Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

Hasło? Eee......

Cała afera z atakami na strony rządowe ma ciekawą kwestię uboczną - Anonymous (albo ktoś się pod nich podszywający, licho wie...) opublikowali faktycznie ciut haseł do kont polityków.

Co tu dużo pisać, niektóre są dramatycznie złe. Ja rozumiem, że Pan Mietek Grzędziułka z warzywniaka nie musi mieć do konta na Onecie skomplikowanego hasła, ale jeżeli Pan Mietek zmieni zawód i zostanie posłem Partii Polskiej Polski Mieczysławem G. to powinien jednak wziąć sobie do serca rady wyraźnie wyszczególnione przy zakładaniu dowolnej skrzynki e-mail. Zdrowy rozsądek każe założyć, że tak zrobi, prawda?

Zdrowy rozsądek swoje, a życie swoje:

madzia
joanna
martyna
mycha
rzeszow
margol
anetka03
livia
thedoors
ania80
tvn24
bacha.
ulala1
wolomin1
ela1014
jaworski0
1alex1
280600
ms02758
24011974
a1thema
aga
030372ab
14kis79
kasjus78
marc1nek
polityk
a$$%%k

7 haseł można uznać za "OK", bo zawierają cyfry i średnio logiczne kombinacje znaków. Prawdziwą plagą są jednak hasła będące imieniem (!) oraz prostym słowem z dodaną jedną cyfrą (!!). Czy ktokolwiek w rządzie słyszał o metodzie słownikowej? Hasło "polityk" to już kpina w żywe oczy.

Login: admin
Pass: proadmin1

Tutaj dochodzimy do kolejnej kwestii. Skrzynki samorządów, resortów, ministerstw i inszego tałatajstwa raczej nie są Interią z inną domeną - prawdopodobnie są hostowane na serwerach i obsługiwane przez ludzi figurujących jako "informatycy". Każdy urząd miasta ma jednego, a na liście widać Zieloną Górę, Częstochowę, Rzeszów, Olsztyn i Warszawę.

Dlaczego informatycy ci dopuścili możliwość ustalenia trójznakowego hasła dla bądź co bądź rządowych skrzynek? Czemu olali sprawę takich potworków jak "polityk", nie idąc do właściciela z petycją o zmianę?

Strach pomyśleć, co jeszcze się wyprawia na terenie całego kraju. Sprawa jest o tyle ciekawa, że kilka pozycji na liście wskazuje na wysiłek właściciela ("ms02758"). Może akurat ta garstka osób nie usnęła na jakimś szkoleniu o hasłach? :)

www.powiatkamienski.psl.pl
Imię Nazwisko Hasło: PierwszaliteraimieniaNazwisko

Listę opublikowałem, bo od rana i tak zdążyła obiec całą Sieć i nie ma sensu bawić się w jakieś tajemnice. Nawet nie sprawdzam, czy te hasła są poprawne, gdyż od rana zapewne się zmieniły. Po namyśle usunąłem loginy i domeny, bo chcę jedynie poruszyć kwestię tego, że wszystkie monity i nawoływania o odpowiednie hasło są bez sensu, skoro nie docierają do mądrych głów reprezentantów ludu. Dopóki takie kwiatki jak hasło "mycha" będą na porządku dziennym, dopóty "ataki hakerskie" faktycznie będzie mógł przeprowadzić przeciętny gimnazjalista na telefonie komórkowym. Jak? Choćby zgadując hasło i wpisując je w pole logowania... 

internet bezpieczeństwo inne

Komentarze

0 nowych
januszek   18 #1 24.01.2012 14:42

Czepiasz się - na tym przykładzie przecież widać, że hasło 'a$$%%k' nie okazało się skuteczniejsze niż 'aga'... Podtrzymuję co kiedyś na blagu napisałem, że to nie w sile hasła leży klucz do bezpieczeństwa.

Mantarak   3 #2 24.01.2012 16:08

Polityk to stworzenie o wysoce rozwinietej umiejętności obrony własnego stołka i zwalania swoich niepowodzeń na innych. A na pozostałych sprawach nie musi się znać. Od tego ma wodza swojej partii, który mówi ma jak naciskac guziki do głosowania.:)
A tak serio to skąd wiesz, że to prawdziwe hasła do prawdziwych kont? A nawet jeśli to prawda to może administrator tych haseł dał ciała?

gowain   18 #3 24.01.2012 16:48

@Ave5 Mnie tylko zastanawia to zdanie: "Czemu olali sprawę takich potworków jak "polityk", nie idąc do właściciela z petycją o zmianę?"... Zakładasz, że w bazie są hasła nieszyfrowane i informatycy je widzą?... Bo mi się wydaję, że co najmniej md5 są przejechane, więc taki informatyk widzi tylko hash, nic więcej.

Ave5   8 #4 24.01.2012 16:52

@ Mantarak

Admin na pewno dał ciała, bo niezależnie od tego co on robił, to nie uświadomił userom że wypada jednak pogłówkować ;)

Autentyczność możesz potwierdzić choćby wchodząc na strony, z których pochodzą hasła - w większości podmienione. Jeszcze więcej dowodów jest tam, gdzie loginy i domeny ;]

pilarek   5 #5 24.01.2012 17:22

Ja te hasła już 22 lutego znalazłem na #poland (mibbit).

Mantarak   3 #6 24.01.2012 17:28

@Ave5
Fakt, że po obejrzeniu materiałów wyglada to na autentyk.
Mnie zastanawia tylko czy czy ten "admin" nie dał ciała na rozkaz, aby ułatwić włamanie i dać rządzącym argumenty w "dialogu" ze społeczeństwem. Dzis rozmawiałem z kilkoma osobami, które nie mają pojęcia o co biega z tą ustawą. One uwierzą w "złych" hakerów jak zobaczą to w TV.

drobok   13 #7 24.01.2012 18:13

Źli hakerzy się zaczną jak acta wejdzie. I to nie ddos (bo tłum będzie bał się wyściubić nos) :)

matzu   5 #8 24.01.2012 18:20

Odpowiedzialność za to, że można wprowadzić hasło, które składa się z tak małej liczby znaków, ponoszą osoby, które implementowały mechanizm rejestracji w tym systemie, a nie osoby zarządzające całą infrastrukturą.

  #9 24.01.2012 19:53

Kilka mejli sprawdzałem - działają.

  #10 24.01.2012 21:41

Może ale tylko może :) te hasła są takie tylko dlatego żeby łatwo je było zapamiętać. Bo taki bardzo zapracowany polityk nie ma czasu się nauczyć jakiegoś bardziej skomplikowanego hasła. A taki admin to raczej tam nie ma nic do gadania polityk chce mieć możliwość wpisywania krótkich haseł i koniec rozmowy. Jeśli admin będzie się za bardzo opierał to straci prace i tyle.

Maxi_S   4 #11 24.01.2012 23:29

Aj waj i mocne hasła. IMHO, zakładając że większość rządowych serwerów stoi na Winach (a wątpię by było inaczej), to jakaś aplikacja podpięta pod AD dała d***. W takim przypadku nie pomoże nawet kilobajtowe hasło. Chyba nie sądzicie, że oni tak słownikiem czy brutalem jechali?

antiferno   7 #12 24.01.2012 23:50

Nie wiem czy sie smiac czy plakac ... az boje sie pomyslec jakim tokiem myslenia podazaja debile uzywajacy takich hasel ... i oni podejmuja za nas decyzje ... :(

Mantarak   3 #13 25.01.2012 00:45

He, he. Właśnie niebezpiecznik pisze o ataku GG. Tam to dopiero są hasła.

pisarzksiazkowicz   7 #14 25.01.2012 00:52

@Mantarak,
Prawda. Fajnie wygląda ten ciąg numerów z hasłem "123456".

pilarek   5 #15 25.01.2012 06:45

"Ja te hasła już 22 lutego znalazłem na #poland (mibbit)."

Stycznia... ;o

Ostatni Mohikanin   25 #16 25.01.2012 08:35

W niektórych hasłach są cyfry. Głowę se daję uciąć, że nie są to liczby całkiem przypadkowe, losowe, a jakieś ważne daty albo PINy, albo ciągi znaków z np. numerów kont bankowych czy dowodów osobistych właścicieli.