Selbst ein 2048-Bit-Schlüssel kann mit einigen der Code-Brecher-Module in angemessener Zeit geknackt werden.
Die Suche nach einem nicht fälschbaren Authentifizierungsprotokoll ist sozusagen der Heilige Gral der Informatik.
Der Fingerabdruckscanner auf diesem Laptop war so unzuverlässig, dass ich ihn deaktiviert habe.
Wenn Sie jemals den Film GATTACA gesehen haben, wurden sogar DNA-Tests gefälscht. (Und die Bewegung, die Sammlung und Speicherung biometrischer Parameter zu verbieten oder einzuschränken, scheint an Dynamik zu gewinnen.)
3 „Gefällt mir“
Ich liebe diesen Film
1 „Gefällt mir“
Ich habe den Code nicht durchforstet, welche Verschlüsselungsmethode wird bei Passwörtern in Discourse verwendet?
1 „Gefällt mir“
Ich glaube, dass nur wenige Forenadmins Zugang zu Hardware auf dem Niveau von Chat GPT haben.
2 „Gefällt mir“
Die verwendete Hashing-Methode ist pbkdf2.
Wir haben die Anzahl der Runden aufgrund von Fortschritten bei Prozessoren kürzlich erhöht und bestehende Passwörter werden beim Login automatisch auf die höhere Anzahl von Runden aktualisiert.
Fair, aber das ändert nicht viel.
Die Quintessenz ist: “länger ist besser”.
3 „Gefällt mir“
Sicher.
Aber wenn die Frage ist, ob ein böswilliger Administrator eine echte Bedrohung darstellt, weil es Hashes gibt, lautet die Antwort nein.
Ich stimme dem nicht zu 100 % zu.
Ein unredlicher Administrator ist in der Lage, mindestens einen wichtigen Abwehrmechanismus zu umgehen (Ratenbegrenzung bei Passwortversuchen, da er Offline-Versuche durchführen kann, wenn er den Hash besitzt). Dies als unwichtig oder als keine Bedrohung abzutun, könnte als Fahrlässigkeit angesehen werden.
Ich bin mir nicht sicher, was „Chatgpt-Hardware“ ist (außer einem Versuch, Schlagworte für etwas völlig Unzusammenhängendes zu verwenden), aber diese Tabelle enthält keine Wörterbuchangriffe (dictionary attacks), was ein echtes Versäumnis ist und die Dinge schwieriger erscheinen lässt, als sie tatsächlich sind.
5 „Gefällt mir“
SolarWinds123
@codergautam Ich hoffe, Sie haben Schritte unternommen, um zu verhindern, dass sich so etwas in Ihrem Forum wiederholt. Viel Glück!
5 „Gefällt mir“
Also…
Das ist, was ich bisher getan habe.
-
Einen angepinnten Thread und ein weiteres Banner erstellt, das über den Vorfall informiert und alle auffordert, ihr Passwort zurückzusetzen und die Zwei-Faktor-Authentifizierung zu aktivieren.
-
Die Zwei-Faktor-Authentifizierung für Mods aktiviert.
-
Mods über diesen Angriff beraten und die Verhinderung von Angriffen dieser Art in Zukunft.
Die aktivsten Benutzer haben ihr Passwort zurückgesetzt, aber das sind nur etwa 10 % des Forums. Ich möchte wirklich nicht, dass alle ihr Passwort zurücksetzen, da dies für sie zu Verwirrung führen würde, wenn sie sich jemals wieder anmelden möchten.
4 „Gefällt mir“
Ja, aber was ist mit der Verhinderung einer ähnlichen Social-Engineering-Penetration und der Sicherung von Administratoren?
2 „Gefällt mir“
Das ist zu 100 % mein Fehler. Ich habe beschlossen, niemandem mehr Admin-Rechte zu geben, insbesondere nicht Leuten, die ich nicht persönlich getroffen und denen ich nicht im wirklichen Leben vertraue.
5 „Gefällt mir“
Für einige weitere Details: Die Person, die den Datenverstoß begangen hat, wurde dauerhaft vom Forum gesperrt, da ihr nie wieder vertraut wurde.
Das Problem ist, dass sie alternative Konten in diesem Forum erstellen und diese nutzen könnten, um ihre Sperrung zu umgehen und mehr Chaos zu verursachen.
Vielleicht könnte eine IP-Sperre weiteren Schaden verhindern.
2 „Gefällt mir“
Allein der Besitz von CSGO im Benutzernamen könnte ein Grund für eine Sperre sein…
5 „Gefällt mir“
Das ist für jeden sicheren Bereich im Internet obligatorisch (deshalb mögen einige von uns echte private Nachrichten – verschlüsselt).
1 „Gefällt mir“
Social-Engineering-Angriffe basieren auf der allzu menschlichen Eigenschaft, Menschen zu vertrauen. Und es gibt da draußen wirklich glatte Redner!
4 „Gefällt mir“
Sie haben Alt-Konten erstellt und als wir sie sahen, haben wir diese Konten ebenfalls dauerhaft gesperrt.
2 „Gefällt mir“
Warum nicht auch seine IP blockieren? Ich würde zumindest einen Zweitaccount löschen und die IP blockieren.
2 „Gefällt mir“
Weil eine Änderung der IP-Adresse, falls diese von Anfang an statisch war, schneller geschieht als eine Sperrung?
1 „Gefällt mir“
Es funktioniert besser als du denkst. Ich habe damit eine Reihe von problematischen Nutzern gestoppt. Ich finde, dass eine Sperrung leichter umgangen werden kann. Außerdem, warum solltest du nicht alle verfügbaren Methoden nutzen, um weitere Handlungen dieser Person zu unterbinden?
2 „Gefällt mir“