RSS

Tag Archives: Passwords

Πώς θα δημιουργήσετε ασφαλή passwords

Στο πλαίσιο της Ημέρας Αλλαγής Κωδικού Πρόσβασης, οι ερευνητές ασφάλειας της Kaspersky Lab συμβουλεύουν τους χρήστες ότι οι μοναδικοί και ευκολομνημόνευτοι κωδικοί πρόσβασης είναι ισχυρότεροι και αποτελεσματικότεροι από τις τακτικές αλλαγές τους, όταν πρόκειται για την ασφαλή διατήρηση των δεδομένων.

Οι ερευνητές μοιράζονται μερικά απλά βήματα που μπορούν να ακολουθήσουν οι χρήστες για να δημιουργήσουν τη δική τους σειρά μοναδικών κωδικών πρόσβασης. Επίσης, συνιστούν την εγκατάσταση εργαλείου διαχείρισης κωδικών πρόσβασης που θα αναλάβει να κάνει τη «βρώμικη» δουλειά της απομνημόνευσης των κωδικών πρόσβασης για λογαριασμό των χρηστών.

Οι κωδικοί πρόσβασης είναι μια καθιερωμένη μέθοδος ελέγχου ταυτότητας για τους online λογαριασμούς, αλλά η δημιουργία κωδικών που θα είναι ασφαλείς και ευκολομνημόνευτοι δεν είναι πάντα εύκολη υπόθεση και γίνεται όλο και πιο δύσκολη, καθώς οι άνθρωποι έχουν περισσότερους από έναν λογαριασμούς στο διαδίκτυο. Εάν δημιουργείτε απλούς κωδικούς πρόσβασης που είναι απίθανο να ξεχάσετε, ο κίνδυνος παραβίασης από έναν hacker είναι μεγαλύτερος. Ωστόσο, αν δημιουργήσετε έναν πιο περίπλοκο κωδικό πρόσβασης, είναι πιο πιθανό να τον ξεχάσετε, έτσι οι πιθανότητες είναι υψηλές ότι θα «κολλήσετε» σε έναν ή δύο και θα τους επαναχρησιμοποιείτε σε πολλαπλούς ιστότοπους.

Οι ερευνητές της Kaspersky Lab εκτιμούν ότι η μεγαλύτερη ευπάθεια των κωδικών πρόσβασης είναι η επαναχρησιμοποίησή τους. Όπως έδειξε η πρόσφατη διαρροή περισσότερων από 700 εκατομμυρίων email και εκατομμυρίων μη κρυπτογραφημένων κωδικών πρόσβασης, τα δεδομένα από διαφορετικές παραβιάσεις μπορούν εύκολα να συνδυαστούν και να χρησιμοποιηθούν σε επιθέσεις, όπου οι χάκερ χρησιμοποιούν συνδυασμούς email/κωδικών θυμάτων για να παραβιάσουν κι άλλους λογαριασμούς που έχουν τον ίδιο κωδικό πρόσβασης.

Για να ελαχιστοποιηθεί ο κίνδυνος αυτός, δεν χρειάζεται συχνή αλλαγή των κωδικών πρόσβασης, αλλά ισχυροποίησή τους όχι μέσω πολυπλοκότητας αλλά μέσω μοναδικότητας.

Ο David Jacoby, ερευνητής στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky Lab (GReAT), δήλωσε: «Υπάρχει μεγάλη σύγχυση σχετικά με το τι πράγματι σημαίνει ένας ισχυρός κωδικός πρόσβασης. Πολλοί ιστότοποι απαιτούν πλέον πολύπλοκους κωδικούς πρόσβασης που περιλαμβάνουν τουλάχιστον οκτώ ή περισσότερα κεφαλαία γράμματα, αριθμούς και ειδικούς χαρακτήρες. Αυτή την απαίτηση είναι που πολλοί χρήστες έχουν έρθει να εξισώσουν με έναν “ισχυρό” κωδικό πρόσβασης, κάτι που μπορεί να φαίνεται αρκετά τρομακτικό».

Και πρόσθεσε: «Τα καλά νέα είναι ότι οι ισχυροί κωδικοί δεν πρέπει να είναι απαραίτητα και τρομακτικοί! Όταν εξετάζετε το ζήτημα από την άποψη της ασφάλειας, μπορείτε να δείτε ότι οι κωδικοί πρόσβασης είναι γενικά ισχυροί αν είναι μοναδικοί για εσάς και για έναν λογαριασμό. Υπάρχουν εύκολοι τρόποι να γίνουν μοναδικοί, αλλά και ευκολομνημόνευτοι, έτσι ώστε να μην μπορούν να χρησιμοποιηθούν για την παραβίαση άλλων λογαριασμών, ακόμη και αν εκτεθούν λεπτομέρειες σε περίπτωση παραβίασης δεδομένων. Επιπλέον, υπάρχουν διαθέσιμα ασφαλή εργαλεία διαχείρισης κωδικών πρόσβασης, συμπεριλαμβανομένου του Kaspersky Password Manager, που διευκολύνουν την ασφαλή δημιουργία και χρήση δεκάδων μοναδικών κωδικών πρόσβασης».

Τα παρακάτω βήματα θα σας βοηθήσουν να δημιουργήσετε μοναδικούς, ευκολομνημόνευτους και ισχυρούς κωδικούς πρόσβασης:

Βήμα 1: Δημιουργήστε το δικό σας «σταθερό κομμάτι» (το μέρος του κωδικού πρόσβασης που δεν αλλάζει)

Σκεφτείτε μια φράση, στίχους τραγουδιού, αποσπάσματα από μια ταινία, ομοιοκαταληξία ή κάτι αντίστοιχο που είναι εύκολο να το θυμάστε.

Πάρτε το πρώτο γράμμα από τις πρώτες τρεις έως πέντε λέξεις.

Μεταξύ κάθε γράμματος προσθέστε έναν ειδικό χαρακτήρα: @ / # κ.λπ.

Από εδώ και στο εξής, μπορείτε να βασίσετε όλους τους μοναδικούς κωδικούς πρόσβασής σας σε αυτή τη σειρά.

Βήμα 2: Προσθέστε τη δύναμη της συσχέτισης

Όταν σκέφτεστε τους διαδικτυακούς λογαριασμούς για τους οποίους χρειάζεστε έναν κωδικό πρόσβασης (Facebook, Twitter, eBay, ιστοσελίδες dating, ηλεκτρονικές τραπεζικές συναλλαγές, κ.λπ.), καταγράψτε για κάθε έναν από αυτούς την πρώτη λέξη με την οποία τον συνδέεται.

Για παράδειγμα, εάν δημιουργείτε έναν κωδικό πρόσβασης για το Facebook, μπορεί να συσχετίσετε το Facebook με το μπλε χρώμα στο λογότυπο: οπότε μπορείτε απλά να προσθέσετε τη λέξη “μπλε” μετά το σταθερό κομμάτι.

Ο David Jacoby εξηγεί: «Για παράδειγμα, αν η φράση που σκέφτεστε είναι το «Twinkle Twinkle Little Star, How I Wonder What You Are» και ο ειδικός χαρακτήρας που θέλετε να χρησιμοποιήσετε είναι #, τότε ο κωδικός πρόσβασής σας στο Facebook θα είναι κάτι σαν: T#T#L#S#Hblue. Δεν έχει νόημα όταν το βλέπετε, ή αν κάποιος σας τον έδινε. Δεδομένου όμως ότι είναι προσωπικό για εσάς, κατανοείτε το σύστημα που έχετε χρησιμοποιήσει για τη δημιουργία του και συνδέετε τη λέξη με τον ιστότοπο, είναι εύκολο να τον θυμηθείτε!».

Ο καλύτερος τρόπος για να δημιουργήσετε αντίγραφα ασφάλειας, να θυμάστε και να πληκτρολογείτε αυτόματα κωδικούς είναι μέσω ενός εργαλείου διαχείρισης κωδικών πρόσβασης, όπως το Kaspersky Password Manager. Το Kaspersky Password Manager είναι μια ασφαλής λύση προστασίας και απομνημόνευσης κωδικών πρόσβασης που σας επιτρέπει να δημιουργείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης για όλους τους λογαριασμούς σας στο διαδίκτυο, ενώ από εσάς απαιτείται να θυμάστε μόνο έναν κύριο κωδικό πρόσβασης για πρόσβαση σε αυτούς. Οι πιο ασφαλείς λύσεις διαχείρισης κωδικών πρόσβασης, συμπεριλαμβανομένου του Kaspersky Password Manager, προσφέρουν ισχυρές λειτουργίες κρυπτογράφησης, οπότε η απειλή για την παραβίαση των δεδομένων σας από τρίτους είναι εξαιρετικά περιορισμένη.

[via]

 
Leave a comment

Posted by on 5 February, 2019 in MinOtavrS blog

 

Tags: , , , ,

Τα 25 πιο δημοφιλή passwords για το 2018

Για έβδομη χρονιά η SplashData, ανέλυσε πάνω από 5 εκατομμύρια passwords που διέρρευσαν online και έφτιαξε την λίστα της, με τα πιο ευρέως χρησιμοποιούμενα για το 2018.

Κάποια από αυτά ήταν δημοφιλή και τις προηγούμενες χρονιές, αλλά στην 25άδα, υπάρχουν και νέα.

Αναλυτικά τα 25 πιο δημοφιλή passwords είναι:

1. 123456 (Unchanged)
2. password (Unchanged)
3. 123456789 (Up 3)
4. 12345678 (Down 1)
5. 12345 (Unchanged)
6. 111111 (New)
7. 1234567 (Up 1)
8. sunshine (New)
9. qwerty (Down 5)
10. iloveyou (Unchanged)
11. princess (New)
12. admin (Down 1)
13. welcome (Down 1)
14. 666666 (New)
15. abc123 (Unchanged)
16. football (Down 7)
17. 123123 (Unchanged)
18. monkey (Down 5)
19. 654321 (New)
20. !@#$%^&* (New)
21. charlie (New)
22. aa123456 (New)
23. donald (New)
24. password1 (New)
25. qwerty123 (New)

Για περισσότερα δεν έχετε παρά να επισκεφθείτε το Gizmodo.

[via]

 
Leave a comment

Posted by on 14 December, 2018 in MinOtavrS blog

 

Tags: , , ,

Χιλιάδες passwords και στοιχεία, διαρρέουν από ανασφάλιστους servers

 

Τουλάχιστον ένας server μιας εφαρμογής που δίνει την δυνατότητα παρακολούθησης της “τηλεφωνικής” δραστηριότητας των παιδιών στους γονείς τους, διέρρευσε χιλιάδες στοιχεία των λογαριασμών τους. Η εφαρμογή TeenSafe, αυτοχαρακτηρίζεται σαν μια ασφαλής εφαρμογή παρακολούθησης για iOS και Android, και δίνει την δυνατότητα στους γονείς να δουν τα μηνύματα κειμένου, την τοποθεσία της συσκευής, με πoιούς συνομιλούν, το ιστορικό web και τις εγκατεστημένες εφαρμογές.

Η εταιρεία ισχυρίζεται πως δεν απαιτείται η συναίνεση των παιδιών για την λειτουργία της. Άφησε όμως τους servers της -στο Amazon cloud- προσβάσιμους σε όλους, χωρίς να προστατεύονται με password.

But the Los Angeles, Calif.-based company left its servers, hosted on Amazon’s cloud, unprotected and accessible by anyone without a password.

Robert Wiggins, a UK-based security researcher who searches for public and exposed data, found two leaky servers.

Both of the servers was pulled offline after ZDNet alerted the company, including another that contains what appears to be only test data.

“We have taken action to close one of our servers to the public and begun alerting customers that could potentially be impacted,” said a TeenSafe spokesperson told ZDNet on Sunday.

The database stores the parent’s email address associated with TeenSafe, as well as their corresponding child’s Apple ID email address. It also includes the child’s device name — which is often just their name — and their device’s unique identifier. The data contains the plaintext passwords for the child’s Apple ID. Because the app requires that two-factor authentication is turned off, a malicious actor viewing this data only needs to use the credentials to break into the child’s account to access their personal content data.

None of the records contained content data, such as photos or messages, or the locations of either parents or children.

The data also contained error messages associated with a failed account action, such as if a parent looking up a child’s real-time location didn’t complete.

Η TeenSafe αναφέρει πως έχει πάνω από 1 εκατομμύριο χρήστες των υπηρεσιών της.

 

[via]

 
Leave a comment

Posted by on 27 May, 2018 in MinOtavrS blog

 

Tags: , , ,

Δείτε τους χειρότερους κωδικούς για το 2017

Η αγάπη του κόσμου για τις ταινίες Star Wars, απο ότι φαίνεται δημιουργεί ένα πρόβλημα ασφαλείας.

Σύμφωνα με την SplashData, που παρέχει υπηρεσίες διαχείρισης κωδικών, η λέξη starwars είναι ανάμεσα στους 100 χειρότερους κωδικούς για το 2017.
Η λέξη starwars λοιπόν βρήκε την θέση της στο νούμερο 16, λίγο πιο κάτω απο το γνωστό σε όλους μας abc123.
Αλλες νέες προσθήκες είναι το letmein στην θέση 7, το ‘γλυκο’ iloveyou στην θέση 10, με κορυφαία επιλογή για το 2017 το 123456 ο όποιος φυσικά ήταν και ο πρωταθλητής το 2016.

Η SplashData εξέτασε 5 εκατομμύρια κωδικούς που είχανε γίνει leak απο επιθέσεις hacker σε χρήστες κυρίως απο Αμερική και Ευρώπη, αν και η λίστα δεν περιλαμβάνει τους κωδικούς απο τις επιθέσεις στην Yahoo ή σε σελίδες για ενηλίκους.

Ο CEO της SplashData, είπε πως οι hackers κάνουν χρήση κοινών λέξεων απο την ποπ κουλτούρα και τον αθλητισμό για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών μέσω brute Force επίθεσης.
Συγκεκριμένα η λέξη starwars υπήρχε και στην λίστα του 2015 καθώς τότε είχε προβληθεί το The Force Awakens.

Η λίστα με τους 25 χειρότερους κωδικούς

  • 1 – 123456 ( το ίδιο με το 2016 )
  • 2 – password (το ίδιο με το 2016)
  • 3 – 12345678 (+ 1)
  • 4 – qwerty (+ 2)
  • 5 – 12345 (- 2)
  • 6 – 123456789 (Νεο)
  • 7 – letmein (Νεο)
  • 8 – 1234567 (το ίδιο με το 2016)
  • 9 – football (+ 4)
  • 10 – iloveyou (Νεο)
  • 11 – admin (+ 4)
  • 12 – welcome (το ίδιο με το 2016)
  • 13 – monkey (Νεο)
  • 14 – login (+ 3)
  • 15 – abc123 (- 1)
  • 16 – starwars (Νεο)
  • 17 – 123123 (Νεο)
  • 18 – dragon (+ 1)
  • 19 – passw0rd (- 1)
  • 20 – master (+ 1)
  • 21 – hello (Νεο)
  • 22 – freedom (Νεο)
  • 23 – whatever (Νεο)
  • 24 – qazwsx (Νεο)
  • 25 – trustno1 (Νεο)

Η λίστα σε μορφή Pdf είναι στο συνημμένο

[via]

 
Leave a comment

Posted by on 27 December, 2017 in MinOtavrS blog

 

Tags: , , ,

Υποκλοπή στοιχείων χρηστών το 2012 από την Disqus εντοπίστηκε τώρα

Η Disqus (την οποία χρησιμοποιούν πολλές online κοινότητες για την διαχείριση των συζητήσεων), αποκάλυψε πως έπεσε θύμα υποκλοπής το 2012 και οι επιτιθέμενοι πήραν πληροφορίες χρηστών της από το 2007 ως το 2012.

Η διαρροή έγινε γνωστή την Πέμπτη, όταν ειδοποιήθηκε από τον διαχειριστή του Have I Been Pwned – Troy Hunt, ο οποίος απέκτησε αντίγραφο των κλεμμένων πληροφοριών. Η Disqus ξεκίνησε την ενημέρωση των χρηστών και το force reset των passwords τους.

Yesterday, on October 5th, we were alerted to a security breach that impacted a database from 2012. While we are still investigating the incident, we believe that it is best to share what we know now. We know that a snapshot of our user database from 2012, including information dating back to 2007, was exposed. The snapshot includes email addresses, Disqus user names, sign-up dates, and last login dates in plain text for 17.5mm users. Additionally, passwords (hashed using SHA1 with a salt; not in plain text) for about one-third of users are included.

We sincerely apologize to all of our users who were affected by this breach. Our intention is to be as transparent as possible about what happened, when we found out, what the potential consequences may be, and what we are doing about it.
Timeline Of Events:

Thursday, October 5, 2017 at 4:18 PM PDT, we were contacted by an independent security researcher, who informed us that the Disqus data may be exposed.
Thursday, October 5, 2017 at 4:56PM PDT we obtained the exposed data and immediately began to analyze the data and verify its validity.
Friday, October 6, 2017, we started contacting users and resetting the passwords of all the users that had passwords included in the breach.
Friday, October 6, 2017, before 4:00PM PDT, we published this public disclosure of the incident.

Potential Impact For Users:

Right now there isn’t any evidence of unauthorized logins occurring in relation to this. No plain text passwords were exposed, but it is possible for this data to be decrypted (even if unlikely). As a security precaution, we have reset the passwords for all affected users. We recommend that all users change passwords on other services if they are shared.

Email addresses are in plain text here, so it’s possible that affected users may receive spam or unwanted emails.

At this time, we do not believe that this data is widely distributed or readily available. We can also confirm that the most recent data that was exposed is from July, 2012.

What We Are Doing to Address This:

As a precautionary measure, we are forcing the reset of passwords for all affected users. We are contacting all of the users whose information was included to inform them of the situation.

We’ve taken action to protect the accounts that were included in the data snapshot. Right now, we don’t believe there is any threat to a user accounts. Since 2012, as part of normal security enhancements, we’ve made significant upgrades to our database and encryption in order to prevent breaches and increase password security. Specifically, at the end of 2012 we changed our password hashing algorithm from SHA1 to bcrypt.

Our team is still actively investigating this issue, but we wanted to share all relevant information as soon as possible. If more information surfaces we will update this post and share any updates directly to users. Again, we’re sorry about this. Your trust in Disqus is important to us and we’re working hard to maintain that.

Thank you to Troy Hunt for initially alerting us of this.

Σύμφωνα με τον Hunt, υποκλοπές έχουν γίνει και στα Bit.ly και Kickstarter, ενώ ερευνά άλλες 3 περιπτώσεις.

[via]

 
Leave a comment

Posted by on 7 October, 2017 in MinOtavrS blog

 

Tags: , , , ,

Σοβαρά κενά ασφαλείας εντοπίζονται στο LastPass για Chrome και Firefox

 

Σύμφωνα με το Engadget ο ερευνητής του Project Zero της Google Tavis Ormandy, που είχε εντοπίσει εμφανή προβλήματα ασφάλειας στον δημοφιλή password manager LasrPass, “ξαναχτύπησε “.

Αυτήν την φορά εντόπισε αρχικά exploit σε μια έκδοση του extension του για τον Firefox και μετά ένα νέο bug που επηρεάζει τόσο τον Chrome όσο και τον Firefox. Τα ευρήματα του όμως δεν τελειώνουν εδώ, αφού εντόπισε και τρίτη ευπάθεια που επιτρέπει την υποκλοπή passwords από οποιοδήποτε domain.

The first vulnerability has apparently not been addressed yet, which Ormandy mentions may be the result of Mozilla needing time to review the updated extension before pushing it to users. Based on his tweet, it could reveal a user’s password, but not all of the details have been revealed yet.

The second issue could be more serious, with the ability to steal a user’s passwords or, if the binary version of the extension is installed, run any code the attacker tells it to (in an example, Ormandy causes the target’s computer to open a Calculator program.) According to LastPass the issue has been resolved, although a promised follow-up blog post with more details has yet to appear.

There’s even less info available about the latest vulnerability identified, although the version number (4.1.35) matches a LastPass changelog note for its most recent Internet Explorer add-on.

[via]
 
Leave a comment

Posted by on 27 March, 2017 in MinOtavrS blog

 

Tags: , , ,

Android: Κενά ασφαλείας σε 9 δημοφιλείς εφαρμογές διαχείρισης password

Σύμφωνα με το XDA Developers ερευνητές της TeamSIK πέρασαν από έλεγχο ασφαλείας τις 9 κορυφαίες εφαρμογές διαχείρισης password για Android, και εντόπισαν προβλήματα ασφαλείας σε αυτές.

Οι εφαρμογές που έλεγξαν και ο αριθμός των κενών ασφαλείας είναι παρακάτω :

  • MyPasswords με 3 ευπάθειες
  • Informaticore Password Manager με 1 ευπάθεια
  • LastPass Password Manager με 3 ευπάθειες
  • Keeper Passwort-Manager με 2 ευπάθειες
  • F-Secure KEY Password Manager με 1 ευπάθεια
  • Dashlane Password Manager με 4 ευπάθειες
  • Hide Pictures Keep Safe Vault με 1 ευπάθεια
  • Avast Passwords με 6 ευπάθειες
  • 1Password – Password Manager με 5 ευπάθειες

Οι developers των εφαρμογών, μετά την αποκάλυψη των προβλημάτων σε αυτές, τις έκλεισαν όλες και από την 1η Μαρτίου είναι ασφαλείς από αυτές.

[via]

 
Leave a comment

Posted by on 4 March, 2017 in MinOtavrS blog

 

Tags: , , ,