Даже ключ в 2048 бит можно взломать за разумное время с помощью некоторых модулей для взлома шифров.
Поиск протокола аутентификации, устойчивого к подделке, — своего рода «Святой Грааль» в области вычислений.
Сканер отпечатков пальцев на этом ноутбуке был настолько ненадежным, что я его отключил.
Если вы когда-нибудь смотрели фильм «Гаттака», то даже ДНК-тесты подвергались подделке. (И движение за запрет или ограничение сбора и хранения биометрических данных, похоже, набирает обороты.)
Я обожаю этот фильм
Я не изучал код, какой метод шифрования используется для паролей в Discourse?
Полагаю, что у довольно немногих администраторов форумов есть доступ к оборудованию уровня ChatGPT.
Используемый метод хеширования — pbkdf2.
Недавно мы увеличили количество итераций из-за роста производительности процессоров, а существующие пароли автоматически обновляются до нового количества итераций при входе в систему.
Справедливо, но это мало что меняет.
Главный вывод: «чем длиннее, тем лучше».
Конечно.
Но если вопрос в том, представляет ли собой неправомерный администратор реальную угрозу из-за хешей, то ответ — нет.
Я не согласен с этим на 100%.
Злонамеренный администратор способен обойти как минимум один важный механизм защиты (ограничение частоты попыток ввода пароля, поскольку при наличии хеша он может выполнять попытки в автономном режиме). Считать это неважным или не представляющим угрозу можно расценивать как халатность.
Я не уверен, что такое «аппаратное обеспечение Chatgpt» (кроме как попытка использовать модные слова для чего-то совершенно нерелевантного), но эта таблица не включает атаки по словарю, что является серьезным упущением и создает впечатление, будто всё сложнее, чем есть на самом деле.
SolarWinds123
@codergautam надеюсь, вы предприняли шаги, чтобы подобное больше не происходило с вашим форумом. Удачи!
Итак…
вот что я уже сделал.
закрепил тему и добавил баннер с информацией об инциденте, в котором призвал всех сбросить пароли и включить двухфакторную аутентификацию (2FA)
обязал модераторов использовать 2FA
проинформировал модераторов о此次 атаке и о том, как предотвратить подобные атаки в будущем
Большинство активных пользователей уже сбросили пароли, но это лишь около 10% участников форума. Я очень не хочу принудительно сбрасывать пароли всем, так как это лишь вызовет путаницу, если они когда-нибудь захотят снова войти в систему.
Да, но как предотвратить аналогичное проникновение через социальную инженерию и обеспечить безопасность администратора?
Это на 100% моя ошибка. Я решил больше не выдавать права администратора никому, особенно людям, которых я не встречал в реальной жизни и которым не доверяю.
Для большей детализации: человек, совершивший утечку данных, получил бессрочную блокировку на форуме, так как больше никогда не заслужил доверия.
Возможно, блокировка их IP-адреса поможет предотвратить дальнейший ущерб.
Наличие «CSGO» в вашем имени пользователя может стать самостоятельным основанием для блокировки…
Это обязательно для каждого защищенного пространства в интернете (поэтому некоторым из нас нравятся настоящие зашифрованные личные сообщения).
Атаки социальной инженерии основаны на свойственном людям доверии к другим людям. А среди них есть настоящие искусные ораторы!
Они действительно создали альтернативные аккаунты, и как только мы это обнаружили, мы навсегда заблокировали эти аккаунты.
Почему бы не заблокировать и его IP? Я бы хотя бы удалил альт-аккаунт и заблокировал IP.
Потому что смена IP-адреса, если он изначально был статическим, происходит быстрее, чем блокировка?
На самом деле это работает даже лучше, чем вы думаете. Я уже не раз блокировал проблемных пользователей с его помощью. Мне кажется, что обход блокировки проще. Кроме того, зачем не использовать все доступные методы, чтобы предотвратить дальнейшие действия этого человека?
