Klub MazdaSpeed

W związku z atakami na konta użytkowników – polegającymi na próbie odgadnięcia hasła – została podjęta akcja zmiany haseł na możliwie bezpieczne.

Wszyscy musimy wprowadzić nowe hasła, składające się minimum z 8 znaków, zawierających małe, duże litery i cyfry. Hasło nie powinno pokrywać się z nazwą nicka.

W przypadku problemów z zalogowaniem lub wysłaniem nowego hasła prosimy w pierwszej kolejności spróbować usunąć wszystkie ciasteczka (cookies).

Ewentualne utraty dostępu, brak możliwości zalogowania i podobne problemy wynikające z możliwego ataku na konto, prosimy zgłaszać na adres: klub@mazdaspeed.pl.

Na brute force jest capcha i limitowana ilość nieudanych prób logowania zakończona blokadą konta.
Do banku takie obostrzenia są ok ale to pierwsze forum na którym w ten sposób widzę rozwiązywany problem.
Generalnie jak macie logi/IP itd to są odpowiednie organy ścigania.

Botnet wziął się ogólnie za polskie fora.

Forum roverów i lotusów 7 też mocno botowane jest.

W dwóch powyższych jest limit 6 krotnego odgadnięcia hasła, następnie blokada na 45 min.

http://www.modsecurity.org/ możecie użyć

tobee napisał(a):Na brute force jest capcha i limitowana ilość nieudanych prób logowania zakończona blokadą konta.
Do banku takie obostrzenia są ok ale to pierwsze forum na którym w ten sposób widzę rozwiązywany problem.

Akcja ma jedynie wymusić użycie bezpiecznych haseł, które nigdy nie były wymagane. Nic po captcha i modsecurity, jeśli można trafić w hasło za pierwszym razem.

Ale żeby coś z konta mieć to musiałby to być ktoś z wyższymi uprawnieniami(mod/admin).
Zwykłe konto usera co najwyżej do spamu może posłużyć, a taki sam efekt można już przez samą rejestrację nowego konta uzyskać. Mniemam więc że moderator/admin się w tym przypadku nie popisał.

tobee napisał(a):Mniemam więc że moderator/admin się w tym przypadku nie popisał.

A skąd ten wniosek?

Zmiana haseł jest dmuchaniem na zimne. Żadne konto nie zostało przejęte.

tobee napisał(a):a taki sam efekt można już przez samą rejestrację nowego konta uzyskać.

Efekt nie jest taki sam. Jeśli przejmiesz konto osoby, która jest na forum od kilku lat i napisała setki postów – do których poprzez edycję dodasz spam, to dla moderatorów będzie to bez przesady wielką tragedią. Nowe, spamujące konto łatwo wyeliminować.

Poza tym realia sa czesto takie, ze uzytkownicy uzywaja tych samych hasel w wielu miejscach... Np do skrzynki mailowej, ktorej adres mozna znalezc w profilu. Jak ktos nie kasuje na biezaco wiadomosci z serwera, to po takim ataku moze miec wielkie kuku...

dajcie spokoj z tym nowym haslem. Chyba za czwartym razem sie zalogowalem. Malo tego napisane jest ze trzeba miec 8 znakow w tym male duze litery i cyfry. Mnie przyjelo haslo spokojnie bez duzych liter.

ustawcie rosnący odstęp między próbami logowania i po sprawie. Po pierwszym nieudanym 1s potem 2,4,8 itd.

lekka przesada z tymi haslami, to moja sprawa jakiego hasla uzywam. w tym samym temacie zdenerwowalo mnie ostatnio ING. haslo chce miec takie zeby je latwo zapamietac chce powrocic do swojego starego hasla

kinki napisał(a):to moja sprawa jakiego hasla uzywam

Spokojnie, nie do końca jest jak uważasz. Jeśli konto, którego używasz zabezpieczysz słabym hasłem i ktoś je odgadnie/złamie, wtedy poszkodowane może być całe forum – jako PR masz uprawnienia moderatorskie, które wystawisz na łatwy łup.

Tomek w tym przypadku zaważyły względy bezpieczeństwa. Im bardziej idziemy do przodu technicznie tym bardziej musimy się chronić. I nic na to nie poradzimy. Fajnie byłoby mieć krótkie, łatwe hasło – ale takie nie zapewniają już bezpieczeństwa.. Zmiana była nieunikniona. W moim banku wymagają Kodu klienta [który składa się z 7 cyfr] i 12 znakowego hasła.. Myślę, że 8 znakowe hasło jest kompromisem.

Witam
Teraz już wiem czym były spowodowane prośby o przepisanie reCapcha
Co do tokenów zabezpieczających: i na to znalazł się sposób, za kilka dolców kilka osób ...w Pakistanie (poważnie) w ciągu kilku sekund przepiszą Wam każdego tokena

Dlaczego Forum MazdaSpeed zostało (prawdopodobnie) zaatakowane?
Powodem są październikowe zawirowania w SERPach Googla co spowodowało, że pozycjonerzy zaczęli szukać nowych skutecznych sposobów na pozycjonowanie. Okazało się, że wcale nie najgorzej wypadło spamowanie for internetowych To nie koniec – niestety spamowanie występuje na forach, które mają linki NOFOLLOW w swojej treści oraz w podpisie i profilu. Tak się nieszczęśliwie składa, że Forum MazdaSpeed ma NOFOLLOW
Dlatego też polecam Administracji forum zmianę na całym forum na linki NOFOLLOW.

Pozdrawiam
Pozycjoner z Lublina

tco_tm napisał(a):Spokojnie, nie do końca jest jak uważasz. Jeśli konto, którego używasz zabezpieczysz słabym hasłem i ktoś je odgadnie/złamie, wtedy poszkodowane może być całe forum – jako PR masz uprawnienia moderatorskie, które wystawisz na łatwy łup

a co jesli zapomne swoje nowe haslo?? przeciez nie jest latwo zapamietac cos co sie sklada z min 8 znakow duzych i malych oraz liczb...

kinki napisał(a):a co jesli zapomne swoje nowe haslo?? przeciez nie jest latwo zapamietac cos co sie sklad z min 8 znakow duzych i malych oraz liczbach...

hehe to przypomnisz sobie za pomocą funkcji na forum albo zapisz sobie gdzieś poważnie to problem ? numer swój pamiętasz ?

kinki napisał(a):a co jesli zapomne swoje nowe haslo?? przeciez nie jest latwo zapamietac cos co sie sklad z min 8 znakow duzych i malych oraz liczbach...

Wtedy na stronie logowania klikasz w link pod formularzem – "Zapomniałem hasła" i skrypt generuje specjalnie dla Ciebie nowe hasło.

Natomiast utworzyć hasło łatwe do zapamiętania, a jednocześnie trudne do złamania wcale nie jest tak trudno. Może to być np. "KinkiSuperD00per" – chociaż sugeruję zastąpić fragment pokrywający się z nickiem czymś bardziej prywatnym, np. "Pimpuszek" .

ravo napisał(a):poważnie to problem ?

dla mnie tak, nie lubie gdy ktos mnie na sile probuje uszczesliwic
nie mozna wprowdzic nowych osob jedynie dla tych co maja mozliwosc moderacji ?

kinki napisał(a):przeciez nie jest latwo zapamietac cos co sie sklada z min 8 znakow duzych i malych oraz liczb...

Ja chyba jakiś dziwny jestem, bo krótszych haseł i mniejszego skomplikowania sobie nawet nie wyobrażam