Jump to content

Desabafos

Revenge

By Revenge
in Geral

 Share

Recommended Posts

cyberurbis

cyberurbis

Posted
Posted

O site Have I Been Pwned está referenciado por diversos outros sites credíveis.

Além disso, mostra em que leaks/sites o vosso email/password foi exposto.

 

Cheira-me que 2019 e nos anos seguintes, o tema da ciber segurança se torne recorrente. Hoje em dia, acho impensável usar um ponto de acesso "público" WIFI, sem VPN. 

Link to comment
Share on other sites
Ilusi0n

Ilusi0n

Posted
Posted (edited)

O Have I Been Pwned é mantido pelo Troy Hunt e podem acreditar que é legitimo.

O dump já não é recente, tem vários anos e está tudo misturado. Se o vosso email aparece lá, o mais provável é a password ser antiga (a não que não troquem a vossa password regularmente).

Eu tenho acesso ao dump (500GB), se quiserem saber qual a password que está lá, eu consigo dizer-vos por PM. A não ser que me caiam 30 pedidos, ai não vou atender a todos :-.. Para clarificar, ter acesso não significa ter o dump à disposição. A minha empresa tem um departamento de cybersecurity e ainda estão a fazer parsing ao dump, o meu acesso é pela porta do cavalo.

Algumas regras básicas, troquem as vossas PWs regularmente (3-3 meses, idealmente mensalmente), utilizem um gestor de passwords local com dupla autenticação ou 2FA (keepass, por exemplo) de forma a terem passwords complexas ou se quiserem mesmo algo tipo 1Password, mas estar na "Cloud" é sempre um risco, e nunca repitam passwords em nenhum site. Também não é boa prática guardar as passwords nos browsers, apesar da conveniência.

Edited by Ilusi0n
Link to comment
Share on other sites
Ilusi0n

Ilusi0n

Posted
Posted (edited)
5 minutes ago, cyberurbis said:

@Ilusi0n, se eu trocasse de passes de 3 em 3 meses em todos os sites que estou registado, tinha que passar 2 ou 3 dias dedicado a essa tarefa...

:facepalm:

O gestor de passords da Google/Chrome parece-me "sólido"... até porque tenho autenticação em 2 passos...

Obviamente que não fazes isso em todos os sites. Por exemplo, não é propriamente relevante que a BD do Warez-bb seja hackada e alguém descubra a tua password, desde que não a uses em mais nenhum lado.

Agora, emails, redes sociais, Ebay/Amazon, sites tipo Dropbox/Mega, sites que contenham informações pessoais, site das finanças, etc, a minha opinião é que deves trocar regularmente estas passwords.

O gestor do Chrome seria sólido se não guardasse as passwords localmente (para além do sync para a Cloud). Eu se tiver acesso ao teu PC, consigo abrir o ficheiro de passwords do Chrome sem qualquer dificuldade.

Edited by Ilusi0n
Link to comment
Share on other sites
Perks

Perks

Posted
Posted
25 minutes ago, cyberurbis said:

O gestor de passords da Google/Chrome parece-me "sólido"... até porque tenho autenticação em 2 passos...

as pass no browser valhem bolha

existem formas faceis de as importar tenhas ou não autenticação em 2 passos

 

 

13 minutes ago, PunK_BoY said:

O que é que vcs usam para guardar as passwords?

Safeincloud no meu caso 

pessoalmente uso na cloud por causa da comodidade, através numa db encriptada com uma master password de +22 digitos, tem auto preenchimento no telefone e browser, e trago sempre comigo uma versão portable para executar em qualquer pc caso precise e sincronizada entre devices. também tem gerador de 2FA o que faz com que esteja tudo num só lugar

 

mais conveniente é impossivel imo

  • Like 1
Link to comment
Share on other sites
Revenge

Revenge

Posted
  • Author
Posted
14 minutes ago, Ilusi0n said:

O gestor do Chrome seria sólido se não guardasse as passwords localmente (para além do sync para a Cloud). Eu se tiver acesso ao teu PC, consigo abrir o ficheiro de passwords do Chrome sem qualquer dificuldade.

Mesmo que se use o sistema de encriptação das password do chrome?

Link to comment
Share on other sites
Perks

Perks

Posted
Posted
5 minutes ago, Revenge said:

Mesmo que se use o sistema de encriptação das password do chrome?

penso que sim

 

aliás alguns gestores de passwords, no inicio até importam a db existente do chrome sem problema

Link to comment
Share on other sites
Revenge

Revenge

Posted
  • Author
Posted
5 minutes ago, Perks said:

penso que sim

 

aliás alguns gestores de passwords, no inicio até importam a db existente do chrome sem problema

Como posso testar isso?
É que supostamente o sistema de encriptação da Google, mantem as pass's encriptadas. Não quero acreditar que uma empresa do tamanho da Google tenha uma falha de segurança tão grande.

Link to comment
Share on other sites
Perks

Perks

Posted
Posted
1 minute ago, Revenge said:

Como posso testar isso?
É que supostamente o sistema de encriptação da Google, mantem as pass's encriptadas. Não quero acreditar que uma empresa do tamanho da Google tenha uma falha de segurança tão grande.

O safe in cloud para PC é grátis

Instala e vê se ele importa, não precisas de enviar para a cloud, o safeincloud pode funcionar localmente se quiseres

8 minutes ago, Mini0n said:

Last Pass é bom?

Penso que é, mas tem mensalidade

Eu acho que já falei do safeincloud a Montes de pessoal, mesmo quem utilizava outros, penso ter ficado fã

Link to comment
Share on other sites
Revenge

Revenge

Posted
  • Author
Posted
9 minutes ago, Perks said:

Instala e vê se ele importa, não precisas de enviar para a cloud, o safeincloud pode funcionar localmente se quiseres

O Safe In cloud pede para ir ao Chrome e exportar as Pass's. Quer dizer que não as consegue ir buscar.

image.png

Link to comment
Share on other sites
Revenge

Revenge

Posted
  • Author
Posted

@Perks entretanto já confirmei que o ficheiro onde o Chrome faz a Store das pass, que tem o nome de "Login Data", tem esses dados encriptados.

Pelo que li, em tempos houve um software que conseguia fazer o decrypt, mas mesmo assim precisava do acesso local à tua maquina e saber a tua password do Windows.

Se não usarem a funcionalidade de encriptação, ai acredito que seja muito mais facil de se ir buscar as pass's.

Link to comment
Share on other sites
Perks

Perks

Posted
Posted
1 minute ago, Revenge said:

@Perks entretanto já confirmei que o ficheiro onde o Chrome faz a Store das pass, que tem o nome de "Login Data", tem esses dados encriptados.

Pelo que li, em tempos houve um software que conseguia fazer o decrypt, mas mesmo assim precisava do acesso local à tua maquina e saber a tua password do Windows.

Se não usarem a funcionalidade de encriptação, ai acredito que seja muito mais facil de se ir buscar as pass's.

Penso que a primeira vez que instalei ele foi directo buscar. Mas Deve ter mudado desde que o Chrome meteu o gestor nativo

Link to comment
Share on other sites
Revenge

Revenge

Posted
  • Author
Posted
10 minutes ago, Perks said:

Penso que a primeira vez que instalei ele foi directo buscar. Mas Deve ter mudado desde que o Chrome meteu o gestor nativo

A partir do momento que as pass's estão encriptadas, a única maneira que o Safe cloud tinha de as importar, era saber a chave de desencriptação. Mas ele nem pede a chave, manda logo exportar no Chrome.

Por exemplo, nem o proprio Google consegue, ou então fazem de conta que não conseguem.Se aceder a https://passwords.google.com/, vai dizer que tenho as pass's com chave de encriptação e como tal não as consegue mostrar.

Link to comment
Share on other sites
Perks

Perks

Posted
Posted

Eu nºao sei como funciona no chrome, já há muito tempo que usso assim.

Mas imagina, se tiveres um trojan no teu pc, com maior ou menor dificuldade a partir do momento que acedes às pass poderá ter acesso, certo?

Link to comment
Share on other sites
Ilusi0n

Ilusi0n

Posted
Posted (edited)
1 hour ago, Revenge said:

@Perks entretanto já confirmei que o ficheiro onde o Chrome faz a Store das pass, que tem o nome de "Login Data", tem esses dados encriptados.

Pelo que li, em tempos houve um software que conseguia fazer o decrypt, mas mesmo assim precisava do acesso local à tua maquina e saber a tua password do Windows.

Se não usarem a funcionalidade de encriptação, ai acredito que seja muito mais facil de se ir buscar as pass's.

Estás muito perto, agora junta à equação bypass windows security, Kerberos fallback attack e aproveitar uma das dezenas de falhas do NTLM, no Windows 10 esta autenticação pode ser apenas do PIN se assim definires e podes fazer bruteforce (não existe lockout) ou até criar uma conta nova para autenticar, dado que a maior parte das pessoas é administrator nos PCs de casa. Óbvio que é preciso acesso físico (ou através de algum trojan/malware) mas não é tão difícil como pensas.

Não quero meter macaquinhos na cabeça de ninguém, mas o Chrome está longe de ser um sítio seguro para guardarem passwords.

Edited by Ilusi0n
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

  I accept