Vlákno názorů k článku
Projekt Turris: nová verze aplikace Sentinel View umožňuje kontrolu hesel od Danny - Bohuzel se pri nasazeni neztracel cas s tim...

Bohuzel se pri nasazeni neztracel cas s tim tam pridat treba ceske word/password-listy... takze i hloupe "heslo123" skonci hlaskou, ze vse je v poradku... :-(

Třeba takové hloupé heslo na routeru nikdo nepoužívá, respektive ho útočníci nezkoušejí.

Danny to zřejmě myslí tak, že v současném stavu je to jen prohledávač hesel, na která narazil Sentinel. Ovšem užitečnější by bylo, kdyby do té databáze byla přisypána i hesla z dalších zdrojů, jako to dělá HIBP. Pak by to byl univerzálnější hlídač uniklých hesel. Teď to nenajde ani běžná česká slova a člověk by mohl nabýt dojmu, že třeba heslo „Praha“ je bezpečné, protože ho na Sentinel nikdo nezkusil.

Každé heslo je bezpečné, dokud ho někdo nezkusí.

Ty boti většinou běží na již hacknutých routech, ty mají omezené systémové prostředky. Většinou se zkoušejí defaultní údaje admin/admin + TOPXX nejběžnějších hesel.

Pro hacknutí běžného náhodného routeru nikdo nepoužívá wordlist s miliony možností. U cíleného útoku bude situace opačná a ty wordlisty budou vybrány lépe. tam vám ale nemusí pomoci ani lepší heslo.

Do môjho Wordpress blogu sa momentálne dobýjajú nejakí boti. Po pár pokusoch je IP dočasne zablokovaná. Vyskytne sa približne 5 útokov denne. Z rôznych krajín.
Ako username skúšajú: admin, support, kompletné meno domény, meno domény bez krajiny.
Som zvedavý, či uhádnu aspoň username, ktoré by človek z názvu domény zistil okamžite (a okrem toho sa nachádza aj v e-mail adrese na jednej stránke blogu, ktorá je "obfuskovaná" ako: meno(zavináč)do­ména.)
Potom ich čaká "už len" silné heslo a jednorazový kód dvojfaktorovej autentifikácie. :-)

15. 9. 2022, 13:40 editováno autorem komentáře

Petr to vystihnul presne. A i tohle je ten point, proc by bezne dostupne (dohledatelne) wordlisty v takovych nastrojich mely byt zaclenene - u nich kazdy zacne...

Dobrý den,
Je to přesně tak, jak píše Petr Krčmář. Tedy se jedná čistě o hesla, která zachytíme od útočníků. Proto implementace wordlistů nedává a nedávala v kontextu Sentinelu smysl. Výsledkem není informace, že "Heslo je bezpečné", ale že ho útočníci nepoužívají. Taková byla i původní představa.