Ну я вот сейчас немного могу. Пусть бы Миша сказал, сколько надо, дал бы номер счета и тогда можно шапку по кругу.
Очевидно, самим договориться проще, чем уговорить шестой апарт и прекрасных блог-офицеров.

Ну да, и кстати, заодно был бы правильный аргумент пересаживаться на руссиху.орг.

Угу. Но заметим, что гопник как раз и пишет, обращаясь к Мише, что всякий взлом руссихе на пользу. Мол, взлом надувает ресурсу популярность за счет миграций.

А вот это можно игнорировать как раз.

Всё бы так, но с деньгами приключилась та же хрень(

Ты будешь смеяться, но...
Впрочем, рлж мне как-то радикально несимпатичен. У нас тут хелл, конечно, зато компания приятнее.

Компания - это мы.

Тожеправда. Но иной раз какие-то незнакомые и прекрасные очень украшают жизнь. А они - здешние.

Я так не умею. У меня восприятие своей территории иначе организовано.

Я-то той компании и не видела. Равно, как и хелла этого (справедливости ради замечу). Но ситуация-то гнусная.

Ну, туда первыми - кто? Ага, - убейнатовцы сбежали. И в теперь питательной среде как-то там эволюционируют-мутируют с прочими гламурными падонками и несколькими симпатичными людьми. Фиг знает, я не биолог, чтоб за этими жизненными процессами с интересом наблюдать. В общем, у меня с лжр отношения известные: "как славно жилось бы в Израиле, когда б не жара да евреи".

Мне кажется, уважаемые несколько не там видят проблему. Невозможность восстановить стертое - это лишь последствие проблемы, а не сама проблема. Причем последствие далеко не единственное, просто самое очевидное. А проблема - это непонимание людьми, даже очень и очень подкованными, очевидных правил безопасности. Я был очень удивлен, когда узнал, что Игорь использовал в качестве пароля фамилию хоккеиста, разбавленную годом рождения вышеозначенного спортсмена.

Те же проблемы будут и на тифаретнике, и на любом другом сервисе, пока люди не начнут выполнять очень-очень простые правила:

1. Использовать и для ЖЖ и для почты СЛОЖНЫЙ пароль (под сложным подразумевается СЛУЧАЙНАЯ комбинация строчных и заглавных букв, цифр и знаков препинания длинной не менее 7 символов), желательно - два разных пароля
2. Выбрать в качестве почтового сервиса нечто достаточно НАДЕЖНОЕ (не mail.ru, скажем. За немецкие сервера не скажу).
3. Остальные, ненадежные почтовые адреса из профиля СТЕРЕТЬ.

И все. С высокой вероятностью это решит нынешние проблемы - до следующего раза, разумеется. И наоборот, переезд на тифаретник, даже если там сделают возможность отката, проблему не решит - завладев счетом, злодеи будут делать какие-нибудь другие пакости, например - засирать от имени владельца журнала журналы его друзей, читать и публиковать их подзамки, да мало ли, фантазия у сволоты хорошая.

Дима, пароль был хороший, вполне надежный. Не хуже случайной комбинации (ksfhklg98esyff? - так их как раз легко просчитать). И вообще - это совсем другая проблема.

Да нет же, пароль был ненадежный. То, что в нем 14 символов - ни о чем не говорит. Программы типа crack и john the ripper работают со словарями, в которых не только слова, но и имена всех знаменитостей, сколь угодно малозначительных, поэтому длина слова вообще не играет роли. Далее они все слова из этих словарей извращают всеми возможными способами. Поэтому использовать слова в пароле просто НЕЛЬЗЯ. И в то же время пароль из всего лишь 7 случайных символов - это 86^7=34792782221696 вариантов, этого никакой компьютер перебрать не в состоянии.

Вообще дело не в том. Мы не обсуждаем сейчас проблем паролей. Мы обсуждаем архитектуру сервиса. Есть простые предложения по поводу того, как ее сделать сволочеустойчивой. Есть готовность хозяина. Нету ресурсов - денежных и/или человеческих.

Есть простые предложения по поводу того, как ее сделать сволочеустойчивой.

В том-то и дело, что данное предложение не позволит сделать сервис более сволочеустойчивым. Это как в хлипкой хибаре ставить бронированную дверь: так сволота через окна полезет. То есть, я вполне за возможность откатов, как и любой нормальный программист (мысль о том, что я что-то могу стереть НАВСЕГДА вызывает у меня, как у программиста, мурашки и приступы морской болезни), но надо понимать, что пока люди не сменят себе пароли на нормальные, вслед за стиранием журналов придут другие, не менее досадные неприятности.

Но мы их можем обсудить в других местах.
И вообще - вне блогов и т.д. - кому мы нужны, чтоб нас ломать? Я работаю в университете, все мои деловые тайны не интересны даже коллегам.

И вообще - вне блогов и т.д. - кому мы нужны, чтоб нас ломать?

Да и в блогах-то нас ломать незачем, как в ЖЖ, так и на любом другом сервисе. Но так уж устроено у кракеров то, что служит им вместо мозга: если можно сломать - будут ломать.

Неа. Кракеры-фигарекры заводятчся от реального живого общения. Не слышал я что-то, чтоб просто так человека, не засвеченного в активности, ломали.

Это не совсем так. Как правило, кракерам сложно сломать конкретного человека (хотя и бывает, конечно, что везет). Вместо этого они ломают, скажем, некий сервис. Т.е. пытаются угадать как можно больше паролей как можно большего числа пользователей того или иного ресурса. Ну а затем, разумеется, выбирают из кракнутых жертву, чтобы погромче эхо получилось. Смотрите, кракнули Амальгина, Алксниса, Лабаса - все. А скольких не кракнули? Просто не смогли.

Ну, не знаю. У меня, например, очень простые пароли, типа "vel0sipet", все такие. И не кракнули пока. Видимо, не нужно им было.

Это не самый простой пароль, лабасовский проще сильно, потому как если они пользуются чем-то очень стандартным, то русские misspellings там не учтены. Но все равно, конечно, не очень здорово.

Вы поверили? ;)

Да уж и не знаю теперь, кому верить :)

На самом деле, у меня уже довольно давно - первые буквы разных стихов. С заменой отдельных букв на цифры.

Вместе целая страна. Помним, как же :)
СЕНУ - ФИДЕЛЮ!

Как я понял, перебор пароля можно сильно усложнить, ограничив число неудачных обращений за авторизацией с одного IP.

Нет, это так себе пароль. Автоматические подбиралки его умеют.

первый адрес - не стираем

Первый адрес стираем. Но любой адрес взламываем.

в смысле, что он не стирается

Он не стирается руками самого юзера. Но он стирается по просьбе юзера.

Предлагаю в качестве упражнения сломать адрес на gmail.com. Не в том смысле, что именно этот сервис какой-то особо защищенный - просто нормальный сервис.

Гмейл существует не так уж давно. Из этого вытекает как минимум два следствия: первое - что там обязательно есть дырки, их не может не быть в таком юном возрасте. И второе - что мы про эти дырки пока еще ничего не знаем. Из-за недавности общения. А хакеры, возможно, уже знают. Из-за более пристального внимания к дыркам.

Это все общие рассуждения. На деле подавляющее большинство дырок (процентов эдак 99.99), известные хакерам, известны также и специалистам по безопасности, другое дело, что админы не всегда могут, или хотят, или умеют эти дырки чинить.

Хм... это правила решения какой главной проблемы?

Кстати, именно в данный момент - видимо, из-за получившегося шума - мейл.ру за просто так никому пароли не отдает :)

Проблемы взлома журналов, разумеется. То, что, взломав, журнал можно стереть - это и есть следствие.

Это не решение проблемы взлома журналов, это решение проблемы взлома журналов тем способом, который взломщики предъявляют как истинный способ взлома.

Я не верю в данной ситуации в троянов. А какие еще могут быть варианты?

А в то, что вот такой пароль, какой был у Лабаса, можно подобрать, Вы верите? Я почему-то нет.

Пароль, состоящий из имени хоккеиста лиги NHL и года его рождения нельзя подобрать?


A dictionary attack also exploits the tendency of people to choose weak passwords, and is related to the previous attack. Password cracking programs usually come equipped with "dictionaries", or word lists, with thousands or even millions of entries of several kinds, including:

* words in various languages
* names of people
* places
* commonly used passwords

The cracking program encrypts each word in the dictionary, and simple modifications of each word, and checks whether any match an encrypted password. This is feasible because the attack can be automated and, on inexpensive modern computers, several thousand possibilities can be tried per second.

Guessing, combined with dictionary attacks, have been repeatedly and consistently demonstrated for several decades to be sufficient to crack perhaps as many as 50% of all account passwords on production systems.
(http://en.wikipedia.org/wiki/Password_cracking#Dictionary_attack)

Ключевые места отмечены для удобства чтения.

Хотя я не знаю ни одного слова по-английски, но, кажется, понимаю, что тут написано.
И тем не менее...
Ведь тогда подбор пароля переходит из области перебираемых словарных в слов в область перебора путей ума, которыми задумываются пароли прежде чем обрести свой вид. И только тогда уже начинается перебор слов и вариантов их использования. Что делает задачу практически нерешаемой, между прочим.
Подогнать объяснение под уже известный пароль - что он был составлен при помощи вот такого пути ума, очень легко. А вот вычислить еще не известный пароль таким способом невероятно трудно.

Да, если бы человек брал фамилию своего любимого хоккеиста, потом сдвигал каждую букву на количество букв, соответствующее соответствующей по номеру цифре даты рождения оного, потом переворачивал наоборот и прибавлял город рождения означенного хоккеиста - ваши рассуждения имели бы смысл. Но когда берется фамилия, и разрубается пополам годом рождения - эти рассуждения рассыпаются при встрече с действительностью. Ну, например:

http://www.outpost9.com/files/WordLists.html

Как минимум в одном из этих файлов есть искомая фамилия (кто бы сомневался). Я уверен, что есть и файлы, в которых перечислены люди вместе с годом их рождения.

Мои рассуждения имеют смысл :)
Просто потому, что у людей кроме любимых хоккеистов есть любимые фигуристы, любимые теннисисты и пр., и этих любимых дофига и больше. А еще ведь есть любимые рок-группы и так далее.
По-моему, выбор любимого - не персонажа, а категории персонажей - гораздо проще объяснить, чем вычислить.

Я, видимо, не совсем понятно выражаюсь. Когда взламывают пароль, пробуют ВСЕ фамилии вообще, сколько их есть - вне зависимости от того, принадлежат ли они фигуристу, теннисисту или любимому космонавту. И рок-группы. И еще много-много чего. Практически все, что только есть, включая названия племен Амазонки и экзотических болезней - пробуют.

Тогда действительно надежным является только случайное сочетание случайных букв и случайных цифр, да? Если на этот раз Вы выразились совсем понятно :)
А как способ создания пароля для миллионов людей с очень разным устройством головы в смысле запоминания случайного набора случайных символов это не очень годится.

Тогда действительно надежным является только случайное сочетание случайных букв и случайных цифр, да?

Ну да, разумеется. Причем желательно, чтобы буквы были как прописные, так и заглавные, и кроме них присутствовали и цифры, и знаки препинания. В таком случае даже семизначный пароль никто никогда не вскроет. А семь знаков после десяти использований способны запомнить, думается мне, 99% людей вне зависимости от устройства головы.

Да, способны. Но психологически это означает новую эру устройства виртуальной жизни. Это ведь не только выбор пароля. Увы.

Таня, добро пожаловать на паровоз, как пела группа "Пинк Флойд". Мы вообще-то с Димой с этого начинали. И ничего, выжили. Это вовсе не страшно, даже интересно.

Я же не от страха, Роман Григорьич. Я просто в недоумении. И в полном непонимании происходящего уже некоторое время. Мне же еще совсем недавно и в голову не приходило, что все так вот интересно, мягко говоря, устроено.

А ведь Николай мог объяснить.
Но и Николай, конечно, расслабился на какое-то время.
Ничего, теперь соберемся. Может, кстати, что хорошее сделаем заодно.

Он же мне никогда ничего не объясняет, я потому вечно и пристаю ко всем с дурацкими вопросами :)
У него же многомерные пространства в голове и всякое сложное, у него вот такое всякое простое просто в голову не вписывается, если специально не озадачивать. А я не озадачиваю таким обычно, потому что всегда почему-то в такой момент оказывается, что его срочно нужно озадачить починкой рухнувших в туалете полок или еще чем-нибудь :)
Надо бы собраться и хорошее сделать, это было бы правильно. Безобразие происходит.

Кстати, Дима, у Игоря были замены латинских буков на русские, сколько помню. Так что Ваша версия не катит.

у Игоря были замены латинских буков на русские

Это противоречит информации, предоставленной им:

"Если кого интересует технические детали: мэйл был на gmx.de, пароль был такой cicca1960relli. Это такой хоккеист был: Дино Сиссарелли, играл, в частности, за Детройт Ред Уингз."

Дино Чиккарелли? Именно так читается это.

Ну вот, то есть пароль был именно таким, как и пишут эту фамилию, например, в Википедии:

http://en.wikipedia.org/wiki/Dino_Ciccarelli

А. Плоховато, да.
Но речь все же не о том.

Я понимаю, да, но я как тот Катон, которому много не надо, чтобы начать говорить за Карфаген.

Дима, ну всяк катон знай свой бонтон. Я тоже готов на эту тему поговорить (пока у меня был курс про это, я даже наставлял молодое поколение). Но все ж не о том речь сейчас.

Дима, ну всяк катон знай свой бонтон.

:)))

после работы в айти-компаниях я абсолютно убеждена, что пароль лабаса нетрудный, так они меня воспитали, а насколько они правы, не знаю, не моя профессия.

Я уж тем более не знаю, естественно, да только если пароль Лабаса нетрудный, то трудные встречаются разве что теоретически, а вовсе не практически в ЖЖ :)

вот профессионалы внизу уже написали. Пароль лабаса - Таня1970иванова - это защита от дурака, т.е. от соседа до офису. Фамилии спортсменов всем известны. Оптимальный вариант, позволяющий даже таким рассеянным растяпам как я, запомнить несколько паролей - это то, что ниже написал r_l - первые буквы стихотворной фразы с заменой букв на цифры, только я могу брать и не стихи, а просто что-то мне близкое, фразу, ну, для очень приблизительного примера - "msjmPVi4c", что означает первые буквы "моя семья - я, мама, Петя, Вася, итого четверо человек"

Не Таня1970иванова, а ива1970нова. Но дело вообщше не в том. Мне бы не хотелось, чтоб обсуждение переходило в регистр разговора о паролях. Любой человек, поставивший пароль 'sex', имеет право на защиту от хулиганов и на приватность. Мы говорим все же о том, как обезопасить общественно полезный ресурс (даже если автор - такой идиот, что ставит себе пароль 'sex').

Общественный - и безопасный? Утописты. Сделайте другой интернет, давно пора. Димруб дело говорит, что навредить человеку можно очень крупно и другими путями помимо уничтожения жж, это очень реально, и бекап не решит проблемы, имеешь пароль - имеешь возможность сделать гадость, не этому юзеру, так десятому.

Блин.
Меня интересует конкретная проблема. Не вообще. Это Вы предлагаете другой интернет.

Я не знаю, насколько легко подбирается такой пароль, но как легко он забывается вполне могу себе представить :)

Почему это?
Если заводите аккаунт на LJ, сразу думаете - это будет мой Васькин о-в. И берете пароль: nsnpnxvnv0jpu
Ну сперва ошибетесь в x/j пару раз. Потом запомните.

:)))

Но вообще - я вот со вчерашнего дня, с куздриного сообщенья про возможность импорта жежешных дневников, тоже, естественно, про это думаю, и вижу в этой идее кучу не совсем правильностей. Начать, хотя бы, с того, что это все-таки идея сохранения именно жежешного дневника :)

Дим, справедливо. Но это только часть решения, кажется. Впечатление такое, что дело в трояне, и пароль не подбором взяли. Ни гмейл, ни немецкая, ни австралийская публичная почта ничего не дадут.
Ну так что - всем массово на Linux переползать?


Рома: если ты не против, убери запись под замок.

Прости, а зачем под замок? Я хочу, чтобы люди помогли сделать правильную штуку, коли Носик шлет всех с вазелином в известное место, а 6апарт не отвечает на звонки слушателей.

Да мне кажется, что правильные штуки обсуждать способнее, когда этого не видят неправильные люди. А аудитория у тебя под замком вроде достаточная.

А что они тут могут усмотреть, что им бы помогло? Ничего.
А я их не боюс отныне (скачал весь свой дневник, правда, подзамочные все же не скачались).

См. почту

Дима, отвечу публично.
Из-за того, что какое-то говно завелось и гадит, я не сменю своих привычек. Ты сам пишешь, что не жалко текстов. Ну так чего тогда скрываться от трех-четырех мудаков, не по понимаю?

Да речь не о покушении на твои привычки. Будь смел, это прекрасно. И не в текстах дело, а в других рисках, не для нас с тобой (не хочу их светить). Перечитай, пожалуйста, я о другом написал. Если захочешь отвечать - то лучше все же почтой.

Простите, что комментирую (пользуясь тем, что запись пока еще не ушла под замок), но подзамочнные записи тоже можно скачать:

http://tatjaana.livejournal.com/488812.html?thread=6842220#t6842220 .

Спасибо. Кажется, я не поставил ключа -u, хотя и ввел имя/пароль. Попробую завтра еще.

Я тоже думал, что дело в трояне, пока не увидел пароль лабаса. Увы, он вполне взламывается. Поэтому не стоит множить сущности. Другое дело, как хакеры получили достаточно удобный доступ к файлу паролей, чтобы с комфортом заняться перебором, но это уже не очень принципиальный вопрос.

Мне кажется, все же троян - почта ведь дает отлуп уже после небольшого числа безуспешных попыток подбора.

Это смотря какая почта. Данный фичер требует некоторого геморроя со стороны программистов, пишущих почтовый сервер, поэтому далеко не на всех серверах он есть.

Если это так, я в некотором шоке...

Ну да. Тут ведь дело вот в чем: можно, конечно, на каждую учетную запись поставить счетчик того, сколько раз к ней пытались добраться за последние, скажем, пять минут, и если этот счетчик переваливает, скажем, за 10 попыток, запирать эту учетную запись на какое-то время, однако проблема в том, что хакеры не пытаются обычно взломать один конкретный счет, а наоборот, пытаются взломать как можно больше счетов, неважно чьих, поэтому вместо того, чтобы пробовать взломать одну учетную запись, перебирая все пароли, они пытаются взломать все учетные записи при помощи одного и того же пароля, потом переходят к следующему и т.п. За время прохода счетчик уже сбросился, и в следующий раз не сработает. Следовательно, надо следить не за количеством доступа к конкретной записи, а за количеством попыток логина с конкретного адреса. Что чревато, помимо проблем со всякими NAT-ами и проксями, еще и содержанием огромной таблицы адресов. Тоже не бином Ньютона, конечно, но некоторый геморрой. Я когда-то занимался как раз секьюрити в одной (увы, мертворожденной) системе веб-мейла. Мне этот фичер так пробить через бюрократию фирмы и не удалось.

Понятно.

Но если вернуться к лабасовской ситуации, этот сценарий с ней как-то не вяжется, если только нет черного рынка крякнутых accountов; есть какое-то ощущение некоторой большей прицельности.

Признавая, что веду себя как детсадовский аниськин, замечу, что из четырех свежесломанных (соколов, скунс, мальгин, лабас), соколов и лабас связаны с Германией (причем соколов вроде бы даже к лабасу нередко в гости катался), а и скунс, и мальгин катались по миру очень много.

Почему-то у меня в голове картинка, где Хелл гуляет по интернет кафе Германии и сопредельных стран и заботливо рассеивает по ним свой любимый троянчик.

Я для поездок завожу временный account с форвардингом (и конечно другим паролем), а потом убиваю его.

Ксения Ларина еще.

А какие юзернейм(ы)?

larinax, что ли.

Но если вернуться к лабасовской ситуации, этот сценарий с ней как-то не вяжется, если только нет черного рынка крякнутых accountов; есть какое-то ощущение некоторой большей прицельности.


Правильно. Но я-то описываю точку зрения программистов, пишущих данный сервис. Они стараются покрыть наиболее массовые сценарии, а данный сценарий таковым не является.

Признавая, что веду себя как детсадовский аниськин, замечу, что из четырех свежесломанных (соколов, скунс, мальгин, лабас), соколов и лабас связаны с Германией (причем соколов вроде бы даже к лабасу нередко в гости катался), а и скунс, и мальгин катались по миру очень много.

Лабас говорит, что он интернет-кафе не пользуется, да и вообще со случайных компьютеров не заходит. Было бы очень интересно узнать, каковы были пароли у остальных взломанных. Зуб даю, что взломабельные.

Я для поездок завожу временный account с форвардингом (и конечно другим паролем), а потом убиваю его.

Грешен, я этого не делаю, и из интернет-кафе захожу. Надо бы бросить эту вредную привычку.

Вообще-то приличные сервисы явно "роботовое" поведение тоже давно научились отслеживать и прибивать.
Я, конечно, сужу в основном по опыту с нашими юзерами, но там натурально выясняется, что причиной были трояны либо фишинг - в 99,9% случаев.

Сервисы разные бывают. Я не знаю, в каком вы работаете, видимо, в хорошем, бывают и другие. Что же касается фишинга - это вряд ли, в данном случае, по крайней мере. Может и троян, но то, что пароль отгадываемый, заставляет пока что эту версию откинуть, как менее вероятную.

у меня пароль на почту и на ЖЖ был разный, длиннее 15 символов (буквы и цифры, не связанные с моей жизнью и работой), файрволл, антивирус, + файрволл в ADSL модеме.
Почта на мастерхосте.
Все равно меня взломали.
(до всей этой эпопеи с хеллом)
Так что этим рекомендациям грош цена - захотят ломануть - найдут способ, заебешься огораживаться.