Lưu một history dạng { "salt abc" : "kết quả hash của pass và salt abc", "salt xyz" : "kết quả hash của pass và salt xyz" } Loop key, value in history Nếu hashed(password mới + key) = value thì Password trùng pw cũ ạ
có những loại thuật toán mã hoá 1 chiều mà thì user nhập vô rồi đi qua thuật toán ra mã một chiều compare 2 cái lại vs nhau thì biết người ta nhập lại password raw thôi
Cái vụ Độ Mixi chú nghĩ xa quá rồi =)) Do ông Độ ham tiền nên mới dính, kể cá có mật khẩu thì vẫn còn 2FA mà? IP lạ bị bắt 2FA ngay. Còn đây nó vô thẳng qua Cookie
Như mình thì khi đăng ký 1 ứng dụng hay trang web thì mình sẽ có công thức để tạo pass dựa trên pass gốc mình hay dùng Tùy theo mức độ quan trọng password gốc sẽ khác nhau, như vậy có lộ pass thì cũng ko dò ra dc hết tài khoản
E lại nghĩ khác a 1 chút, e thấy các team quản lý phụ trách IT của mấy nghệ sĩ hay streamer trình độ bảo mật của họ tương đối khá, đồng ý là Độ ít am hiểu về IT có thể bị, nhưng cũng phải qua đc những team kia nữa.
trường hợp lộ password nghe cũng hợp lý. Nhưng mà mấy trang hay nên tảng như google, steam giờ đều có 2FA. Lúc em cài lại windows đăng nhập lại gg dù vẫn là thiết bị đó, ip mạng đó mà vẫn bị dính 2fa. Chẳng lẽ có thể bypass được?
Em thấy có vấn đề gì với việc kiểm tra password cũ trùng với password mới đâu anh nhỉ? Giống với bước login, user phải gửi password tới BE, sau đó BE verify password đó với password đã được mã hoá trong DB, nếu giống thì mới cho login Ko biết em có hiểu nhầm điều gì ko
Không em, em hỏi vậy đúng á. Đều mình hay đa nghi vì sao lại làm vậy mà các hệ thống ghê gớm hơn họ không cần làm vậy? Có lẽ nội công yếu??? Ý anh là vậy á em
Có thể gọi là Enforce password history. Nếu nó để max vài lần thôi cũng ok, kỹ thuật này lâu rồi, thử đổi 100 làn mà nhận hết là trùng thì toang rồi. 😂
Kênh Độ Mixi bị hack, mình nghĩ là hacker đánh cắp cookie của trình duyệt chứ không phải đánh cắp mật khẩu. Nếu dùng mật khẩu để đăng nhập sẽ cần nhập mã bảo mật 2 lớp. Khi có cookie nó sẽ coi như mình đã login rồi (giống chức năng remember me) nên hacker nó có thể thêm sđt, thêm phương thức verify, xóa sđt... mà không cần nạn nhân phải làm gì cả.
@@anonystick Anh đoán là tk TH-cam, Steam của a Độ bị hack vì hacker tìm đc tk mật khẩu từ những trang khác ví dụ mua sách, mua đồ chơi cho con, bla bla. Nhưng anh quên là youtube, FB nó có bảo mật 2 lớp mà anh khi tk nơi khác đăng nhập thì sẽ thông báo có tk lạ về ĐT mình ngay. V chẳng lẽ hacker vượt đc bảo mật 2 lớp lun à anh Hmmm
@@kakashiuchiha6996 máy bạn dùng ở nhà bạn sẽ ko bao giờ hỏi 2FA mỗi lần bạn vào fb. nó tấn công được cả vào router giả dạng máy nạn nhân và IP ở nhà nạn nhân nên fb ko thể biết được.
@@kakashiuchiha6996Anh Độ lấy lại đc lần 1. Xong bị bem tiếp lần 2. Cái này tỷ lệ rất cao mà máy tính đã dính sẵn và bị trạng thái chiếm quyền máy rồi chứ cũng k hẳn là login nơi khác
Lưu một history dạng {
"salt abc" : "kết quả hash của pass và salt abc",
"salt xyz" : "kết quả hash của pass và salt xyz"
}
Loop key, value in history
Nếu hashed(password mới + key) = value thì Password trùng pw cũ ạ
Đúng vậy bro! tks bro!
@minhtran-uv4nd anh cho em hỏi KEY mà anh nhắc đến ở đây là KEY gì vậy ạ, và nó tương ứng với mỗi User hay sao ạ?
@@anonystick nhờ anh giải đáp giúp em thắc mắc KEY ở đây là gì với ạ.
@@hoangnguyenvan3505 key, value của object ấy bn. k ph key secret đâu
let a = {
name: "foo"
age: 23
}
key là name vs age
hay quá ạ, mỗi ngày 1 kiến thức mới
Video sau hay hơn nữa.
Anh làm video về những cách bảo mật APIs từ đơn giản đến nâng cao đi ạ
Cho em hỏi khi tham gia thành viên sẽ được xem những khóa học hay những kiến thức gì khác ạ
Em xem Outline tại đây hen: github.com/anonystick/anonystick
cái bài rbac của anh thật sự giúp em rất nhiều
có những loại thuật toán mã hoá 1 chiều mà
thì user nhập vô rồi đi qua thuật toán ra mã một chiều compare 2 cái lại vs nhau thì biết người ta nhập lại password raw thôi
12:40 Nếu mật khẩu của các nền tảng là như nhau, thế còn bảo mật 2FA thì sao ạ
Cái vụ Độ Mixi chú nghĩ xa quá rồi =)) Do ông Độ ham tiền nên mới dính, kể cá có mật khẩu thì vẫn còn 2FA mà? IP lạ bị bắt 2FA ngay. Còn đây nó vô thẳng qua Cookie
Như mình thì khi đăng ký 1 ứng dụng hay trang web thì mình sẽ có công thức để tạo pass dựa trên pass gốc mình hay dùng
Tùy theo mức độ quan trọng password gốc sẽ khác nhau, như vậy có lộ pass thì cũng ko dò ra dc hết tài khoản
cháu kh có visa, nhưng rất muốn đăng kí hội viên kênh của chú để học khóa nodejs thì phải làm sao ạ.
ví dụ nó lấy được thông tin đăng nhập vào Google hoặc Facebook thì làm sao để vượt được 2FA Auth ?
E lại nghĩ khác a 1 chút, e thấy các team quản lý phụ trách IT của mấy nghệ sĩ hay streamer trình độ bảo mật của họ tương đối khá, đồng ý là Độ ít am hiểu về IT có thể bị, nhưng cũng phải qua đc những team kia nữa.
hay hung thủ chính là những team kia :D
trường hợp lộ password nghe cũng hợp lý. Nhưng mà mấy trang hay nên tảng như google, steam giờ đều có 2FA. Lúc em cài lại windows đăng nhập lại gg dù vẫn là thiết bị đó, ip mạng đó mà vẫn bị dính 2fa. Chẳng lẽ có thể bypass được?
Em thấy có vấn đề gì với việc kiểm tra password cũ trùng với password mới đâu anh nhỉ?
Giống với bước login, user phải gửi password tới BE, sau đó BE verify password đó với password đã được mã hoá trong DB, nếu giống thì mới cho login
Ko biết em có hiểu nhầm điều gì ko
Không em, em hỏi vậy đúng á. Đều mình hay đa nghi vì sao lại làm vậy mà các hệ thống ghê gớm hơn họ không cần làm vậy? Có lẽ nội công yếu??? Ý anh là vậy á em
Có thể gọi là Enforce password history. Nếu nó để max vài lần thôi cũng ok, kỹ thuật này lâu rồi, thử đổi 100 làn mà nhận hết là trùng thì toang rồi. 😂
Kênh Độ Mixi bị hack, mình nghĩ là hacker đánh cắp cookie của trình duyệt chứ không phải đánh cắp mật khẩu. Nếu dùng mật khẩu để đăng nhập sẽ cần nhập mã bảo mật 2 lớp. Khi có cookie nó sẽ coi như mình đã login rồi (giống chức năng remember me) nên hacker nó có thể thêm sđt, thêm phương thức verify, xóa sđt... mà không cần nạn nhân phải làm gì cả.
yes sir, công nhận nhiều phương thức quá hen. video tập trung vào system design interview nhiều hơn. Càm ơn bro!
Hóa ra em đã tấn công IDOR vào web trường từ năm nhất để lấy thông tin bạn cùng lớp
lộ mật khẩu do thói quen người dùng thì họ còn phải mật khẩu cấp 2 nữa làm sao phải . Nó đánh cắp cookies , hoặc chiếm quyền sử dụng máy
rất hay ạ
làm thế nào để vào được kênh discord của anh vậy ạ
Trong các video member á em
chỗ mật khẩu trùng mật khẩu cũ thì bình thường mà anh, vì ngta lưu hash pass cũ
Đúng em, video sau chúng ta nói rõ nhiều hơn về issue này.,
đặt giống pass cho dễ nhớ ạ :)))
Ủa nếu đúng là hệ thống bank thì họ biết pw trùng pw cũ chứ anh, đem so chuỗi hash là đc mà
Hash mà có salt thì không thể giống nhau... Gần như không thể
@@anonystick Anh đoán là tk TH-cam, Steam của a Độ bị hack vì hacker tìm đc tk mật khẩu từ những trang khác ví dụ mua sách, mua đồ chơi cho con, bla bla. Nhưng anh quên là youtube, FB nó có bảo mật 2 lớp mà anh khi tk nơi khác đăng nhập thì sẽ thông báo có tk lạ về ĐT mình ngay. V chẳng lẽ hacker vượt đc bảo mật 2 lớp lun à anh Hmmm
@@kakashiuchiha6996 máy bạn dùng ở nhà bạn sẽ ko bao giờ hỏi 2FA mỗi lần bạn vào fb. nó tấn công được cả vào router giả dạng máy nạn nhân và IP ở nhà nạn nhân nên fb ko thể biết được.
@@kakashiuchiha6996Anh Độ lấy lại đc lần 1. Xong bị bem tiếp lần 2. Cái này tỷ lệ rất cao mà máy tính đã dính sẵn và bị trạng thái chiếm quyền máy rồi chứ cũng k hẳn là login nơi khác
@@anonystick không giống thì ông login kiểu gì???
Làm ăn gian lận thôi. Mình toàn mã hoá một chiều.
❤
Facebook họ cũng bắt 6 tháng đổi 1 lần và cũng detect được pass mới đã từng có chưa
Yes
BIDV la ro
Em thấy fb cũng bít dc pw cũ và mới nữa anh
Kể cũng lạ, mà anh điều tra ra rồi... kkakak
@@anonystick hóng ạ
yes
Yes :))
yes =))
1
yes =)))