WebAppSec@PT » Password http://webappsec.netmust.eu Segurança de Aplicações Web Thu, 29 Jul 2010 21:11:32 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 Como escolhe as passwords que usa? http://webappsec.netmust.eu/2010/01/21/como-escolhe-as-passwords-que-usa/ http://webappsec.netmust.eu/2010/01/21/como-escolhe-as-passwords-que-usa/#comments Thu, 21 Jan 2010 17:29:44 +0000 Carlos Serrao http://webappsec.netmust.eu/2010/01/21/como-escolhe-as-passwords-que-usa/ Escolher uma boa password é meio caminho andado para ter um sistema mais seguro. Num relatório realizado pela Imperva, que realizou um estudo a 32 milhões de passwords que haviam sido expostas no site RockYou.com.

É interessante notar neste estudo, a forma descuidada como os utilizadores escolhem as suas passwords, sendo a maior parte delas um alvo demasiado fácil para atacantes. Aqui fica uma lista das passwords mais escolhidas:

  1. 123456
  2. 12345
  3. 123456789
  4. Password
  5. iloveyou
  6. princess
  7. rockyou
  8. 1234567
  9. 12345678
  10. abc123

Enfim… o curioso é que número de utilizadores que escolheu a password “123456″ é impressionante – quase 300000 utilizadores tinham esta password!!!

Assim, não há segurança que resista!!!


]]> http://webappsec.netmust.eu/2010/01/21/como-escolhe-as-passwords-que-usa/feed/ 0 Descoberto worm para o iPhone?!? http://webappsec.netmust.eu/2009/11/09/descoberto-worm-para-o-iphone/ http://webappsec.netmust.eu/2009/11/09/descoberto-worm-para-o-iphone/#comments Mon, 09 Nov 2009 12:38:56 +0000 Carlos Serrao http://webappsec.netmust.eu/2009/11/09/descoberto-worm-para-o-iphone/ Acho uma certa piada quando títulos como estes aparecem na comunicação social com o único objectivo de criarem FUD. Quando alguém lê uma coisa destas fica logo a imaginar que se trata de um problema de segurança do iPhone, que o mesmo é vulnerável, que existe uma ameaça real que se propaga de um lado para o outro, enfim…

Mas é melhor analisar os factos… e os factos são os seguintes:
  • este problema apenas afecta iPhones que tenham sido jailbreak;
  • mesmo no caso dos iPhones jailbreak, afecta apenas aqueles que tenham o OpenSSH instalado;
  • finalmente, apenas afecta os iPhones que tenham o OpenSSH instalado, e cujos os utilizadores não tenham alterado a password que está configurada por defeito, e que como tal é de conhecimento público.
Meus caros amigos, isto é a mesma coisa que eu convidar um ladrão a vir a minha casa e dar-lhe a chave da porta principal. Não é um worm, que faz um bypass dos controlos de segurança implementados no iPhone. Não é um worm que explora alguma vulnerabilidade do sistema operativo no iPhone.

Importa que alguns jornalistas menos esclarecidos tenham o cuidado de reportar estas situações de uma forma correcta e completa (não que eu queira intrometer-me na sua actividade).

Para os utilizadores que tenham feito jailbreak ao seu iPhone, e que tenham o OpenSSH instalado é importantíssimo que alterem a password dos utilizadores “root” e “mobile”. A password configurada por defeito é “alpine” e por isso é importante alterá-la na primeira vez que o OpenSSH é usado. Para isso basta usar o comando “passwd” depois de entrar em sessão da primeira vez.

Com esta simples operação, o problema fica resolvido.


]]> http://webappsec.netmust.eu/2009/11/09/descoberto-worm-para-o-iphone/feed/ 4