[Важно] Все способы обезопасить аккаунт от угона

1. Там был сложный, как и требовалось, со спец символами и всё такое.
2. От брутфорса кукис это не спасает.

 

То есть вы хотите сказать, что они телепатически выкрали у вас мастер-пароль из головы и ломанули базу?

Ясно что пароль был несложен, либо скомпрометирован.
А брутфорс шифрованной базы со сложным, случайным паролем будет занимать миллионы лет. Пущай брутят)

Не ясно причем тут куки и откуда там мастер-пароль. Если включить фантазию, то можно предположить, что у вас был какой-то онлайн менеджер паролей и там использовались куки для аутентификации. Ну, такой менеджер мог написать только идиот. А написать менеджер сохраняющий пароль в куки мог только ещё больший идиот.
Но я думаю, что это только мои фантазии и вы имели в виду что-то другое.

Менеджер не от яблочной компании был?

 

У нас у орга до ввода обязательной двухфакторной авторизации увели сложнейший пароль, который только для форума и всё такое.
Потому что брутфорс кукис - это не подбор вариантов.

 

брутфорс - всегда перебор вариантов. в этом его суть.
Скрытая ссылка
у орга могли увести через кейлогер или фишинг. в этом случае это явный косяк орга. могли увести пароль ещё атакой "человек посередине", но тут ssl помешает - сложно. но это не проблемы менеджера паролей же.

не понял что тогда имеете под "брутфорс кукис". может быть где-то в куки записывается хеш пароля какой-нить взломанной хэш-функции типа MD5 для аутентификации - в этом случае можно сбрутить, но я принципиально не пишу про подобные менеджеры (и не пользуюсь ими).

В любом случае - надо быть осторожнее. Это верно. Особенно с менеджерами, которые хранят всё в облаке.
Скрытая ссылка
Скрытая ссылка

 

Статья с Хабра:
"Человек вводит логин и пароль и если они соответствуют данным в базе, то человек считается авторизованным, для него генерируется сессия и записывается в кукис. Наверное все вы слышали про брутфорс. Многие помнят о нем и реализуют защиту в виде ограниченных попыток ввода логина/пароля с некоторым интервалом. Но практически все забывают о том, что сессию, запрятанную в кукисе можно также брутфорсить. Более того, при аутентификации вы должны знать логин и пароль, а тут только сессию. Да и шаблон сессии (количество символов, какие символы) злоумышленник может посмотреть, зарегистрировавшись на портале."
Скрытая ссылка если целиком.

 

Если угнать из куки некий sid - это "разрешённая" уязвимость, но всё же уязвимость. И так можно увести только идентификатор сессии (sid), но не пароль. А можно запретить куки или не нажимать галочку "запомнить меня".

Тут да, понятно. Увели sid - получили доступ. Но получили не пароль, не сбрутили, а сессию. Если sid записывается в куки не хэшем - брутить их не нужно, только перехватить. А перехватить куки легко, да. (Это пишу про случай перехвата куки)

А если хакер куки не перехватывал, а просто перебирал все возможные сиды по некоторому шаблону - от этого разве на сайте не стоит защиты?
Ну, куки - известная дырка в защите, да. Тут пользователю можно только посоветовать всегда заканчивать сессию. Сессия на этом сайте завершается, если я всегда нажимаю "выход"?

Это имеет смысл всё, я понял что вы имели в виду. Но причем тут мой менеджер паролей? )
Если можно зная шаблон перебрать сиды - это косяк автора сайта, но пользователь не виновен. Как и менеджер паролей пользователя.

 

сейчас посмотрел куки - значение xf-session для этого сайта всего 32-значное 16-е число. перебирать легко и просто. не слишком просто, но можно. это же косяк создателя. почему нельзя поставить нормальную длину?

 

Стоит. Несколько попыток, и юзер получает блокировку на аккаунт. Смена ip не поможет. Та же история с подбором кода двухфакторной авторизации.
А дальше юзер пишет в Обратную связь и начинается отдельное развлечение.
Так что, двухфакторная авторизация рулит.

 

Это не самописная CMS, тут от создателей многое зависит.
Но чтобы левые люди не добрались куда не надо, ставим двухфакторную авторизацию, и не сохраняем данные по ней на компе, даже если менеджер паролей предлагает.

 

По мне - самая лучшая система куда можно попасть по паролю и всё. При том важно чтобы пароль был сложен. И где нет никаких сидов, восстановлений пароля типа "ваше любимое блюдо - пельмени" и прочих дырок.

От атаки по сиду конечно пользователь часто бессилен (если сессию принудительно не рвёт). тут не угоняют пароли, но неприятно.

 

для меня, как для программиста там делов-то - аргумент у генератора псевдослучаных чисел поменять с 32 на 500, например)
а куда вы сохраняете данные по 2ф авторизации?

 

Отдельно в бумажный блокнот.
И то, если там не через приложение, которое коды генерирует.

 

Понятно

 

Оно, конечно, не удобно, но вот как-то сложно взломать такое.

 

Хакеру сложно, но мужу легко)
По мне лучше неонлайн менеджер паролей хороший, с суровым шифрованием и мастер-пароль от него в голове. Ну или криптоконтейнеры. Только надо чтобы кейлогеров и следилок не было. Лучше менеджер держать на изолированной системе, конечно. У меня такая есть, но считаю это излишним всё же

 

Осталось понять, зачем оно мужу. Он у меня нормальный.

Тут уже дело хозяйское. Кому что больше нравится.

 

Странная ситуация - я не вписывалась в 2 складчины ,которых сегодня увидела библиотеки - как это возможно? - деньги списаны с моего баланса - прошу выписать меня из складчин и вернуть деньги. Взломали мою страничку? мне надо поменять имя и пароль?
впервые такое - я не новичок - и от меня никто не мог подписаться на эти складчины - что произошло ? - и что делать? Сбора я не видела - сразу списано и выдано - я вообще ничего не поняла как такое возможно.

Смотрю баланс списано в пятницу - одна оплачена в 21-58 ч - а другая в 21-59 ч
я так быстро складчины не выбираю и не оплачиваю - какие то мошенники
хотелось бы вернуть деньги
и что сделать чтобы такого больше не повторилось?

вот эти складчины
https://v14.skladchik.org/threads/...olcami-loza-school-valentina-ovragina.420085/
https://v14.skladchik.org/threads/...k-kniga-balansirovki-ja-radik-kuletov.434353/


Похоже взломали мой аккаунт
что мне теперь сделать?
пароль у меня надежный был - как это возможно
у меня много складчин - если сольют?
Подскажите порядок правильных действий - я не очень сильна в компьютерных настройках - может мне кто нибудь помочь?
спасибо!

 

Прочитать первое сообщение этой темы и сделать то, что там написано