в их базе данных. БВ. https://text.ru/anti­ plagiat/5b7b70026e23a

answer avatar

answer avatar

answer avatar

У меня муж по идеи должен знать. Но или забывает ( что более вероятно) или делает вид, что забыл. У него не было электронного ящика. Завести свой мужу было очень лень. Стал пользоваться моим. И почему-то сам ящик помнит, а пароль постоянно у меня спрашивает. Хотя проще простого запомнить- день рождения моего племянника.

Еще он почему-то не может переводить деньги со своей карты на мою. Ему проще взять у меня мою карту и через банкомат внести деньги. Но перед тем как взять у меня карту, нужно меня пытать на предмет написания бумажки с кодом карты. Код четыре цифры, и да, опять день рождение ну очень близкого родственника.

Если честно, после многих лет брака, не понимаю я этих «личных границ». Партнеры под одним одеялом спят, одним воздухом дышат, и простите одним унитазом пользуются. Есть что скрывать? Что это тогда за совместная жизнь?

Меня всегда изумляли подружки, у которых пароль на телефоне стоит. Я спокойно веду переписку с бывшим. Знаю, что муж не будет копаться в моем телефоне и выяснять, а кому именно я пишу. Мне скрывать абсолютно нечего. Его телефон я беру совершенно спокойно. И не для того, чтобы в содержимом копаться. Хотя там тоже ничего криминального нет, я уверена. Если бы хотел что-то скрыть, то сделал бы это по другому.

answer avatar

Тут всю зависит от того, кто делал сайт и с какой целью.

По идее, пароли должны храниться в захешированном виде и тогда даже администратор не сможет их узнать.

Однако, есть вариант, что сайт писал ленивый или криворукий человек, а посему пароли хранятся в своём первозданном виде и админ сможет их просмотреть.

answer avatar

Завести свою, и дело с концом. Ну или договориться с соседями о долевой оплате интернета, тогда они дадут вам свой пароль.

Источник

что значит Ваш пароль был скомпрометирован

Скомпрометированы данные десятков тысяч пользователей «ВКонтакте»

Александр Гостев
опубликовано 30 июл 2009, 18:27 MSK
Сюжеты: Утечки конфиденциальной информации, Социальные сети

Информация была опубликована на одном из хакерских сайтов.

Наши эксперты проанализировали эти данные и подтверждают факт компрометации.

Согласно нашей информации инцидент выглядит следующим образом:

Сайт, указанный в сообщении (83.133.120.252), известен «Лаборатории Касперского» как фишинговый и блокируется при попытке обращения к нему персональными продуктами.

После установки в систему данный троянец подменял файл hosts на следующий:

83.133.120.252 vkontakte.ru
83.133.120.252 odnoklassniki.ru

Потом, когда пользователь пытался открыть сайт одной из этих социальных сетей, то его перенаправляли на фишинговую страницу, в которой надо было залогиниться.

Логин и пароль уходили в базы на том же сайте 83.133.120.252. В настоящий момент база «Одноклассников» пуста, поэтому говорить о компрометации данных пользователей и этой социальной сети — пока рано.

После того, как пользователь логинился на поддельной странице, происходил редирект сначала на новую страницу. На данной странице имеется следующий текст:

Ваш аккаунт опознан системой как потенциально опасный.
С вашего IP-адресса ведётся Спам-рассылка.
Аккаунт признан фейком, созданным злоумышленниками для Спам-рассылок, и будет удалён через 24 часа после прочтения данного уведомления, в случае отказа от подтверждения аккаунта.

Если аккаунт настоящий, его необходимо подтвердить.

Стоимость смс соответствует стоимости по вашему тарифному плану.
[ссылка заблокирована по решению администрации проекта]

Источник

Если пароль скомпрометирован,» подобный » пароль также скомпрометирован?

Что значит ваш пароль был скомпрометирован, при смене и входе на сайт? Что делать, меня взломали?

Скомпрометированный пароль использовать невозможно. Это значит, он либо слишком доступный ввиду своей простоты либо имеются подозрения на попытку хакерского взлома вашего входа по паролю.

Есть вариант и вовсе неприятный- по итогам проверки ваш тайный код для входа на сайт оказался в руках хакеров в их базе данных.

Это означает, что пароль необходимо менять как можно скорее. И желательно заменить его на более сложный, потому что по всей видимости предыдущий попал в сеть или имеется в хакерской базе для взлома. У меня такое случалось пару раз, я грешу на вход с устройства, где был вирус. Всегда проверяйте по возможности устройства на вирусы, и если позволяет память — не сохраняйте пароль на устройстве. Делайте привязку аккаунта к мобильному телефону, чтобы было надежнее.

Читайте также:  Чем хороша спортивная гимнастика

Взломали значит пароль.

Но у меня была иная ситуация, заходил на один и тот же сайт, но с разных компьютеров в итоге системе показалось что мой пароль взломан и выскочило предупреждение о том что пароль пора менять.

Если есть возможность привяжите пароль к номеру телефона.

Если при вводе пароля на каком либо из сайтов вам высветилось данное сообщение о компрометации пароля — вам в обязательном порядке будет нужно изменить этот пароль.

Притом не только на этом сайте а на всех других также где вы его вносили в качестве своего пароля.

Всё потому что данная комбинация вашего пароля уже числится в хакерских базах созданных для взлома или даже когда то уже использовалась.

Чтобы в дальнейшем случайно и неожиданно не возникло проблем со взломом — скомпрометированный пароль уже лучше никогда не использовать, да и можно для себя отметить на заметку что под данным паролем возможен взлом в дальнейшем.

Все просто — ваш пароль «срисовали» — угадали, подобрали, взломали. Но если вы видите это сообщение, значит вы все таки вошли в свой аккаунт, получается ваш пароль хотя и уже знают, но еще не сменили. Чаще всего это дело времени. Подборами паролей занимаются боты, а меняют уже живые люди. Так вот видимо злоумышленник, на которого работает эта программа взлома, пока еще не онлайн (или ему просто некогда) но программа защиты вашего ресурса, уже распознала это и дала вам знать. Срочно меняйте пароль!

Firefox проверит скомпрометированные пароли методом k-анонимизации / Хабр

pp image 64639 wu8rg84iot73bca4644d5e60decec6354ddf1c9fe8

В данном случае k-анонимизация означает, что хэшируются (SHA-1) и отправляются шесть первых символов электронной почты, а HIBP возвращает хэши всех полных адресов, которые соответствуют такой маске. Firefox Monitor сверяет эти хэши с хэшем полного адреса, который не покидает пределы сервиса Firefox. Подробнее о математической основе k-анонимности см. в статье Clouflare, которая в феврале 2018 года реализовала аналогичную функцию по анонимному обмену персональными данными. Разработчики отмечают, что у среднего пользователя сотни аккаунтов на разных сайтах в интернете. Для каждого из них требуется пароль. В то же время кардинально растёт число взломов с утечками парольных баз. Часто пароли хранятся в хэшированном виде, но злоумышленники находят новые креативные способы их расшифровки. Чтобы уменьшить ущерб от утечки, человек должен оперативно изменить пароли на всех остальных сайтах, где используется такие же комбинации символов. Особенно на своём почтовом ящике, который становится главной мишенью хакеров, поскольку адрес электронной почты обычно указан непосредственно в парольном дампе, вместе с аккаунтом и паролем. Но чтобы иметь предпринять такие действия, человек в первую очередь должен быть уведомлен об утечке. Вот для чего в браузер Firefox внедряют новый инструмент безопасности, который со следующей недели начнут тестировать на ограниченной выборке около 250 тыс. человек. После успешного результата сервис сделают доступным для всех. Первые слухи, что Mozilla собирается интегрировать HIBP в Firefox, появились в ноябре прошлого года, и создатель этого сервиса специалист по безопасности Трой Хант был весьма удивлён. И не зря. Оказалось, что речь идёт всего лишь об уведомлениях Breach Alerts: простых уведомлениях, которые показывает браузер, если заходит на скомпрометированный сайт. Это совершенно другое дело. Хотя и там Firefox получал информацию об адресах скомпрометированных сайтов через общедоступный API-интерфейс HIBP. Но в данном случае поднятая на пустом месте шумиха в прессе сыграла положительную роль. Организация Mozilla поняла, что функция настоящей проверки взломанных паролей действительно будет полезной, если все вокруг так кричат о ней. И вот сейчас это случилось. Пока что HIBP интегрируется в Firefox в самой простой форме. Там можно просто зарегистрироваться на получение уведомлений об утечке пароля. Если такая случится, пользователя уведомят сразу, как только парольная база пойдёт по подпольным хакерским форумам и попадёт в руки Троя Ханта. Сразу после этого пользователь получит сообщение примерно такого вида:

В случае недавнего взлома Ticketfly (на скриншоте) сервис HIBP разослал уведомления примерно 105 000 пользователям из общей базы 2 млн человек, которые вообще подписались на получение уведомлений. Два миллиона — это капля в море, ведь в парольных базах HIBP сейчас 5,1 млрд записей и 3,1 млрд уникальных адресов электронной почты. То есть Трой Хант может уведомить всего лишь 0,06% потенциальных пострадавших. Но когда в игру вступит Firefox, количество пользователей кардинально
увеличится. Речь идёт об увеличении количества подписчиков на порядок или на два порядка. Кроме Firefox, сервис HIMP теперь интегрирован в веб-версию 1Password и доступен через функцию Watchtower.

Источник

Adblock
detector