PSA

[stas]

LJ hasn't made a formal disclosure or announcement, but we at @dreamwidth have been seeing credential stuffing attacks (we have a lot of overlap with LJ) increase greatly lately.

В переводе: базу данных LJ взломали (ещё довольно давно), LJ не сделал по этому поводу никакого обьявления, но сейчас кто-то активно пытается использовать те же пароли для взлома эккаунтов в dreamwidth. Поэтому если у вас здесь тот же пароль, что и в ЖЖ, или вы подозреваете, что это может быть так, или у вас неслучайный пароль, который кто-то может использовать (например, hunter2), то прямо сейчас его поменяйте. Лучше всего на случайную комбинацию букв и цифр.

Comments

[juan_gandhi]

Я думаю, иметь аккаунт в жж - это как одной ногой где-то в Москве проживать. Конечно, кому-то нравится.

[stas]

Если эккаунт когда-то был, то его пароль уже спёрли. Независимо от того, есть он сейчас или нет. Многие люди используют один и тот же пароль на нескольких серверах.

[juan_gandhi]

Ну да, остается сочувствовать людям с одним паролем.

[publl]

Ну так среди имеющих ЖЖ как раз много тех кто в Мск (или где-то там) всеми четырьмя увяз )

[1master]

На самом деле ЖЖ что-то такое объявлял несколько недель назад, они даже ресетнули пароли той части пользователей, которые со времени предполагаемого взлома их не меняли. Да и раньше было какое-то невнятное объявление, я тогда же и поменял, но сейчас еще раз на всякий случай.

[xxlcaliber]

... им. Так в пароле и написал, когда ушел из жижятины. Это можно было предположить еще тогда.

[e2pii1]

в базe данных LJ хранились исходные пароли ? Не хэши от паролей ?

[qvb]

Ну судя по всему код ЖЖ застрял где-то на уровне 2010 если не более раннем, а в те времена стандарты секьюрити были пониже.

Они может и хэши хранили, но вот были ли эти хэши правильно просолены? Скорее всего нет.

P.S. А может не ЖЖ базу паролей ломанули, а копию этой базы из ГБ сперли, где пароли наверное были вообще в clear text.

[e2pii1]

ГБшники могут спереть. Были мемуары некого русского человека во времена позднего СССР интересовавшегося языками и в частности ивритом. Учебники иврита ему продавал сосед-ГБшник алкоголик, когда ему денег на выпивку не хватало. Он на таможне работал и там их конфисковывал.

[stas]

Насколько я понял, не то чтобы исходные, но md5-хэши. Причём чуть ли не unsalted. Что в наше время сами понимаете...

[qvb]

+1

Пароли вообще надо использовать только уникальные, а то рано или поздно сопрут. И мэйл алиас тоже стоит создавать отдельный для вещей вроде ЖЖ.

Есть еще такая полезная штука как haveibeenpwned. com/Passwords.

[cjelli]

Вообще, честно говоря, надо не лениться, и для каждого аккаунта держать отдельный алиас. Заодно ясно, откуда спам утек. Но ленюсь, хоть и не с ЖЖ.

[qvb]

Я стараюсь делать отдельные алиасы для стремноватых сервисов вроде соц сетей, но не для банкинга и остального.

[eta_ta]

что за alias? отдельный email address? или login id?

[qvb]

Во многих системах можно прицепить несколько емэйл адресов к тому же инбоксу. Например в hotmail/outlook.com можно добавить до 10 разных имэйл адресов к тому же аккаунту: support.microsoft. com/en-us/help/12407/microsoft-account-change-email-phone-number
Все они будут приходить в тот же мэйлбокс, что удобно.

Для повышенной прайваси можно сделать и по-другому - создать отдельный логин на том же аутлук.ком или другом сервисе, и сконфигурировать mail forwarding, когда все приходящие письма будут автоматически перенаправляться на совсем другой почтовый ящик.

[merig00]

некоторые советуют делать gmail т.к. он не различает точку и отбрасывает все полсе - в адресе т.е. cjelli@gmail = c.jelli@gmail = cjelli-livejournal@gmail

Хорошая идея?

[cjelli]

Я считаю, что правильнее купить себе дешевый домейн с форвардом почты. И дальше livejournal@mydomain.com, dreamwidth@mydomain.com и т.д. Все форвардится на какой-нибудь гмейл/яху/аутлук и там уже фильтруется.

Дополнительное удобство: адрес dreamwidth@mydomain.com форвардится только мне, а citibank@mydomain.com - мне и жене, например. :)

[stas]

Вот HIBP как раз и сообщает, что по новым данным разведки, на dreamwidth проводится атака.

[yarpenzigrin]

Вчера вечером, по Европам, не было нормального коннекта, да. Видимо, бомбили.

[alexanderclark]

Мне вот кстати интересно, опытные it ребята реально делают уникальные пароли на все?
У меня на большую часть ресурсов парочка стандартных паролей. Т.е. понятно, что банки, работа и т.д. будут иметь сложные и уникальные пароли, но делать для каждой социальной платформы, игрушки и прочего уникальный пароль - это же сотни паролей будет, не запомнить. Или их записывают?

[qvb]

>>>Мне вот кстати интересно, опытные it ребята реально делают уникальные пароли на все?

Да.

Это просто - ставится подходящий password manager (вроде KeePass) и все пароли просто сохраняются в этом password manager.

У этого password manager конечно есть "главный пароль" который открывает доступ к базе паролей, но этот "главный пароль" я ни для какого сервиса не использую, кроме того пассворд менеджеры неплохо защищены. И лучше всего эту базу паролей хранить не в клауде а дома, хотя есть и варианты с клаудом (но надо аккуратно).

[stas]

Пароли никто не запоминает. Ставится BitWarden, LastPass, 1Password или ещё что подобное, и туда записыватеся. Единственный пароль, который надо помнить, это пароль от этого хранилища паролей.

Ну, конечно, для сайтов, регистрация на которых вам нахер не нужна, но пришлось, можно ставить пароль initenahuj123 и не волноваться, сопрут так сопрут. Но тут надо оценивать по такому критерия - сколько неприятностей мне доставит, если пароль от этого сайта украдут? Если мало - то можно не париться, много - случайный пароль и password manager.

Для совершенной паранойи можно делать passphrase - т.е. фразу, которую вы можете запомнить, длинную (см. https://xkcd.com/936/) и не записывать нигде, или записывать на бумажке и класть её в толстый сейф. Это для мест, где если пароль сопрут, будет совсем пиздец. Но у обычного человека таких немного.

[kotanas]

ну почему. некоторые помнят все пароли :)

на самом деле я просто придумал сложное мнемоническое правило которое использую для генерации паролей для всяких неважных сервисов. не работает если пароль надо регулярно менять. для банков и тп использую KeePass и все что выше написали

[brumka]

Credential stuffing в традиционной трактовке означает подбор паролей, которые либо где-то украдены, либо куплены, либо тупо перебираются ботнетом. Защита от такой атаки существует, но может быть довольно непростой, в зависимости от мелких деталей. Проще всего добавить капчу в процес аутентификации.

[stas]

Украдены в ЖЖ, а теперь пробуют тут.

[pashar]

Спасибо. Получил мейл от ДВ, но не стал вчитываться. А зря.

[merig00]

Пишут что из этой базы еще и bitcoin blackmail рассылают.