Меняем пароли на Яндексе
 

Утекла база аккаунтов с яндекса. Подробности тут: http://habrahabr.ru/post/235949/
Список аккаунтов: http://webfile.ru/download/2ebe86af3...28e1457f1a2a4c
Кто себя найдет в этом списке - меняйте пароль пока не поздно. Ну и кто не найдет, тоже поменяйте.

В почту ,на яндексе , не пустили сегодня. Предложили сменить пароль, ввиду возможного взлома. Сменил - всё в норме!

А как можно украсть, то что не хранится? Пароли в явном виде не хранятся, поэтому и украсть не получится.

Существуют списки частоупотребляемых сочетаний букв/слов и к ним сопоставление в виде контрольной суммы. Посему тырим контрольные суммы паролей, пробегаем по спискам, сопоставляем и пароль восстановлен.

Ну - это если совсем простой пароль.

Сейчас зашел на яндексовую почту. Никаких сообщений и предложений сменить пароль, всё работает как обычно. Правда, в списке из первого сообщения себя не нашел. Значит стырили не всё.

Поменял на всякий случай.:smile:

Офтоп, мне проще у меня нет почты на Яндексе ;)

Необходимо завести, срочно.:sarcastic:

А зря... неплохая, к стати почта, мне больше гмайловской нравится. И дисковое пространство есть и поболее гугловского.

Я в большинстве случае веб-интерфесом не пользуюсь, поэтому на счет нравится или нет не очень актуально. Много где Яндексовскую почту не разрешают использовать.

Ну, а в качестве пространства использую свой сайт и его FTP.

Потом поменять пароль и удалить за ненадобностью! :sarcastic:

сейчас зашёл, не каких сообщений по этому поводу, в кошельке как было 40 копеек так и осталось)))

Возможно в открытом виде хранится контрольный вопрос/ответ для восстановления пароль

---------- Сообщение добавлено в 14:12 ---------- Предыдущее сообщение размещено в 14:07 ----------

это похоже просто на список паролей без привязки к конкретным ящикам

Это список аккаунтов, у которых ушли пароли. Там есть почти мой акк, чутка цифры другие.

Пароль как минимум хранится на сервере, он же должен с чем-то сравнивать. На жестком диске он зашифрован, но когда передаются в ОЗУ, он приобретает явный вид.
Кроме того многие пользователи сохраняют пароли на компах. Украсть куки - нет ничего проще для какого-нибудь среднего трояна(скорее всего эта база так и собралась).
Ну третий вариант, самый сложный для реализации, - от клиента к серверу пароль передаётся в явном виде.

в куках пароль не хранится

Пароли в явном виде нигде не фигурируют.
В простом случае снимается с пароля МД-5 сумма и ей уже оперируют.
В сложных случаях спереди и сзади пароля прибавляется "соль" - строка случайных символов, и потом это слово "соль"+пароль+"соль" хешируется в МД-5 и не один раз.
Сам по себе МД-5 алгоритм не имеет обратной силы (хотя есть дыры в нем).

На севере он не хранится в явном виде и в ОЗУ сервера тоже не расшифровывается.
Наоборот введенный пользователем пароль "шифруется" и сравнивается с тем, что хранится на сервере. В идеале нет способа расшифровать пароль.


Да, эти два варианта вполне возможны, но в этой теме сообщается о том, что украли базу данных Яндекса, а не компы сломали пользователей или интерфейс яндекса.

Ну вот продолжение: