Jump to content

Password, como e onde?


DerEngel
 Share

Recommended Posts

Estava a ler o tópico do wareztuga e ao ler a conversa das contas que foram hackadas e as suas passwords, achei interessante abrir este tópico para ser discutido a maneira como geram as passwords e onde é que guardam estas.

 

Posso começar por mim, antes do meu sistema actual usava o LastPass em que tinha as minhas passwords todas (algumas repetidas) e uma plugin para incorporar no firefox. Quando estes foram hackados decidi apagar a minha conta LastPass e ser eu próprio a gerir as passwords.

 

Neste momento uso o KeePass onde guardo todas as minhas passwords num ficheiro protegido por dois tipos diferentes de segurança: Uma password de complexidade média e uma chave (ficheiro) criado aleatoriamente pelo KeePass. Caso alguém consiga ter acesso ao ficheiro onde tenho as passwords e tenham conseguido saber a password que uso, ainda vão precisar de ter a chave para aceder as passwords.

 

Em relação as passwords, comecei a usar o password generator do KeePass, tentando sempre gerar pelo menos passwords com 32 chars (tirando alguns casos de websites que não aceitam passwords com esse tamanho, que na minha opinião é parvo). Todas as passwords são geradas com UpperCase/LowerCase/Special Caracters/Numbers, para aumentar a dificuldade de fazer cracking/bruteforce.

 

Quanto aos browsers, antigamente usava um atalho que ia-me escrever as passwords automaticamente conforme o titulo da tab activa, mas neste momento uso uma plugin que faz a ligação Chrome-KeePass.

Link to comment
Share on other sites

Eu uso uma "fórmula" para as minhas passwords, ainda que seja uma fórmula um bocado fraquinha.

Nunca são iguais e tenho-as todas guardadas na minha cabeça.

O chato são os sites que limitam as passwords a 10 caracteres, por exemplo... Lixa-me a fórmula lol :/

 

Ainda assim, tenho andado a pensar numa nova fórmula para ser praticamente impossível para alguém além de mim conseguir chegar à fórmula.

Link to comment
Share on other sites

Eu sinceramente nunca fui adepto de usar softwares que fazem gestão de passwords, sempre fui cuidadoso e nunca uso passwords óbvias.

 

Graças a Deus até hoje nunca tive problemas, excepto uma vez com a minha conta Steam, por pura burrice minha. 

Link to comment
Share on other sites

Eu sinceramente nunca fui adepto de usar softwares que fazem gestão de passwords, sempre fui cuidadoso e nunca uso passwords óbvias.

 

Graças a Deus até hoje nunca tive problemas, excepto uma vez com a minha conta Steam, por pura burrice minha. 

 

Bem antes de usar o LastPass era assim que eu geria as minhas passwords. Basicamente tinha 4-5 passwords não óbvias mas que usava para todos os sites (muitos mesmo). Quando começou a aparecer uma vaga de sites com falhas de segurança e hackers a divulgarem em massa passwords destes para a Internet, rapidamente mudei a minha maneira de pensar, nunca fiando.

Link to comment
Share on other sites

O caso do Wareztuga foi brute force com uma lista de password pré determinadas, por isso é que há tantas password iguais na lista, nenhuma delas é uma palavra passe forte e as mais parecidas a isso são iguais ao username.

 

Cada um deve claro ter a sua maneira própria de gerir as suas passwords. Tê-las escritas onde quer que seja, quer digital ou não, não é algo que me agrade. Diria que uma boa abordagem é ter "níveis" de segurança atribuídos a diferentes palavras passe. Não usar por ex. a mesma entre o FNF e o PayPal por ex, pois estão em "níveis" diferentes. Se a BD no FNF for por alguma forma hackada (claro que não vai ser, o Rev garante isso :) ), não irá influenciar a segurança das contas mais importantes.

A password do Email deve ser sempre sempre única pois é o que vos associa em qualquer registo que fazem hoje em dia.

 

Deve ficar assente que há por ai muitas boas "empresas" (sites, fóruns, etc.) que fecham-se em copas quando sofrem uma quebra de segurança, isto quando se apercebem claro, geralmente apenas as mais prestigiadas com demasiado a perder é que vem a público, e mesmo isso ninguém pode garantir.

Link to comment
Share on other sites

Mas ter uma password segura é mesmo o mais importante.

 

Por exemplo, se alguém conseguisse roubar a Base de Dados do FNF, ia demorar alguns milhares de anos a conseguir decifrar a minha pass. Isto usando um computador. Usando uma rig de computadores, poderia descer o tempo, mas penso que não sou assim tão importante para se darem a esse trabalho.


Outra coisa, muito cuidado em que sites dão a vossa pass.

Se eu fosse um grande fdp, poderia muito facilmente alterar o código da board para guardar as vossas pass's em plain text e depois era só ir tentando o vosso mail e a vossa pass no paypal por exemplo, até me calhar a sorte grande.

 

Em sites que suportem 2 step autentication, é activar isso também.

Link to comment
Share on other sites

Tocaste num ponto importante, o de nunca sabermos bem para onde estamos a enviar as nossas passswords. 

Termos uma palavra passe forte não indica de maneira nenhuma que não há maneiras de lá chegarem. 

 

O simples facto de estarmos a inserir a nossa password num site HTTP (não HTTPs) indica que por mais segura que seja é passível de visualização em plain text.

Link to comment
Share on other sites

Outra coisa, muito cuidado em que sites dão a vossa pass.

Se eu fosse um grande fdp, poderia muito facilmente alterar o código da board para guardar as vossas pass's em plain text e depois era só ir tentando o vosso mail e a vossa pass no paypal por exemplo, até me calhar a sorte grande.

 

Em sites que suportem 2 step autentication, é activar isso também.

 

Esta é a principal razão pela qual tenho passwords únicas, posso ter a certeza que mesmo que andem a guardar a password em plain text que não tem sorte nenhuma a tentarem usar essa password noutros sites. 

Link to comment
Share on other sites

Agora foi o euromilhoes.com que foi atacado, mais de 20000 contas:

 

 

!!! MEGA LEAK EUROMILHOES.COM !!!

 20161 accounts of *****PORTUGUESE PLAYERS********!!
 
 
PART "2" - https://ghostbin.com/paste/m5yvq

 

A info que aparece nesses ficheiros:

 

| USERNAME | MD5 HASH of PASSWORD | SALT | E-MAIL | BIRTHDAY DATE |

Link to comment
Share on other sites

Ok agora perdi-me

Euromilhoes.com? Isso não é oficial presumo

Outra coisa, md5 hash também não me parece que lhes vá adiantar muito, primeiro tinham de saber uma ou várias pass para depois fazer o reverse do algoritmo, certo?

Link to comment
Share on other sites

A MD5 hash poderia não servir de muito se a coluna ao lado não fosse chamada de SALT, que é a "chave privada" necessária para reverter o processo de encriptação da password,

 

Meaning, se a coluna SALT realmente corresponde ao MD5 Hash da mesma linha, as passwords estão à vista desarmada.

Link to comment
Share on other sites

A nível particular uso o mesmo procedimento que tenho na empresa.....passwords nunca com menos de 10 caracteres...inclusão de maiusculas, minúsculas, números e símbolos....mudar ao fim de seis meses (ou antes)..penso que só mesmo no FNF é que a pass é mais fraquinha :unsure:

 

em alguns sites menos importantes utilizo frases estilo "fnféMeuforumdeleição!!" :-.. 

mas o certo e sabido....não há 100% de segurança em lado nenhum....

Link to comment
Share on other sites

Pois, aqui há dias vi um gajo a dizer que não se deviam user passwords e sim passphrases.
O problema é que vais encontrar muitos sites que te limitam a pass a 10 chars ou 12... Outros que não te deixam ter @ e % e afins.

Isso quebra completamente a "fórmula" que usas.

Link to comment
Share on other sites

Pois, aqui há dias vi um gajo a dizer que não se deviam user passwords e sim passphrases.

O problema é que vais encontrar muitos sites que te limitam a pass a 10 chars ou 12... Outros que não te deixam ter @ e % e afins.

Isso quebra completamente a "fórmula" que usas.

ok...mas ai temos que ter o discernimento de saber conjugar o que disse acima... eu (como a maioria do pessoal por aqui) detemos ter muitos sites com pass....

para já ainda me lembro de todos de cabeça, e não preciso de programas ou afins.... em alguns que dão hipótese de colocar mais de 10 caracteres...coloco...aqueles que não...faço por complicar a vida dos hackers ;)

Link to comment
Share on other sites

eu uso 1 pw só para a Google, outra para o FNF, outra para mais meia dúzia de fóruns/sites, depois uma genérica que vou alternando naqueles que não são relevantes.

Todas com letras letras, maiúsculas e minúsculas, caracteres especiais e números.

Se mesmo assim não for suficientemente seguro então mais vale apagar a internet de vez porque muito mais do que isto é um profundo exagero.

Link to comment
Share on other sites

Nada é 100% seguro mas desde que não se escolha passwords óbvias e fáceis, acho que não há necessidade de andar obcecado e a pensar que todo o local onde tenhamos uma pass vai ser hackeado. 

Link to comment
Share on other sites

E hoje os principais serviços, tipo Google, Microsoft etc, já têm 2 Step. O que praticamente que impossibilita alguém de hackar a vossa conta mesmo que por obra do acaso soubessem a vossa a pass.

Link to comment
Share on other sites

 

Neste momento uso o KeePass onde guardo todas as minhas passwords num ficheiro protegido por dois tipos diferentes de segurança: Uma password de complexidade média e uma chave (ficheiro) criado aleatoriamente pelo KeePass. Caso alguém consiga ter acesso ao ficheiro onde tenho as passwords e tenham conseguido saber a password que uso, ainda vão precisar de ter a chave para aceder as passwords.

 

Link to comment
Share on other sites

  • 1 month later...

LastPass Security Notice

 

We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

 

 

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.