слитые пароли майнкрафт серверов
Опубликована база с 320 млн уникальных паролей (5,5 ГБ)
Проверка аккаунтов на живучесть
Одно из главных правил при выборе пароля — не использовать пароль, который уже засветился в каком-нибудь взломе и попал в одну из баз, доступных злоумышленникам. Даже если в вашем пароле 100500 символов, но он есть там — дело плохо. Например, потому что в программу для брутфорса паролей можно загрузить эту базу как словарный список. Как думаете, какой процент хешей она взломает, просто проверив весь словарный список? Вероятно, около 75% (реальную статистику см. ниже).
Так вот, откуда нам знать, какие пароли есть у злоумышленников? Благодаря специалисту по безопасности Трою Ханту можно проверить эти базы. Более того, их можно скачать к себе на компьютер и использовать для своих нужд. Это два текстовых файла в архивах: с 306 млн паролей (5,3 ГБ) и с 14 млн паролей (250 МБ).
Базы лежат на этой странице.
Все пароли в базе представлены в виде хешей SHA1. Перед хешированием все символы переведены в верхний регистр (прописные буквы). Трой Хант говорит, что применил функцию HASHBYTES, которая переводит хеши в верхний регистр. Так что делая свой хеш, следует осуществить аналогичную процедуру, если хотите найти совпадение.
Прямые ссылки:
https://downloads.pwnedpasswords.com/passwords/pwned-passwords-1.0.txt.7z
(306 млн паролей, 5,3 ГБ), зеркало
SHA1 hash of the 7-Zip file: 90d57d16a2dfe00de6cc58d0fa7882229ace4a53
SHA1 hash of the text file: d3f3ba6d05b9b451c2b59fd857d94ea421001b16
В разархивированном виде текстовый файл занимает 11,9 ГБ.
https://downloads.pwnedpasswords.com/passwords/pwned-passwords-update-1.txt.7z
(14 млн паролей, 250 МБ), зеркало
SHA1 hash of the 7-Zip file: 00fc585efad08a4b6323f8e4196aae9207f8b09f
SHA1 hash of the text file: 3fe6457fa8be6da10191bffa0f4cec43603a9f56
Если вы глупы бесстрашны, то на той же странице можете ввести свой уникальный пароль и проверить его на наличие в базах, не скачивая их. Трой Хант обещает, что никак не будет использовать ваш пароль и его сервис абсолютно надёжен. «Не отправляйте свой активно используемый пароль ни на какой сервис — даже на этот!», — предупреждается на странице. Программные интерфейсы этого сервиса полностью документированы, они принимают хеши SHA1 примерно таким образом:
Но всё равно надёжнее проверять свой пароль в офлайне. Поэтому Трой Хант выложил базы в открытый доступ на дешёвом хостинге. Он отказался сидировать торрент, потому что это «затруднит доступ людей к информации» — многие организации блокируют торренты, а для него небольшие деньги за хостинг ничего не значат.
Хант рассказывает, где он раздобыл эти базы. Он говорит, что источников было много. Например, база Exploit.in содержит 805 499 391 адресов электронной почты с паролями. Задачей Ханта было извлечение уникальных паролей, поэтому он сразу начал анализ на совпадения. Оказалось, что в базе всего лишь 593 427 119 уникальных адресов и лишь 197 602 390 уникальных паролей. Это типичный результат: абсолютное большинство паролей (в данном случае, 75%) не уникальны и используются многими людьми. Собственно, поэтому и даётся рекомендация после генерации своего мастер-пароля сверять его по базе.
Вторым по величине источником информации был Anti Public: 562 077 488 строк, 457 962 538 уникальных почтовых адресов и ещё 96 684 629 уникальных паролей, которых не было в базе Exploit.in.
Остальные источники Трой Хант не называет, но в итоге у него получилось 306 259 512 уникальных паролей. На следующий день он добавил ещё 13 675 934, опять из неизвестного источника — эти пароли распространяются отдельным файлом.
Так что сейчас общее число паролей составляет 319 935 446 штук. Это по-настоящему уникальные пароли, которые прошли дедупликацию. Из нескольких версий пароля (P@55w0rd и p@55w0rd) в базу добавляется только одна (p@55w0rd).
После того, как Трой Хант спросил в твиттере, какой дешёвый хостинг ему могут посоветовать, на него вышла известная организация Cloudflare и предложила захостить файлы забесплатно. Трой согласился. Так что смело качайте файлы с хостинга, это бесплатно для автора.
Управление паролями на сервере Minecraft
При игре на сервере Minecraft у пользователя иногда возникает потребность в управлении паролем, будь то своим или паролем любого другого игрока, если речь идет об администраторе. Далее поговорим о специальном плагине, предназначенном для работы с ключами безопасности в Майнкрафт, и о том, как выполняются общие действия, связанные с паролями.
Дополнительно уточним, что нет способа узнать установленный пароль для входа на сервер ни у администратора, ни у обычного игрока, если сам пользователь при создании не сохранил этот пароль где-то в текстовом файле. За защиту и шифрование ключей доступа на сервере Майнкрафт отвечает плагин, который будет упомянут ниже, а обойти его защиту просто так не получится.
Описание плагина AuthMe
AuthMe – основной плагин, устанавливаемый администратором на сервер Minecraft при его создании. Он отвечает за аутентификацию пользователей и хранит пароли при помощи шифрования MD5, изменить которое даже при помощи редактирования конфигурации не получится.
Однако у администратора есть возможность самостоятельно изменить пароль игрока на любой другой, введя специальную команду. Об этом я расскажу в одном из следующих разделов статьи, а пока разберемся с обычными игроками.
Смена пароля Minecraft для обычного игрока
Для изменения собственного пароля учетной записи на конкретном сервере сначала понадобится выполнить авторизацию на нем, чтобы получить доступ к общим командам. Соответственно, для этого вы должны знать свой старый пароль, а после успешного входа реализовать следующие действия:
Если старый пароль вы не знаете, войти на сервер под своей учетной записью получится только в том случае, если настроена автоматическая аутентификация, однако доступ к команде не будет получен. Тогда понадобится обратиться к следующей инструкции.
Мощные игровые серверы для Minecraft от 3 руб./час
От 4 Гб ОЗУ, от 80 Гб на скоростном NVMe и стабильные 200 Мбит/сек
Сброс пароля на сервере Minecraft
Самостоятельно сбросить свой пароль на сервере, кроме как изменить его, не получится, что сделано из соображений безопасности учетных записей. Сейчас некоторые сайты внедряют систему восстановления, когда на привязанный электронный адрес отправляется код, а после его ввода появляется возможность задать новый пароль. Если такая форма есть на сервере, где вы играете, воспользуйтесь ей, следуя отобразившимся на экране инструкциям.
Однако в большинстве случаев она отсутствует, поэтому остается только напрямую обращаться к администрации с просьбой решить возникшую неприятность. Соответственно, они попросят подтвердить личность, что можно сделать при помощи привязанного электронного адреса, если к нему есть доступ.
Если под запросом «Сбросить пароль» вы хотели отыскать информацию об удалении регистрации на сервере с целью создания нового персонажа, перейдите по ссылке ниже, чтобы прочитать другую статью, в которой как раз и говорится о том, как можно быстро удалить профиль на сервере Майнкрафт.
Как изменить пароли игроков (для администраторов)
Многие игроки желают поиграть с друзьями на своем сервере, поэтому скачивают из интернета готовую директорию с файлами или модернизируют ее самостоятельно при помощи сторонних средств. Если друзья забыли свои пароли, но подключение необходимо произвести именно к старым учетным записям, администратор может вручную изменить их. Для начала зайдите в папку с миром, найдите там директорию «Players» и узнайте ники всех игроков, кому нужно вернуть доступ.
После этого выполните авторизацию на сервере как администратор, откройте чат и введите команду /authme changepassword
, заменив указанные части на необходимые. Сделайте то же самое со всеми оставшимися профилями и проверяйте доступ.
В завершение уточним, что иногда игроки путают пароль от сервера с ключом безопасности учетной записи, если речь идет об использовании лицензионной копии игры. Если же не получается войти в аккаунт Mojang, понадобится перейти на официальный сайт и нажать по кнопке «Забыли пароль?» или сделать это прямо в клиенте игры. На указанный электронный адрес отправится ключ восстановления доступа, после чего можно придумать новый пароль.