четверг, 12 декабря 2013 г.

GitHub запретил использование слабых паролей

Популярная система коллективной разработки и репозиторий GitHub недавно стал жертвой успешной атаки методом “грубой силы”. По сути для  некоторых аккаунтов были подобраны стандартные пароли.

“Мы отправили пользователям со взломанными аккаунтами электронное письмо с инструкциями”, - рассказал в своем посте управляющий системы безопасности Шон Дэвенпорт. “Их пароли, персональные токены доступа, OAuth-авторизация и ключи SSH были аннулированы”.


Пользователям посоветовали просмотреть страницу “История безопасности” на предмет недавних изменений своих репозиториев или неудачных попыток зарегистрироваться, и включить двухфакторную аутентификацию.

GitHub надежно хранит пароли с помощью функции bcrypt и строго ограничивает частоту авторизации, чтобы блокировать атаки перебора паролей. Тем не менее, во время недавнего инцидента почти 40 тыс. уникальных IP-адресов “использовали для взлома методом «грубой силы» слабых паролей или паролей, используемых на других сайтах”.

Предположительно, взломщики взяли список имен пользователей и паролей, просочившийся с других веб-сайтов, и использовали ботнет сеть.
Точное количество взломанных паролей не разглашается, и GitHub не сразу ответил на запрос с требованием прояснить ситуацию.
GitHub планирует принять дополнительные меры касаемо частоты входа в аккаунт и запретит пользователям использовать распространённые слабые пароли.

Из этого следует, что не только пользователи, чьи аккаунты были взломаны, вынуждены сменить пароль, но и те, кто использует слабые пароли.
На странице регистрации GitHub сказано, что пароли должны содержать не менее 7 символов, по крайней мере одну букву нижнего регистра и одну цифру. Если пользователь пытается ввести слабый пароль (что-то вроде q1w2e3r4, password1 и iloveyou2), появляется сообщение “часто угадываются хакерами”.

Все же, чёрный список не столь исчерпывающий, поскольку допускаются такие пароли, как password2, 1l0v3y0u или p4ssw0rd.

Источник

Комментариев нет:

Отправить комментарий