研究人员使用人工智能对1560万个流行密码进行破解 ——

来自 Home security heroes 的研究人员决定调查使用人工智能的密码破解速度。他们使用了1560万个流行密码的集合进行测试。

结果显示，PassGAN人工智能可以做到：

- 51%的密码集合在1分钟内被破解；
- 在1小时内破解集合中65%的密码；
- 在24小时内破解集合中71%的密码；
- 1个月内从集合中破解81%的密码。

“人工智能根据它所学到的一切，预测最可能的下一个数字。它没有寻求外部知识，而是依靠它通过学习形成的模式”，研究人员说。

当然，算力始终是挑战。越复杂越长的密码需要的破解时间就越多，对AI来说也一样。

🧬您可以在这里查看AI 在 2023 年破解您选择的密码需要多长时间:
https://www.homesecurityheroes.com/ai-password-cracking/

#Security #Passwords #Privacy #AI

对于上述消息，它不意味着给Telegram的匿名安全性加分。CNN的报道可能不是该公司与巴西当局的全部故事，但确实存在多个针对Telegram用户去匿名化的工具。

比如：https://tomhunter.ru/pk
该工具被称为“Okhotnik”(Охотник)，意思是“猎人”。据说使用超过 700 个数据点来建立关联和相关性，从而可以揭露匿名 Telegram 用户的身份。

这些“数据点”来自社交网络、博客、论坛、即时通讯工具、留言板、加密货币区块链、暗网和政府服务，以及关注名字、昵称、电子邮件地址、网站、域、加密货币钱包、加密密钥、电话号码、地理位置信息、IP 地址等等。

该工具旨在盯紧目标用户在过去任何时候犯下的任何操作错误，因此即使是最轻微和最久远的真实身份暴露线索，也可以用来创建去匿名化路径。

类似的工具还有其他。上面这个动图所演示的是另一个类似的去匿名化工具，自2018年至今；它通过手机号码、连接的设备和设备数据、以及地理定位信息来识别用户。

📌 在此重申我们一直的强调：

时间是所有安全措施的杀手。因为人会疲劳，会积累压力，从而增大误操作的可能性。所以，建议；

从事高风险工作的人，请不要持续使用单一伪装身份；
每个身份最好只匹配1～2个具体任务，任务完成后彻底摧毁身份。
对于单枪匹马的前线工作者来说，请尽可能避免使用虚构身份积累网络知名度，那将是得不偿失的。
您当然可以在拥有知名度/倡导能力和影响力的同时更持久地保持匿名安全，那需要您采取集体身份，
此原理相当于 Black bloc，其中每一位成员都享有集体知名度，而集体掩护每位成员的个人匿名安全。

当您准备开启一项计划之前，只要该计划涉及到社交媒体传播，建议先仔细研读这篇文章：
《您在什么时候需要假名、匿名和公开在线身份？– 在线创建和管理身份的思考方式》
https://iyouport.substack.com/p/as46-

#Privacy #Security #Selfdefense

不要接听Telegram拨打来的电话 ——

这可能泄露您的位置。

有专门工具可用来提取通话人IP。

比如 Wireshark（https://www.wireshark.org/download.html ）。通过Telegram拨打电话。只要用户接听电话，就会立即开始显示数据，其中就有被呼叫用户的IP地址。

此外 tshark（https://github.com/n0a/telegram-get-remote-ip ）也是同类的工具。

#Security #Privacy #Tools

英国政府即将在全球范围内削弱加密技术 ——

英国议会正在推进一项庞大的互联网监管法案，该法案将损害世界各地人们的隐私。所谓的《在线安全法案》目前正处于上议院通过之前的最后阶段，该法案赋予英国政府在消息服务中强行设置后门的能力，这将破坏端到端加密。尚未接受任何可以减轻该法案最危险因素的修正案。

如果《在线安全法案》获得通过，对于全球隐私和民主本身来说将是一个巨大的倒退。要求人们只能使用政府批准的软件是一个糟糕的先例。

在线交谈的私密性是一项基本人权。为了在数字世界中实现这些权利，目前为止我们拥有的最好的技术就是端到端加密。然而这项基本人权与所谓的《在线安全法案》中要求的政府批准的消息扫描技术完全背道而驰。

提供加密消息传递的公司（例如 WhatsApp、Signal 和英国的 Element ）也解释了该法案的危险。然而针对这些抵制浪潮，英国政府的反应是摆手否认现实 ……

这场斗争已经持续多年。我们的列表-1中有“加密和反加密之战”的板块 (https://start.me/p/xbYXdR/iyp-1 ) 记录了一些重点事件，如果您希望了解的话。

EFF正呼吁更多人权捍卫者加入抵抗该法律的斗争。

#privacy #IMs #Encryption

紧急更新一个帖子给中国朋友。

关于：
1、Telegram有哪些地方是不安全的；
2、如果您必需使用它，您至少应该如何保护自己；
3、昨天我们提醒了接下来更可能出现的局势  — — 不仅有“秋后”，还包括信息战，统治者将使用大量歪曲的信息污染抗议战略，分化抗议者、恐吓支持者，旨在扑灭那些已经燃起的火焰。这种情况下后勤人员需要发挥作用：搜集信息、验证信息，即 开源情报。这里提供一些Telegram信息搜索工具。

🧬《Telegram的隐私保护指南，和信息搜索工具》
https://iyouport.substack.com/p/telegram-c2e

#tips #tools #privacy #China #ZeroCovidPolicy #protest

俄版加密货币用户去匿名化项目 ——

俄罗斯已经学会了识别加密货币的所有者。至少，俄罗斯联邦金融监测局（Rosfinmonitoring）是这么说的。该机构负责人尤里·奇汉钦说，该机构有一个工具可以追踪俄罗斯人的数字资产交易。这项名为 "透明区块链" 的服务允许监控者 "查看资金的发送方和接收方"。

目前对这项服务的细则还知之甚少。在2021年该计划开启的最初，它似乎还只能识别比特币交易，但现在，据称可以追踪30多种加密货币。该机构定期吹嘘 “透明区块链” 项目的成果，例如，报告声称它被用来追踪雇佣杀手。

国家杜马加密货币工作组专家委员会成员米哈伊尔·乌斯宾斯基看起来并不信任这类技术，他说："经常有这样的情况，你可以追踪数字货币到某个交易所的路径，但从所有其他迹象来看，这显然是一个不真实的人。执法部门在这种情况下最多只能尝试在欺诈行为的幕后黑手和真正的实施者之间建立联系。但这些联系通常是通过暗网远程构建的 ……”。相比下他更信任人类情报，也就是线人。

近几年里，围绕加密货币追踪的服务，有一场全球大国的 军备竞赛。不论如何这场猫鼠游戏都会继续下去。

在这里看到我们曾经介绍的书和相关内容：https://t.me/iyouport/7097
以及，更多追踪加密货币的开源情报工具：https://t.me/iyouport/10294

#cryptocurrency #privacy

好消息：Signal 正在测试用昵称代替电话号码。

有了这项新功能，您就可以向潜在的对话者发送二维码或链接，同时保密您的电话号码。在这种情况下，新联系人将无法看到 Signal 用户的电话号码，只能看到用户在账号中指定的昵称。

目前该功能仍处于内部测试阶段。

#E2EE #privacy

注重隐私的浏览器扩展 【1】——

1、Self Destructing Cookies (https://add0n.com/self-destructing-cookies.html) - 在您离开网站后立即删除 Cookie。

2、WebRTC Leak Prevent (https://github.com/aghorler/WebRTC-Leak-Prevent ) - 允许您在Chromium浏览器中禁用WebRTC。在Firefox 中则在设置中禁用。

3、ScriptSafe (https://github.com/andryou/scriptsafe ) - 可以阻止某些脚本的执行。

4、Site Bleacher (https://github.com/wooque/site-bleacher ) - 自动删除 cookie、本地存储、IndexedDB 和Service Worker。

5、Skip Redirect (https://github.com/sblask/webextension-skip-redirect ) - 跳过链接中嵌入的所有重定向站点，直接指向最终站点。

6、Web Archives (https://github.com/dessant/web-archives/wiki/Search-engines ) - 允许您从多种存档和缓存源中进行搜索，允许您：Wayback Machine、Archive is、Google 和其他。

#tools #privacy

Kali Linux 2023.4

开发者们推出了该发行版在2023年的第四个也是最后一个新版本。这款新产品已经可以下载，同时包含15种新工具和GNOME 45。

新工具：

cabby - TAXII 客户端实现；
cti-taxi-client - TAXII2 客户端库；
enum4linux-ng - 下一代 enum4linux 带附加功能（Windows/Samba枚举工具）；
exiflooter - 在所有URL和图像目录中进行搜索和地理位置；
h8mail - 电子邮件开源情报和查找密码泄露的工具；
Havoc - 一种现代、灵活的后渗透管理和控制系统；
OpenTAXII - TAXII 服务器实现；
PassDetective - 扫描 shell 命令历史记录，检测意外写入的密码、API密钥和机密；
Portspoof - 所有65535 TCP 端口始终开放并模拟服务；
Raven - 轻量级 HTTP 文件下载服务；
ReconSpider - OSINT高级框架；
rling - RLI Next Gen (Rling)，一个更快的多线程和功能丰富的 rli 替代方案；
Sigma-Cli - 列出 Sigma 规则并将其转换为查询语言；
sn0int - 半自动 OSINT 框架和包管理器；
SPIRE - 一组 SPIFFE 运行时环境 API，用于建立软件系统之间的信任。

从这个版本开始，Kali Linux AMD64 和 ARM64 可以在亚马逊 AWS 和微软 Azure 市场上得到，从而可以轻松地在云中部署 Kali。

#Kali Linux 2023.4 Release (Cloud ARM64, Vagrant Hyper-V & Raspberry Pi 5)

🧬 https://www.kali.org/blog/kali-linux-2023-4-release/

#OS #Anonymity #Hacking #Privacy