когда пытаюсь зайти на аккаунт MALKUTH или HelixOfTheEnd, пишет, что "неправильный логин или пароль". проблема появилась очень недавно. на этот аккаунт заходит, на те два почему-то нет. пароли не меняла.

на старые аккаунты(qw10fing, qwAlxi) зайти получается, на телефонный аккаунт DaShaSTeLeFoNa зайти получается(однако на нужные с телефона тоже не зайти), в чём может быть проблема не знаю.

Тоже не могу зайти на основной аккаунт - tyrpyr. Неправильный логин или пароль

Видимо сбросили пароли всем в рамках борьбы, я тоже не сразу зашёл.

vnest, не сразу - это как?

теперь пароль надо отгадать чтобы войти в аккаунт? или?..

"не сразу" - +, непонятно что значит, я пыталась зайти раза 4. vnest, у Тебя писало "Неправильный логин или пароль."?

Не сразу - значит восстановил через email и зашёл :)

а что делать если я не помню какие у меня e-mail'ы использовались? проверять все?

но спасибо, теперь имеет смысл. похоже, что сбросили пароли всем активным пользователям или что-то в этом духе.

Проверять все или ждать, что админы скажут.

Хорошо, спасибо!
Похоже, аккаунт Игрок3 - один из них.

Квалотлон - доп. аккаунт Игрока3.

за ответ спасибо, на аккаунт зайти получилось.

но есть другой вопрос: действительно ли рандомно генерируемые 8символьные пароли надёжны? до этого у меня стоял пароль длиной в 20+ символов, и, учитывая, что на два аккаунта у меня сгенерировались... довольно похожие пароли(+не знаю как у других людей, может быть, они в целом похожи(хотя не отрицаю, что мне возможно "повезло"))... мне не кажется, что такие пароли надёжнее, чем те, которые у меня уже стояли до этого(+запомнить 8 случайных символов довольно сложно и в рандомной генерации я не вижу даже... смен регистра, к примеру).



и ещё есть другой вопрос, который, возможно, не так важен - по каким критериям отбирались эти 2300 человек? поскольку были взломаны и старые аккаунты, очевидно, что это не "дата входа" и не какая-либо активность на сайте.
нет ли вероятности, что какие-то потенциально взломанные профили при этом остались?

HelixOfTheEnd, я думаю, этот пароль стоит поменять.
(Настройки - https://klavogonki.ru/u/#/611969/prefs/ )

упс, моя невнимательность, извиняюсь. тогда вопрос про пароли, вероятно, снят.

но последний вопрос в силе.

Очень хорошие вопросы. Однако ответ на первый может дать потенциально полезную информацию для взломщика(ов), поэтому критерии называть я не буду. По крайней мере сейчас, пока система авторизации не улучшена.

Что касается второго вопроса: мной были сброшены пароли у всех аккаунтов, которые хоть как-то могли пострадать от конкретно этой декабрьской атаки. Но всё упирается в то, что за последние полгода это не единственный индцидент с безопасностью. Я всё ещё продолжаю изучать логи и разбираться.

Еле восстановил все доступы к почтам и аккаунтам.

дополнение:

у некоторых людей(например, Blackknight (основной аккаунт Гектор)) не получается войти в аккаунт потому что неизвестно какая почта была использована при регистрации и/или есть ли к ней доступ.

вероятно, случай не единственный, но пока что единственный, про который я в курсе.

возможно, имеет смысл оповестить всех людей, у кого был сброшен пароль(сообщением на почту)/закрепить эту тему в техцентре(чтобы если у кого-то возникнет проблема со входом, было место, куда можно написать)/что-нибудь в этом духе.

Fenex, именно API брутфорсили или кусок БД утёк были применены секретные джедайские техники?
Спрашиваю, потому что во втором случае было бы неплохо порекомендовать менять пароль всем, у кого был сброшен.
В своём я вот достаточно уверен

Да, понимаю, что-нибудь придумаем.

etojan
Обычный брутфорс. Причина успеха - это атака с множества IP адресов, что позволило обойти каптчу. Требование пройти каптчу выставляется только после трёх неудачах залогиниться за короткий промежуток времени для каждого IP в отдельности. Чтобы избежать подобного в будущем, я добавлю также безкаптченное ограничение на количество попыток для каждого логина, вне зависимости с каких IP адресов эти попытки осуществляются.

Если пароль надёжный (несловарный пароль и много символов в разных регистрах) И этот пароль используется только на КГ, то наверное можно оставить тот пароль что был. Хотя будь я на Вашем месте, я бы наверное поменял себе всё равно.

По теме вопроса - я вот такую вещь наблюдал в чате: сайт не мог разобраться, используется ли данная почта или не используется.
https://klavogonki.ru/chatlogs/2022-06-06.html#22:37:07

Добрый день. Как и многие прошел по ссылке и мой ник изменился на матерный. Пытаюсь восстановить пароль, но на мою почту на которую зарегистрирован аккаунт ничего не приходит. Подскажите пожалуйста, что делать?