Administrador do Fórum Comprometido

Mesmo uma chave de 2048 bits é quebrável em uma quantidade razoável de tempo com alguns dos módulos de quebra de código.

A busca por um protocolo de autenticação não falsificável é uma espécie de Santo Graal da computação.

O scanner de impressão digital neste laptop era tão não confiável que o desativei.

Se você já viu o filme GATTACA, até mesmo os testes de DNA estavam sendo falsificados. (E o movimento para proibir ou limitar a coleta e o armazenamento de parâmetros biométricos parece estar ganhando força.)

Eu amo esse filme

Eventualmente, claro:

2500×2500 595 KB

Não vasculhei o código, qual método de criptografia é usado em senhas no Discourse?

Acho que poucos administradores de fóruns têm acesso a hardware de nível ChatGPT.

O método de hash usado é pbkdf2.

Aumentamos o número de rodadas recentemente devido aos avanços nos processadores e as senhas existentes são automaticamente atualizadas para o maior número de rodadas no login.

Justo, mas isso não muda muita coisa.

A conclusão é “quanto mais longo, melhor”.

Claro.

Mas se a pergunta é se um administrador mal-intencionado é uma ameaça real por causa dos hashes, a resposta é não.

Eu não concordo 100% com isso.
Um administrador mal-intencionado é capaz de contornar pelo menos um mecanismo de defesa importante (limitação de taxa em tentativas de senha, porque eles podem fazer tentativas offline se possuírem o hash). Descartar isso como sem importância ou como não uma ameaça pode ser considerado negligência.

Não tenho certeza do que é “hardware do ChatGPT” (além de uma tentativa de usar palavras da moda para algo completamente não relacionado), mas esta tabela não inclui ataques de dicionário, o que é uma falha real e faz as coisas parecerem mais difíceis do que realmente são.

SolarWinds123

@codergautam espero que você tenha tomado algumas medidas para evitar que esse tipo de coisa aconteça novamente com seu fórum. Boa sorte!

Então…

é isso que eu fiz até agora.

• criei um tópico fixo e outro banner explicando sobre o incidente, dizendo a todos para redefinirem suas senhas e habilitarem a autenticação de dois fatores (2FA)

• habilitei o requisito de 2FA para moderadores

• aconselhei os moderadores sobre este ataque e como prevenir tipos de ataques como este novamente

a maioria dos usuários ativos redefiniu suas senhas, mas isso é apenas cerca de 10% do fórum. Eu realmente não quero redefinir a senha de todos, pois isso apenas causará confusão para eles se eles decidirem fazer login novamente.

sim, mas e quanto a prevenir uma engenharia social semelhante e proteger o administrador?

isso é 100% culpa minha. Decidi não dar mais acesso de administrador a ninguém, especialmente a pessoas que não conheci e confio na vida real.

Para mais detalhes: A pessoa que realizou a violação de dados recebeu uma suspensão permanente do fórum porque nunca mais foi confiável.

image2048×1097 166 KB

Talvez a lista negra de seu IP possa prevenir mais danos.

Ter CSGO no seu nome de usuário já poderia ser motivo para suspensão…

Isso é obrigatório para todos os espaços seguros na internet (por isso alguns de nós gostam de mensagens privadas reais - criptografadas -).

A engenharia social se baseia na característica humana de confiar nas pessoas. E existem alguns ótimos manipuladores por aí!

Eles criaram contas alternativas e, assim que as vimos, suspendemos permanentemente essas contas também.

por que não bloquear o IP dele também? eu pelo menos excluiria uma conta alternativa e bloquearia o IP.

Porque mudar de IP, se ele já era estático em primeiro lugar, acontece mais rápido do que banir?

na verdade funciona melhor do que você pensa. eu parei vários usuários problemáticos com isso. acho a suspensão mais fácil de contornar. além disso, por que você não usaria todos os métodos disponíveis para impedir novas ações dessa pessoa?