Mene zanima kada odem na https://haveibeenpwned.com izbaci mi 2 breached sites, da li i kako mogu provjeriti oo kojoj se stranici radi na kojoj je provaljena lozinka?
CARNET: Procurilo 47 tisuća korisničkih računa s .
- poruka: 42
- |
- čitano: 10.110
- |
- moderatori:
vincimus
S tim mailom si se prijavio na 6 nekih stranica gdje su podaci hakirani.
Promijeni pass za taj mail i to bi trebalo biti dovoljno. Uz ovo sve gore što su drugi pisali.
Da li se moze saznati o kojim se tocno stranicama radi?
Ukratko logiraš se bez password-a, imaš spojen uređaj na USB (loše je što gubiš 1 USB port).
Meni barem bolje je od 2FA, jer ne moraš prepisivati brojeve s mobitela (mada ima i neke drugačije verzije, gdje samo klikneš i pusti te unutra)
Možeš simulirati i kod sebe kako to sve izgleda. Kako nemaš uređaj koji spojiš na usb, moraš skinuti proširenje s
https://chrome.google.com/webstore/detail/virtual-authenticators-ta/gafbpmlmeiikmhkhiapjlfjgdioafmja
Demo primjer https://webauthn.me/ ili https://webauthn.io/
Nakon što si instalirao proširenje s F12 dobiješ novi tab "Virtual Authenticators" u kojem odabereš i uključiš i dodaš novi "uređaj".
Registriraš se i logiraš bez da te gnjavi s passwordom.
Ima neka opcija preko otiska prsta, ali moraš imati na laptopu takav uređaj za čitanje otisaka prsta.
Više o fido2 standardu
Ukratko logiraš se bez password-a, imaš spojen uređaj na USB (loše je što gubiš 1 USB port).
Meni barem bolje je od 2FA, jer ne moraš prepisivati brojeve s mobitela (mada ima i neke drugačije verzije, gdje samo klikneš i pusti te unutra)
Možeš simulirati i kod sebe kako to sve izgleda. Kako nemaš uređaj koji spojiš na usb, moraš skinuti proširenje s
https://chrome.google.com/webstore/detail/virtual-authenticators-ta/gafbpmlmeiikmhkhiapjlfjgdioafmja
Demo primjer https://webauthn.me/ ili https://webauthn.io/
Nakon što si instalirao proširenje s F12 dobiješ novi tab "Virtual Authenticators" u kojem odabereš i uključiš i dodaš novi "uređaj".
Registriraš se i logiraš bez da te gnjavi s passwordom.
Ima neka opcija preko otiska prsta, ali moraš imati na laptopu takav uređaj za čitanje otisaka prsta.
Više o fido2 standardu
Je li koristiš koji taj proizvod? Čuo sam samo za Yubikey da su ok, zanima me imaš kakva iskustva?
Hvala Pero
Može neko malo pojasniti šta znači breached site, vidim da meni izbacuje 6 breached sites and no pastes.
Odgovore daje stranica https://haveibeenpwned.com/FAQs
Ukratko, ako odgovor na zadanu e-mail adresu sadrži "Pwned on N breached sites", onda je niže ispod naslova "Breaches you were pwned in" navedeno tih N incidenata u kojima su procurili podatci koji sadrže zadanu e-mail adresu. Svaki incident je kratko opisan i navedeno je kada se i gdje dogodio (na kojem siteu/servisu). To treba pročitati s razumijevanjem da bi se vidjelo treba li nešto poduzeti u vezi s korisničkim računom.
Primjer:
Disqus: In October 2017, the blog commenting service Disqus announced they'd suffered a data breach. The breach dated back to July 2012 but wasn't identified until years later when the data finally surfaced. The breach contained over 17.5 million unique email addresses and usernames. Users who created logins on Disqus had salted SHA1 hashes of passwords whilst users who logged in via social providers only had references to those accounts.
Compromised data: Email addresses, Passwords, Usernames
Dakle, opis incidenta kaže da je u listopadu 2017. otkrivena krađa podataka o Disqus korisničkim računima koja se dogodila još u srpnju 2012. a ukradeni podatci sadrže e-mail adrese, lozinke i korisnička imena. Zadana e-mail adresa je očito bila među tim ukradenim podatcima (jer inače stranica ne bi pokazala taj incident za zadanu e-mail adresu).
Ako taj korisnik servisa Disqus nije mijenjao svoju lozinku na tom servisu nakon srpnja 2012., onda bi to svakako trebao napraviti jer mu je lozinka otkrivena i možda mu netko zloupotrebljava korisnički račun.
Jesam li uspio pojasniti?
nisam pwnao, nisam pejstao, nisam procurio. doktore, šta mi je?!