Spotify for dårlig sikret?

[abene]

Spotify ble nylig utsatt for et datainnbrudd – sensitiv informasjon ble satt i fare.

 

Les mer

[dsbilling]

Dette er jo ikke bra, bytter passord nå jeg.

[Gjest Slettet+513]

Jeg registrerte meg etter den tid heldigvis

[Timster]

Jeg fikk denne mailen fra spotify i går, men jeg fikk intrykk av at dette var noe som hadde skjedd før 19. desember og de har reparert det, men de oppdagen nå at det var en trussel mot passord.

(correct me if im wrong, jeg kan absolutt ha misforstått engelsken i mailen)

Grunnen til at kredittkort informasjon ikke var truet var at det hånderes av et 3parts program som ikke bøe påvirket av dette.

[adder1972]

Passordene skal riktignok være krypterte

 

De er vel ikke krypterte, men hashet. De kan dermed bare finnes med rainbow-tables (pre-hashede ord) og ikke med brute force.

[Matsemann]

Vel, du kan bruke brute-force også, men det vil nok ta noen år.

 

Som det står i Spotify-bloggen, så er passordene salta.

The hashes are salted, making attacks using rainbow tables unfeasible.

Altså skal det ganske mye til å finne dem vha rainbow-tables.

[Mynotir]

Hva slags skade gjør det om noen får tak i Spotify-brukern min? Det er jo en gratis tjeneste. I verste fall stjeler de invitasjonene mine. Om jeg ikke greier å logge inn lager jeg bare en ny. De eneste som kan irriteres av dette er de som betaler for premium.

[Skavold]

Jeg har ikke fått noe e-post fra Spotify ... Betyr det at jeg ikke er rammet? Ikke at det er noe problem å skifte passord, bare lurer.

[Mascot68]

Trist at ingen nettaviser klarer å få dette riktig.

 

Dette er null sikkerhetsproblem for din lokale maskin. Det eneste som risikeres er at Spotify passordet ditt kan avsløres.

 

I tillegg må de vite eller gjette brukernavnet ditt for å i det hele tatt få tak i det de trenger for å forsøke å knekke passordet.

 

Generelt et gigantisk ikke-tema. Men, klart, bruker du samme brukernavn og passord på Spotify som på kontrollene for å fyre av atomraketter kan det være lurt å bytte passord begge steder.... Just in case.

 

Jeg har ikke fått noe e-post fra Spotify ... Betyr det at jeg ikke er rammet? Ikke at det er noe problem å skifte passord, bare lurer.

Mulig du opprettet konto etter at de rettet hullet i desember?

[Matsemann]

Kun de som er berørt har fått mail, ja.

[zegenie]

Men, klart, bruker du samme brukernavn og passord på Spotify som på kontrollene for å fyre av atomraketter kan det være lurt å bytte passord begge steder.... Just in case.

oh noes! *løpe og bytte passord*

[kathedralrose]

Det kan være noe som at de ikke har kryptert passordene til brukere som registrerte seg før den datoen.

 

Mitt passord har jeg sålangt testet med en umodifisert OPH-crack CD, og det ble ikke knekt. Jeg håper dog at dette angrepet var en advarsel om et sikkerhetshull. For de absolutte konsekvensene til dette kan være dårlig lys for Spotify.

[Equerm]

Passordene skal riktignok være krypterte

 

De er vel ikke krypterte, men hashet. De kan dermed bare finnes med rainbow-tables (pre-hashede ord) og ikke med brute force.

Så er hashet passord er ikke kryptert?

 

Man kan bruke rainbow tables, eller brute force....

 

Dessuten gjetter jeg på at Spotify har brukt dobbelkryptering og salting i krypteringsalgoritmen sin. Sann som alle andre smarte folk gjør.

 

Står heller ingenting om hvilken krypteringsmetode de har brukt, men det er vel kanskje informasjon som spotify ikke vil oppgi?

 

edit: Matsemann skrev visst dette før meg ^^

Endret 5. mars 2009 av Equerm

[Matsemann]

Et hashet passord er ikke kryptert i den forstand at noe kryptert alltid kan bli endret tilbake til det originale om man kjenner krypteringsnøkkelen. Mens hashing er en enveis-funksjon, og man kan ikke få tilbake det originale om man kjører den baklengs.

 

Hva mener du med dobbelkryptering? Så lenge man har hasher hjelper det lite å gjøre det flere ganger.

Det er ikke vits å hashe flere ganger med samme verdi. Det gjør det ikke mer sikkert, slik mange vil tro. Det virker logisk, men resultatet er et ca. like stort tall uansett. Uansett hva som hasher, får man et tall innen en bestemt range, 128bit. Det er minst like stor sjanse for at man ved en brute-force treffer på en annen verdi, som gir samme hash, enn den opprinnelige hashen. En annen verdi med samme hash vil gjøre akkurat samme nytten som den egentlige verdien, ettersom begge vil gi samme resultat.

[Equerm]

Med dobbel hashing mener jeg f.eks

 

md5('test') = 098f6bcd4621d373cade4e832627b4f6

 

sha1('098f6bcd4621d373cade4e832627b4f6') = da39a3ee5e6b4b0d3255bfef95601890afd80709

 

mh5('da39a3ee5e6b4b0d3255bfef95601890afd80709') = 0144712dd81be0c3d9724f5e56ce6685

 

Det er vel en hensikt i det?

Endret 5. mars 2009 av Equerm

[tore-]

Fra artikkel:

Ifølge Dagbladet får ikke ansatte hos NRK lov til å bruke programmet Spotify fordi programmet må installeres innenfor brannmuren.

 

"installeres innenfor brannmuren" ? Hallo, det henger ikke på greip

[Equerm]

Det henger totalt på grep

[Tommy-]

Synes det er lattlig at folk hacker spotify! det er jo den enste løsningen som har kommet mot fildeling som funker!

Så på NRK her om dagen om utalsen til kulturminsteren til platebransjen. Da svarte platebransjen med at de har lagd spotify! åå så sur jeg ble!! herregud, de har jo ikke lagd den, de har kommet med musikk. Og mange platebransjer har ikke en gang lagt ut sangene sine og noen blokerer sangene sine. De bør få opp øya!

[fail]

Med dobbel hashing mener jeg f.eks

 

md5('test') = 098f6bcd4621d373cade4e832627b4f6

 

sha1('098f6bcd4621d373cade4e832627b4f6') = da39a3ee5e6b4b0d3255bfef95601890afd80709

 

mh5('da39a3ee5e6b4b0d3255bfef95601890afd80709') = 0144712dd81be0c3d9724f5e56ce6685

 

Det er vel en hensikt i det?

Hvis hensikten er å gjøre det mindre sikkert, så ja. Dobbelt hashing er ganske ubrukelig, da en md5 hash bare er en 32 tegns streng med tegn mellom 0-f, dvs. 16^32 forskjellige muligheter ...

[Mynotir]

Med dobbel hashing må man bruke et enormt rainbow table.