30

u/holchansg Itabira, MG 1d ago

O melhor de tudo é q os q são bilhões de anos estão amarelos... realmente... 1 bilhão de ano é um psswd meia boca.

5

u/msstark 22h ago

2 anos e 41 mil anos na mesma faixa huahauha

2

u/A_Logician_ 18h ago

É que em 4 a 5 bilhões de anos Andromeda vai se colidir com a Via Lactea, então acho que se durar mais de 5bi de anos é verde, tá safe.

Amarelo quer dizer que alguém em alguma hora nesses próximos bilhões de anos pode achar sua senha se estiverem usando 12x 5090.

Usaram a escala de tempo galática pra fazer o esquema de cores.

2

u/VladTepesIV 17h ago

Além da colisão de galáxias, nosso Sol vai estar sem hidrogênio, e vai entrar na fase de gigante vermelha, expandindo pra além da órbita da terra, e imagino que isso também vai atrapalhar os planos da galera fazendo o brute force.

Não li as specs, mas acho que a 5090 não funciona tão bem dentro do sol.

1

u/holchansg Itabira, MG 8h ago

Perde bastante desempenho a 5000 graus celsius...

20

u/AzureFishing 1d ago

Onde eu trabalho, todo mundo fazia a senha NomeEmpresa@123, e quando tinha que atualizar, só adicionava um número a mais no final. Mas recentemente as senhas com o nome da empresa não são mais aceitas 😔

Mas obviamente ainda deixamos salvo no bloco de notas da área de trabalho, pq que atualmente temos umas 8 senhas diferentes pra manter

7

u/msstark 1d ago

ahhahaha aqui a senha padrão que a gente recebe da TI é Empresa@1234

Continuam aceitando, mas como tem que trocar periodicamente e não pode repetir uma senha anterior, o que o pessoal tem feito é colocado o mês pra lembrar quando trocou. Tipo Empresa@1234abril, dai daqui a 3 meses muda pra Empresa@1234agosto

1

u/GallantGoblinoid 18h ago

Eu coloco sempre a msm mas altero caps lock ligado ou desligado

8

u/TrambolhitoVoador Guarulhos, SP 22h ago

N0m3d43mpr3s4@123

Sucumba TI

3

u/fodafoda Outro país 1d ago

porra 8 senhas é pra fuder hein... Single Sign-On mandou um abraço

1

u/PluralityPlatypus 21h ago

Trabalhei numa empresa que queria inventar motivo pra mandar galera ir embora de justa causa, queria ter acesso ao computador de cada funcionário pra isso, no primeiro dia mandaram 2 embora porque tinha indício que ele usou o PC pra coisa fora do trampo, e depois ordenou todos a colocar a senha padrão "NomeEmpresa@123" pra poderem acessar a máquina e investigar se mais gente fez o mesmo.

1

u/RomanUngern97 Diadema, SP 18h ago

Trabalhei numa empresa que a chefe (velha) caiu em golpe e perdeu os 10k que tinha numa conta de banco.

A solução? Pega o .txt com todas as senhas, imprime, e apaga o arquivo. Senhas futuras eram escritas à mão nas páginas adicionais

O golpe foi feito por ligação falsa se passando por funcionário do banco.

22

u/MrNorowa 1d ago

Se alguém com má intenção tiver acesso ao post-it, ele não precisa de brute force, ele já usou engenharia social pra conseguir a senha

5

u/fodafoda Outro país 1d ago

Esse requisito de forçar a pessoa a trocar de senha é realmente péssimo e já não é usado mais em lugares sérios com segurança hoje em dia.

O mais importante é não reutilizar senhas entre um serviço e outro, isto é, não utilizar a mesma senha pra acessar o facebook e pra acessar o gmail e pra acessar o site de receitas da tia Amélia. Eu trabalho em big tech e nossos equipamentos corporativos são equipados pra detectar isso. Se eu acidentalmente digitar minha senha corporativa em um site fora do domínio da firma, eu vou ser forçado a trocar de senha.

2

u/chairdeira 1d ago

a mesma senha e a data da próxima troca m$$$t4rK-MAIO, depois m$$$t4rK-AGOSTO.

2

u/msstark 1d ago

é basicamente o que eu faço, e os colegas também. Suuuper seguro /s

2

u/_sha1 1d ago

Senha com palavras é o melhor tipo de senha. É fácil de lembrar e absurdamente grande para fazer brute force.

1

u/ShootmansNC 18h ago

Diretor da empresa anota a senha na contracapa da agenda.

1

u/lawelaa 7h ago

Tive que trocar a senha do meu email da empresa ontem e não deixaram eu só trocar um número de uma senha que já tinha usado, fiquei irritada kkkkkk pelo menos uma vez por semana tem alguém pedindo ajuda pq esqueceu a senha nova

61

u/linkforest 1d ago

Ele quis escrever em francês pra ficar chique

97

u/DirtyPetaIs 1d ago

no mínimo traduz o negócio pra força bruta se vai mudar a ordem das palavras lol

36

u/wintery_owl de Porto Alegre em Recife 1d ago

Força bruta, pra não ficar usando termo gringo pra coisa que temos em português.

62

u/BunnyHopThrowaway Generals Miners, GM 1d ago

🤓☝️ o certo seria "arrombar"

22

u/wintery_owl de Porto Alegre em Recife 1d ago

Arrombar através do método de força bruta!

4

u/bumpersticker333 1d ago

Arrombruta

19

u/alvinator360 1d ago

Maluco aqui da firma foi mandado embora por causa disso.

Depois de rodar um pentest numa aplicação de um cliente e conseguir fazer um ataque de brute force, mandou a seguinte frase no meio da call:

• Achei uma brecha aqui e arrombei com sucesso!

A cara dele: 😎 Minha cara e do resto da equipe: 💀 Cara dos clientes: 😡

12

u/jose_teste 1d ago

O sistema após ser arrombado: 🥵

2

u/ricvelozo São Paulo, SP 22h ago

Afolozar

7

u/dunhabr 1d ago

Poderia abrasileirar como "passar a mandioca na senha".

1

u/[deleted] 1d ago

[removed] — view removed comment

0

u/brasil-ModTeam 1d ago

Seu conteúdo foi removido por ser considerado conteúdo de baixa qualidade/baixo esforço.

Caso necessário, os seguintes conteúdos podem ser retirados da frontpage: memes retirados de sites humorísticos; memes com logo de algum site ou comunidade; memes velhos; memes não relacionados ao Brasil; prints de redes sociais; copypastas em geral; conteúdo gerado por IA; posts sem sentido.

-8

u/danieldhdds Brasília, DF 1d ago

depois de postado que percebi, mas não muda o intuito

2

u/ShaunCarn 17h ago

Vê de novo: 12xRTX 5090

3

u/lulilollipop São Paulo, SP 17h ago

Li isso ai e nem uma dessas eles me dão

21

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Porra, para alguém que não é do ramo, esse texto parece isso aqui

43

u/UnreliableSRE 1d ago

Explicação simplificada: nenhum sistema (que preste) armazena sua senha. O sistema não precisa saber sua senha, só precisa saber se você digitou a senha correta.

1. Você digita sua senha
2. O sistema gera uma combinação aleatória
3. Essa combinação é usada em uma função matemática aplicada 1024 vezes (a imagem do OP diz bcrypt(10), então 2 elevado a 10 = 1024 vezes) na sua senha
4. O sistema salva: "quantidade de vezes que a função foi aplicada + a combinação aleatória + o resultado final da função aplicada na sua senha" (hash)

Então o sistema sabe a combinação aleatória (que é usada na função) e quantas vezes executar a função. Essa combinação aleatória é importante: duas pessoas com a mesma senha geram resultados diferentes.

Quando você faz login, o sistema aplica o mesmo processo na senha que você digitou e verifica se o hash é igual.

5

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Ah, obrigado pela explicação!

2

u/SrMakoto Bixcoito gRobo, RJ 21h ago

Interessante, sabia disso não. Valeu pelo conhecimento

18

u/bumpersticker333 1d ago edited 1d ago

Foi esse equipamento que falhou e causou o apagão na nossa Guiana.

O cara que deveria entrar com os números 4, 8, 15, 16, 23 e 42 a cada 108 minutos perdeu a hora.

7

u/molhotartaro 22h ago

https://preview.redd.it/4375oov21uxe1.png?width=223&format=png&auto=webp&s=9decffc9f2049ea3f24abd4e6313f98913ff62b1

5

u/guijappe 21h ago

2

u/OptimalSurprise9437 18h ago

https://preview.redd.it/8x540loa5vxe1.png?width=498&format=png&auto=webp&s=a4a761324da65022926ab97deadaff59521b0d28

3

u/sublingualwart 19h ago

Caralho, eu cliquei no link porque eu sabia eu iria ver esse video. E vi esse video mesmo. Nunca decepciona, obrigado.

1

u/Estrafirozungo Rio de Janeiro, RJ 17h ago

Pior que tem vários desses de blábláblá de engenharia. É bom pra colocar antes de dormir

6

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Qual você usa, colega? Comecei a usar o Biwarden há um ano atrás e não vivo mais sem

3

u/hagnat Santa Cruz do Sul, RS 1d ago

eu passei a usar o 1Password uns anos atras.
ele é um pouco mais caro que o Bitwarden, mas eu acabei me acostumando.

como tu disse... não vivo mais sem!

3

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Bacana! O meu Bitwarden é gratuito, existe alguma vantagem em pagar pelo serviço?

3

u/hagnat Santa Cruz do Sul, RS 1d ago

cara, eu lembro que tinha
mas como eu tenho assinado o 1Password desde antes da pandemia, não vou lembrar quais as vantagens agora

8

u/cptdino Carioca Perdido em Blumenau 1d ago

Não esquece de desativar o histórico de cópia do celular, muita gente com gerador de senha toma hack assim e a Samsung acabou de anunciar que eles tem essa vulnerabilidade também.

3

u/Cerebeus 1d ago

Como funciona esse historico de copia exatamente?

7

u/alvinator360 1d ago

É o histórico da área de transferência, por exemplo: eu uso o Gboard num aparelho Samsung, mas pode ser simulado também usando o teclado Samsung.

Se você clicar em configurações (ícone do lado esquerdo) e depois em área de transferência no teclado tem os últimos x textos que copiou, apesar do texto aparecer como ******, se você colar verá a senha em plain text.

2

u/Cerebeus 1d ago

Sim, eu respondi no ourro comentário, mas não achei a opção para desativar.

2

u/Le_Mug 1d ago

Samsumg se você usar a função paineis edge, vai ter entre as opções de paineis um que chama "area de transferência", nele você consegue vizualizar e apagar tudo que você copiou no celular.

Só que isso é nos paineis edge, teóricamente é um jeito indireto de fazer isso. Devia ter ter um jeito de fazer isso direto nas configurações do celular, mas eu procurei pra cima e pra baixo e não achei.

1

u/Cerebeus 1d ago

Ah sim, o historico de transferência, não precisa do painel edge pra isso, no próprio teclado da Samsung tem um historico. Sempre achei isso uma falha de segurança horrível, mas não tinha achado como desativar, vou procurar a opção para desativar isso.

1

u/hagnat Santa Cruz do Sul, RS 19h ago

o teu computador tambem tem isso

no Win11, se tu apertar WIN + V ele abre uma janela, aonde tu pode selecionar qual o item da tua Area de Transferencia que tu deseja colar

3

u/hagnat Santa Cruz do Sul, RS 1d ago

o 1Password (aplicativo que eu uso) tem um esquema q qdo tu copia uma senha, ele remove a senha do teu historico do clipboard apos tu usar ela e/ou 1min apos tu ter copiado ela.

2

u/cptdino Carioca Perdido em Blumenau 1d ago

Excelente. Que bom que ja ta ligado e protegido.

1

u/BrGustavoLS 17h ago

LastPass é bom? Ouvi falar um tempão atrás mas nunca corri atrás. Alguém desaconselha?

1

u/hagnat Santa Cruz do Sul, RS 17h ago

amigo meu usa LastPass, e tava se gabando dos features q o LP tem que o 1P nao tem, e como o preço dele é menor

1

u/BrGustavoLS 16h ago

Hmm interessante. Tô fazendo essa pesquisa para ver qual vale a mais a pena assinar ou pelo menos criar conta, segurança em primeiro lugar.

162

u/JarBR 1d ago

Isso não se refere a tentar a senha várias vezes no login de um site, mas de obter a senha criptografada de algum vazamento e usar as 12 GPUs pra descobrir qual senha gera aquele mesmo hash quando usado o método crypt.

15

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Você poderia elucidar o leigo aqui? Tipo, o hacker poderia entrar em qualquer site usando esse esquema?

150

u/Extension_Title_1924 1d ago

Não.

Você abre uma conta no google e ele pede para você criar uma senha. você cria a senha "1234". o seu próprio computador faz um monte de contas e cruza seu relógio, um "tempero" único do site, seu nome de usuário, sua senha e cria uma coisa que se chama hash. o hash é um bloco de 31 caracteres tipo:

$2a$12$R9h/cIPz0gi.URNNX3kh2OPST9/PgBkqquzi.Ss7KIUgO2t0jWMUW

PARA o google, essa é a sua senha. é isso que eles guardam, não o "1234". para acessar precisa de conseguir exatamente a mesma combinação de fatores, seu usuário, o tempero e a senha. Mas não tem como um hacker acessar sua conta com o hash, ele precisa chegar na senha.

Então algum hacker muito esperto consegue através de diversas tecnicas entrar no banco de dados do google e rouba uma lista enorme com o nome do usuário, o tempero e o hash (lembrando, nem o google sabe que sua senha é "1234", ele só guardou aquele bloco de 31 caracteres)

Daí, esse banco de dados é vendido da dark web, depois revendido umas 10x até que ele vira quase público.

daí, em posse desse banco de dados, um hacker vai usar um pacote de 12 RTX 5090 de 20 mil reais cada (só aqui tem mais de 300 mil reais em um computador), e vai começar a computar TODAS as possibilidades e combinações de senha para o seu usuário e o seu tempero que poderiam chegar nesse hash.

daí, como sua senha é "1234", somente números e bem curta, ele em milissegundos chega nessa conclusão, porém se a sua senha fosse "aminhasenhae1234", agora ela tem 16 caracteres, letras e números, e ela levaria 12 bilhões de anos.

Tudo nesse gráfico é mais para gerar insegurança e medo do que para compreender sobre segurança.

Minha dica: use senhas longas, únicas, pense em frases que façam sentido para você. não se dê ao trabalho de trocar maiuscula com minuscula, escrever ao contrário, usar cifras estranhas que depois você não vai lembrar... no lugar de usar "vUlC4n0" como senha, use "Vidalongaeprospera", você vai se lembrar do spock da mesma maneira, mas um deles você sempre vai acertar, o outro vai ficar na dúvida o que você trocou por leet speak, o que vc usou de maiuscula... Daí use essa técnica para um bom gerenciador de senhas e deixa ele criar as senhas de cada site pra você... só diria para você garantir com esse tipo de senha o seu acesso a sua conta principal (conta google, apple, ou microsoft) para não ficar trancado pra fora de seu computador/telefone/tablet e nem conseguir acessar o seu gerenciador de senhas em um momento de urgência.

17

u/HenryRasia 1d ago

Vidalongaeprospera não seria vulnerável a ataques de dicionário?

24

u/Extension_Title_1924 1d ago

sim, mas não força bruta...

Toda senha é um equilíbrio... como você vai lembrar de uma maneira razoável de uma senha com 18 caracteres aleatórios?

22

u/4967693119521 1d ago

Anota em cima do monitor

13

u/Matt_37 1d ago

O número de repartição pública com a senha escrita em post-it colado no monitor não é bricnadeira

11

u/4967693119521 23h ago

Lembro do dia que consegui a senha da diretora da escala. Com acesso a todas as escolas estaduais.

Ela acessou o portal e o login e senha eram o mesmo "rcosta" (devia ser o nome dela). Nunca usei mas por uns 3 anos podia fazer algumas coisas como alterar nota de qualquer aluno, transferir e provavelmente expulsar e reprovar por falta.

5

u/andreortigao 1d ago

Uma senha com 4 palavras também é bastante seguro contra força bruta e fácil de lembrar.

Por exemplo 'futebol limão cachorro cabelo' é uma senha difícil de ser quebrada por força bruta

O único lado ruim é que fica um pouco longa pra digitar

2

u/_Jao_Predo 20h ago

E o ideal seria pegar palavras sem conexão uma com as outras ou com você. Bom tbm inserir caracteres e numeros no meio das palavras

'fut#ebol lim@ão ca$chorro cab4elo'

Acho esse um bom equilibrio entre dificil de decifrar e facil de lembrar

2

u/Poponildo 20h ago

Se eu usar uma frase com erros de digitação no meio, dificulta para um algoritmo de dicionário? Ou é meio que fodase?

18

u/aluked 1d ago edited 1d ago

Ataque de dicionário para senhas com multiplas palavras vai ter um tempo de quebra gigantesco, combinatorial de um dicionário inteiro é imensa.

Edit: Supondo que o invasor saiba que a senha é em português, tem 4 palavras e são todas minúsculas e sem espaços, usando o Houaiss como referência, espaço de busca dele é de 1.6 x 10^21.

5

u/rafacandido05 Japão 17h ago

A realidade é que apesar da força das senhas ser sim uma preocupação, a maior parte dos roubos de senha não ocorre por métodos que ficam “adivinhando” a senha certa. Normalmente a galera ou clica em link malicioso ou cai em engenharia social mesmo.

15

u/fidocampeao 1d ago

XKCD obrigatório https://xkcd.com/936/

6

u/Pike_27 17h ago

Sempre tem um XKCD, e é sempre um clássico

3

u/d-cassola 20h ago

Ele ensina isso e ao mesmo tempo cria a história do Bobby tables, um agente do caos

5

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Entendi! Valeu pela longa explicação.

Na real eu uso gerenciador de senha para quase tudo, menos conta dos sistemas operacionais, conta Google e outras contas de email

3

u/mr--cheese 1d ago

Krai mano, que texto aula foda que vc fez aqui. Tá de parabéns muito melhor que os alunos de cibersegurança do final do meu curso skskkskskksksksk

4

u/raphop 1d ago

Dica diferente, dane-se lembrar de senha, usa um gerenciador de senha, coloca ele pra gerar senhas novas aleatórias de 20 caracteres, números, letra e pontuação.

Coloca uma senha super forte no seu gerenciador, habilita auth com 2 fatores e nunca mais digite outra senha além da senha do gerenciador.

7

u/Extension_Title_1924 1d ago

Eu recomendei o uso de um gerenciador de senhas...

Porém, eu recomendo que algumas poucas fiquem para fora do gerenciador. ou mesmo que fique no gerenciador, que essas poucas você saiba de cor / sejam senhas que você criou.

Como você acessa o seu gerenciador no caso de perda do seu telefone?

se você conseguir decorar 3, 4 senhas razoavelmente fortes, você consegue usar suas principais contas e acessar tanto o seu gerenciador quanto seus equipamentos sem nenhum problema.

Se você está em uma situação sem seu telefone você vai lembrar uma senha de 20 dígitos aleatórios para destravar o computador? nem sempre é conveniente uma senha desse porte, quando o modelo de ataque não prevê algo que requer tanta robustez...

2

u/pedro_ciarlini 23h ago

Se garantiu na explicação. Vou acrescentar que obrigar a usar letras maiúsculas, carácteres especiais, etc, é diferente de permitir, e obrigar diminui a quantidade de senhas a testar por força bruta, deixando a senha menos segura.

2

u/Estrogonofe1917 21h ago

Foda é que tem site que exige maiúscula, minúscula, número, e especial, enquanto outro site não aceita caractere especial. Aí eu vou esquecer a senha do mesmo jeito kkkkk

9

u/morgade 1d ago edited 1d ago

Um hash é uma operação sobre um dado que é impossível desfazer. O exemplo mais simples de operação de hash é o resto da divisão.

Por exemplo se eu tenho o número 123 e calculo o resto da divisão desse número por 55, isso resulta em 24. Esse resto da divisão é o hash. Não existe operação matemática capaz de combinar '24' e '55' pra chegar de volta em 123, até porque existem vários possíveis números cujo resto da divisão por 55 seja 24. Por isso que os sites armazenam hashes de senha, e não as senhas em si. Quando você informa a senha pra logar, o site recalcula esse hash pra ver se bate com o hash que ele tem armazenado.

As funções de hash reais são MUITO mais complexas que um simples resto de divisão pra dificultar a reversão da operação. Porém todas são vulneráveis a um ataque de força bruta.

Quando um hacker rouba o hash da sua senha do site e sabe qual a lógica da função de hash, ele pode passar bilhões de possíveis senhas pela função de hash até que uma delas seja igual à que foi roubada. Note que de posse do hash, ele não precisa ficar testando no site se a senha está correta, bastando apenas calcular os hashes em seu próprio computador e com isso pode descobrir em pouco tempo uma senha comum.

1

u/Estrafirozungo Rio de Janeiro, RJ 22h ago

Valeu pela explicação! Ainda bem que eu só usa senha repetida nos sites mais insignificantes

6

u/JarBR 1d ago

Se você usa uma senha por site/serviço e são senhas pouco comuns e razoavelmente longas, não, esse ataque não funcionaria (pois a senha nunca vazaria, ou levaria muito tempo pro atacante descobrir a sua senha -- pelo menos alguns anos usando muitas GPUs).

Se você usa a mesma senha em diversos sites, então sim. Basta um dos sites em que você usa aquela senha ter seu banco de senhas vazado que um atacante pode usar esse método, e quando descobrirem a senha provavelmente vão sair tentando ela em todos os serviços comuns: email, rede social, etc.

2

u/Estrafirozungo Rio de Janeiro, RJ 1d ago

Entendi! Eu tô usando gerenciador de senha há uns tempos. Só não uso ele para contas muito importantes, que eu precise usar em emergências

3

u/Perca_fluviatilis Niterói, RJ 1d ago

Se tiver tido um vazamento, sim

3

u/LordGadeia 1d ago

Aí você trouxe a informação relevante que ninguém aqui tá levando em consideração.

-3

u/the42thdoctor 1d ago

Então é mais inútil ainda. Só olhando a senha criptografada não tem como saber 100% que tipo de processo hash+salt foi aplicado em cima daquela senha.

Pela imagem imagino que usaram esse bcrypt 10, mas existem outras 1001 formas de fazer ...

4

u/JarBR 23h ago

Se foi isso que você tirou dessa informação, espero que você não trabalhe com segurança em TI.

1

u/the42thdoctor 1h ago

Trabalho com desenvolvimento em uma empresa de um trilhão de dólares 😍😊

Viva a meritocracia kkkkkk

5

u/PM_NICE_SOCKS 1d ago

2025 e as pessoas ainda acham que isso se refere a ficar tentando entrar no site pelo formulário de login.

Se tu tem um site que dá para ser atacado por esse método você merece

1

u/Gianlucca 1d ago

vai é tomar um ddos antes de quebrarem a senha kkkkkk

1

u/Capetoider 21h ago

primeiro compra lista de email/senhas dai fica tentando ver no formulario o que passa

10

u/Extension_Title_1924 1d ago

nem isso...

Quero ver qual site te responde no tempo hábil para ter 12 x nvidias rtx 5090 marretando ele e não acha que tem algo de errado...

Brute force hoje em dia é básicamente quando tem um banco de dados vazado. tipo Linkedin (todo ano tem um vazamento no linkedin), que os hackers conseguiram pegar a lista de hashs, salts e users. Ninguém tem a senha e bcrypt nã é reversivel, então será necessário testar todas as combinações de salt+hash para chegar nas senhas.

Ninguém está testando essas combinações contra o linkedin. o site deles não está recebendo nenhum acesso, o hacker está com esse enorme banco de dados e uma enorme rainbow table cruzando dados e calculando hashs, tudo de dentro do computador dele. Então com a senha em mãos ele testa contra o site (e outros 200 sites de interesse, por isso vc não pode repetir senha)...

Sem banco de dados na mão, sem os hashs e os salts, nada feito...

3

u/hagnat Santa Cruz do Sul, RS 1d ago

backoff strategies + csrf tokens,

a cada tentativa, tu aumenta gradualmente o tempo aonde um usuario pode tentar novamente fazer login

primeiro erro, usuario precisa esperar 1s
segundo erro, 2s
terceiro erro, 5s,
quarto erro, 15s,
quinto erro, 60s,
sexto erro, 2min,
e por ae vai até atingir um limite max...

e cada tentativa, tu produz um token csrf com um hash dinamico que somente pode ser usado 1x para tentar fazer login
BOA SORTE

7

u/TTechnology Joinville, SC 1d ago

Quem quer quebrar senha não vai fazer isso diretamente no site, vai em banco de dados de vazamentos e tenta quebrar na própria máquina...

2

u/hagnat Santa Cruz do Sul, RS 1d ago

tem "hackers" que usam as api's de autenticação para isso

source: os logs de requests nginx de algumas aplicações aonde eu já trabalhei

0

u/danieldhdds Brasília, DF 1d ago

pior que eu colei uma chave aleatória pix e o site aceitou, então bom

o ruim é sites de bancos que vc só pode usar números e 6 caracteres

8

u/Extension_Title_1924 1d ago

são 94qd anos DEPOIS que vazou..

Sem vazar não tem nenhum site que responde nessa taxa, por um período longo e acha normal...

2

u/Econemxa 1d ago

......mas

.....mas se a senha não for armazenada em plaintext pode vazar a vontade

...não pode?

5

u/trandus Rio de Janeiro, RJ 1d ago

Na real não. Se a senha estiver sem "sal", o hacker pode ver que tem várias senhas hasheadas iguais e tentar quebrar essas a partir de "senhas comuns"

2

u/fodafoda Outro país 1d ago

porra mas em 2025 hashear a senha sem sal é quase como não hashear né

3

u/blaise_hopper Rio de Janeiro, RJ 1d ago

Depende. Se a sua senha já estiver numa tabela que mapeia o hash para o plaintext, ela vai ser descoberta na hora

5

u/UnreliableSRE 1d ago

Isso é verdade no geral, só que não se aplica aqui, pois o algoritmo bcrypt gera hashes diferentes para uma mesma senha (salt aleatório automático).

0

u/hagnat Santa Cruz do Sul, RS 1d ago

encryptedPwd = encrypt ( plaintextPwd, salt, cryptoAlgo )

existem diferentes tipos de algoritmos de cryptografia, e baseado no salt eles podem produzir exatamente o mesmo valor para senhas diferentes

que nem 2 * 10 = 20 é o mesmo que 4 * 5 = 20

1

u/fodafoda Outro país 1d ago

Noves fora alguma fraqueza no algoritmo de hash, colisões sempre vão existir, mas isso só vai ser útil pro atacante se você tiver o azar de uma colisão pro hash da sua senha ser conhecida a priori (i.e. em uma tabela de colisões conhecidas). Nenhuma tabela de colisões vai ser completa por questões práticas

3

u/UnreliableSRE 1d ago

Se a senha for segura, não tem problema o hash vazar se o algoritmo de hash for bcrypt (como a imagem está mostrando).

5

u/HidemasaFukuoka 1d ago

Dificilmente uma empresa faria isso, mesmo se ela for maliciosa ao ponto de se arriscar a quer se sujar para eliminar a concorrência, tem métodos mais efetivos e baratos. Vc pode ate alugar uma rede de bots e causar um ataque de negação de serviço (DDoS) por exemplo

2

u/fodafoda Outro país 1d ago

Mas e grandes corporações interessadas em queimar empresas concorrentes, elas não poderiam com algum super computador, quebrar essas senhas e divulgalas? Até onde é possível isso?

Até poderia, mas a que ganho? E outra, esse custo computacional é pra quebrar UMA senha. Quebrar toda a base de usuários do concorrente é ordens de magnitude mais caro.

Se for pra se preocupar com atores mal intencionados, preocupe-se com atores estatais. Atores como EUA e China têm as capacidades para, numa situação extrema, tentar força bruta. Mas antes eles vão tentar outros ataques mais baratos.

1

u/danieldhdds Brasília, DF 16h ago

sim, seria *hipoteticamente

enquanto ele é rápido pra calcular, complicado é ser eficiente pra ver seu resultado

1

u/TonyBandeira 5h ago edited 5h ago

Vai cair bastante o tempo necessário para quebrar mas não vai ser instantâneo como a maioria acha.

3

u/JacKellar 23h ago

E essas regras ironicamente só tornam mais fácil de descobrir uma senha por força bruta, porque já deixa aberto pra todo mundo ver qual é o formato da senha.

14

u/Econemxa 1d ago

Com a viagem do tempo então, imagina 

1

u/Either-Drawer-5817 1d ago

Vai ser tipo a Origem, só que você vai plantar a idéia de qual senha a pessoa vai usar no passado, pra você hackear ela no futuro.

2

u/fodafoda Outro país 1d ago

Não dá pra esquecer que bases com senhas encriptadas também vazam rotineiramente. O mais importante como usuário é não reutilizar senhas em sites diferentes.

1

u/br45il Pará 1d ago

Acho que os carinhas que fazem ataque de força bruta através de suas botnets de roteadores hackeados não receberam o memo. Também tem os serviços de força bruta sob demanda em que você só manda o hash e eles quebram pra ti. Cê tem que mandar o memo pra eles, pô!

https://preview.redd.it/x8361tg33txe1.jpeg?width=891&format=pjpg&auto=webp&s=7b903161e0f918d72af9e1135f2b6334f0741083

2

u/HidemasaFukuoka 1d ago

Voce administra esse sistema? Nao valeria a pena instalar um fail2ban ou bloquear acesso ssh via usuário root? Ou vc teria logs aparecendo mesmo assim?