Слушайте, а даже рассылку не сделали с просьбой поменять пароли.

А может сначала нужно разобраться, что происходит? Вдруг пароли утекли через процедуру смены пароля ;)

Нет, о «секьюрности» оперы наслышан. Своему отделу этим браузером вообще запретил пользоваться, даже в личных целях.

Аккаунт вообще чисто служебный - непривилигерованный доступ к Метрике. Использовался за всю жизнь раза 2 или 3.

С интересом буду ждать резюме от Яндекса :)

Дайте уже ссылку на полную базу, влом читать все комменты швабра и искать.

Не оно? Не проверял.

1000000 паролей от почтовых ящиков Яндекса утекли в сеть (комментарий)

Щас проверим, благодарю.

Оно, да.

Своего пароля не нашёл, обрадовался. А вообще при беглом просмотре все пароли простые.

Опять же, скорость подбора хеша на видеокарте, особенно AMD, сейчас очень приличная

Генерит, да.

Да у меня на ипаде нифига не откроешь.

А чем keepass плох?

вот поэтому надо пользоваться либо своим почтовиком либо гуглом

красота, очень высокая надежность.

ivlad

Это тот парень, который лекции по криптографии читал?

Есть хорошие новости, моего акка там нет :)

Это пользовать с UID 9: www.linux.org.ru/people/ivlad/profile

Это пользовать с UID 9

А как номер партбилета относится к моему вопросу? )

СОРМ, или как он сейчас называется...

Он не всемогущ и не справится с ssl.

Епрст, еще раз, гугл, яндекс, фейсбук МОГУТ запилить все что угодно.

Запилят по первой прихоти gh0stwizard'а, пропатчив все RFC, либы, клиентский код и т.д.?

Я намекнул где хранить пароли и не парится
LDAP
не парится

Okay.

Никто не заставляет в LDAP хранить sha1,md5, ибо для LDAP это СТРОКА

Т.е. для каждой софтины впиливать костыль-обертку для функции проверки пароля? Ну это же просто отличное решение.

Это смотря на каком этапе прикажут его впендюрить

Поучительная история http://politota.d3.ru/comments/511605/

В случае утечки не было бы неверных паролей (читай внимательно этот тред).

В случае утечки старого бекапа - были бы.

при беглом просмотре все пароли простые

Не знаю, Z8DDbleF2nFlZN9qf3ic - простой? И если отсортировать и поискать те что подлиннее, начинают возникать сомнения, то такое можно брутфорсом добыть.

Чтобы сильно не искать по всему интернету, вот тут файлик можно скачать. Прямые ссылки прошу в сеть не выкладывать.

КТО БОЛЬШЕ?

Более 4 миллионов почтовых ящиков Mail.ru с паролями утекли так же.

133.47 MB Формат: txt Количество записей: 4664478 Актуализация: 2014

ГДЕ?!

Моих ящиков нет. Слава Ктулху!

Прямые ссылки прошу в сеть не выкладывать

Прямые ссылки - это не на твой унылый сайтик что ли? =)

Поучительная история http://politota.d3.ru/comments/511605/

Ничего поучительного не увидел.

Мне глубоко блевать на тебя - просто заткнись и исчезни, а лучше убей себя. Мир вздохнёт легче.

У тебя передоз, дитятко?

Да, всё отлично.
Кстати о СОРМ и ssl — если перехватываются «IP-адрес, имя учетной записи пользователя, адреса электронной почты в сервисах mail.ru, yandex.ru, rambler.ru, gmail.com, yahoo.com и др.», то может ли трафик быть шифрованным?

Думать вредно, нужно делать выводы из аргументированного анализа фактов.

перехватываются «IP-адрес, имя учетной записи пользователя, адреса электронной почты в сервисах mail.ru, yandex.ru, rambler.ru, gmail.com, yahoo.com и др.»

Чушь собачья.

Ничем. Идея другая.

Почему ты не можешь остановиться? Спермотоксикоз? Пытаешься доказаться свою важность? Ничего, пубертатный возраст скоро закончится, тебе станет легче и ты не будешь доказывать с пеной у рта то, что тебя не касается никоим образом (что каждый должен иметь свой собственный сайт с охрененным дизайном и построенный на современной CMS, и использующей все возможности HTML5, CSS3 и Ajax).

Просто выдохни и закончи. Сойдёшь за умного.

Ну кто его знает. Встречаются и длинные пароли. Такой вот расклад http://i.imgur.com/TA6MWcw.png

либо своим почтовиком либо гуглом

Думаешь, у гуголя не тырят?

А свой почтовик нужен, если уж совсем конфеденциал, ИМХО. Хотя приятного, конечно, мало, когда какая-то цуко шарися в твоём мыле.

Думаешь, у гуголя не тырят?

давай пруфы.

А свой почтовик нужен, если уж

не хочется просрать инфу изза криворуких админов яндекса или другого сервися.

Абузу что ли написать :)

Пфф, есть несколько ящиков, регились как недавно, так и давно. Ни одного из них в списке нет.

Чушь собачья.

Повтори это заклинание три раза.

http://www.rg.ru/2014/07/18/kommutacia-dok.html

II. Требования к техническим средствам ОРМ
4. Технические средства ОРМ обеспечивают:
4.1. Подключение к сети передачи данных с использованием не менее одного из интер-
фейсов, перечень которых приведен в приложении № 1 к Правилам.
4.2. Подключение 16-ти пунктов управления техническими средствами ОРМ (далее — 
ПУ) для управления техническими средствами ОРМ с целью проведения оперативно-
розыскных мероприятий с использованием интерфейса EtherNet IEEE 802.3 ТХ и назначе-
нием одного из ПУ головным.
Наличие иных интерфейсов для управления техническими средствами ОРМ не допу-
скается.
4.3. Взаимодействие с ПУ в соответствии с протоколом взаимодействия технических 
средств ОРМ с ПУ, который приведен в Приложении № 2 к Правилам.
4.4. Обработку всех пакетов данных, поступающих на интерфейсы подключения тех-
нических средств ОРМ к сети передачи данных, с целью записи в кольцевой буфер, отбора 
и передачи на ПУ информации, относящейся к контролируемым соединениям и (или) сооб-
щениям электросвязи, в процессе установления соединений и (или) передачи сообщений 
электросвязи, в соответствии с заданными с ПУ следующими параметрами контроля:
а) постоянный IP-адрес (IPv.4; IPv.6);
б) IP-адреса, определяемые по маске;
в) имя учетной записи пользователя, используемое для идентификации пользователя 
услуг связи при доступе к сети передачи данных и телематическим услугам связи, в том 
числе с использованием служебных символов «*» и «?», где «*» — обозначает произволь-
ную последовательность символов, а «?» — обозначает один произвольный символ;
г) электронный почтовый адрес для всех почтовых сервисов с применением протоко-
лов SMTP, РОР3, IMAP4, не использующих средства защиты информации, включая крип-
тографические;
д) электронный почтовый адрес сервисов Web-mail, в том числе mail.ru, yandex.ru, 
rambler.ru, gmail.com, yahoo.com, aport.ru, rupochta.ru, hotbox.ru, не использующих средства 
защиты информации, включая криптографические;
е) телефонный номер пользователя (вызываемого и (или) вызывающего);
ж) идентификатор абонентской телефонной линии, используемый для идентификации 
пользователя услуг связи при доступе к сети передачи данных и телематическим услугам 
связи;
з) идентификатор вызываемого и вызывающего поль...

Бобёр, выдыхай!

Требовать они могут что угодно, вот только снифать ссл без ключей сорм не может.

не использующих средства защиты информации, включая криптографические

Как мило, что ты забыл упомянуть этот пункт.

ты забыл упомянуть этот пункт

Ты хочешь сказать, что ты его взял по ссылке, а не из моей цитаты? Или как?

Думаю, у тех, кто имеет опыт взаимодействия со спецслужбами и понимание того, как интерпретируются такие фразы, есть основания для возражений не на пустом месте.

Или у тебя тоже есть такой опыт?

давай пруфы

Нету. У самого все почты на гугеле =) Есть и на Я, но это скорей так, «ящик подскока».

Это я кагбэ предположил, что и гуголь «под Аллахом ходит».

Или ты думаешь, приказ писали идиоты, не знающие, что весь «Web-mail, в том числе mail.ru, yandex.ru, rambler.ru, gmail.com, yahoo.com, aport.ru, rupochta.ru, hotbox.ru» уже много лет как только через https?

Ответ Яндекса:
http://habrahabr.ru/company/yandex/blog/236007/

Что тебе непонятно в выражении «не использующих средства
защиты информации, включая криптографические»?

Всё понятно. Опер сказал — «не использующих», значит так оно и будет.

Хорошо, давай представим что на подбор одного пароля уходило 10 минут, перебирали каким-нибудь hashcat'ом. 10*1000000/60 = 166666 роботочасов. Какой смысл тратить столько ресурсов? Вопрос №2: Яндекс настолько уныл, что банально не защищает своих пользователей от брута? Ну там 5 попыток, потом только через час. Если так, то и жалеть их не надо, поделом растяпам. Ну и напоследок, архив создан в пятницу вечером.

Точнее не архив, а сам файл.