Откуда эта база паролей?

Question

[Anton Kuzmichev]

В общем, дело такое. Второпях ввел свой пароль не туда, куда надо, и хром нашел мне его в интернете. в открытом виде. Вот здесь: pastebin.com/LQNNCgmu
Как видно, там идет хэш, и потом пароль. Даже у самых стойких, типа «5tgb7ujm6tfc», куда я отношу и свой. Поэтому ооочень сильно удивлен.
Гугление самой ссылки ни к чему не приводит.
Вообще, все пасты автора примерно одинаковы: pastebin.com/u/SmilingWolf
Никто из постояльцев не в курсе, откуда может быть это слито, может быть, промелькивало где-то?

Comments

[Салават Ситдиков]

5tgb7ujm6tf — как мне кажется, все же не стойкий пароль. В нем не хватает символов и букв в верхнем регистре.

Answer 1

[Amadeusck]

А это далеко непростой парень. Спец по хэшам. Фанат своего дела :)

1) forum.md5decrypter.co.uk/viewprofile.aspx?UserID=220
2) forum.md5decrypter.co.uk/topic1188-l34k3d0u7-and-3di5h4rm0ny.aspx
3) forum.md5decrypter.co.uk/topic218-found-passwords-2.aspx
4) hashcat.net/wiki/wpa_clean_and_convert_script
5) hashcat.net/forum/thread-637.html

Answer 2

[ekungurov]

Даже у самых стойких, типа «5tgb7ujm6tfc»

Весьма наивно считать такой пароль стойким, ведь он образован определенным паттерном на клавиатуре.

Answer 3

[Николай Турнавиотов]

Я бы воспользовался генератором и хранилизем паролей по типу keepassx. У меня только два 16 значных пароля, остальное 25 символов — хватает с головой.

Comments

[Anton Kuzmichev]

Да, этот инцидент будет толчком к тому, что я все же сменю свои пароли и систему парольную. Смотрю в сторону генераторов на основе мастер-пароля + урл сайта, где я регистрируюсь.

[Николай Турнавиотов]

Assargin зачем урл сайта? просто срань наподобие «q%X&.H>Bx.w7aU\pV_=»@E]R\" или «ghYPezEon_EPDL3a6AVVGm_Yg» и хранить под мастер паролем в том же keepassx. У меня его база лежит в облаке и в копии на двух компьютерах, ну и при изменении обновляется через ms live.

[ixSci]

Только есть шибко умные сервисы, типа того же win live, которые считают, что 10 символов это достаточный пароль и нафиг никому больше не то что не надо, — нельзя. НУ а добрая половина остальных спотыкается на спец. символах.

[rms]

а не пробовали поставить у себя на компе какую-то экзотическую раскладку и вписывать пароли на ней?

Получится, что-то вроде "ަްުަްްުިްިު" найти такое в словарях очень сомнительно :)

Answer 4

[SerDIDG]

Лет 5 назад встречались архивы со словарями паролей, в комплекте с брутфорсом для запароленных архивов. Похоже автор приводит этот словарь под разные типы хеша.

Answer 5

[Владимир Пилипчук]

ну это не совсем стойкий пасс…
про стойкость писал еще OnScript, а стойкий пароль это 16 символов (цифры, буквы разного регистра, спецсимволы).

А база эта не совсем база… это «базенки» одного «маньяка». Может они потом и складируются куда-то, но история об этом умалчивает.
И как верно заметил Amadeusck — парень не простой. Полазив по тырнетам заметил, что человек довольно уважаемый в кругах «хэшеров» и подобных.

Answer 6

[Артем Лисовский]

нашел аналогично тут: hash-killer.com/dict/8/7/4/d

скорее всего это rainbow tables.