Nilsen Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Flere millioner passord fra den sosiale tjenesten er lekket på nett. Bytt passord på LinkedIn nå Lenke til kommentar
Nator Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Antar at Rød telefon fra 70-80-tallet og grå hettegenser er standard items i Hacker's Toolkit på eBay? 2 Lenke til kommentar
medlem-68510 Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Jeg vil ha en slik rød telefon. Hadde jeg hatt en ville jeg tegnet abonement for fasttelefon igjen =P 1 Lenke til kommentar
hernil Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 (endret) Noen som vet hva slags hash dette er lagret i? De er hvertfall ikke like tette som en del andre som lagrer passord i klartekst, men et sted som linkedin burde jo selvfølgelig både hashe og salte og generelt være så sikkerhetsbevisste som mulig. Denne typen saker er jo pinlige! Endret 6. juni 2012 av hernil Lenke til kommentar
Gjest Gjest slettet-ld9eg7s96q Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Antar at Rød telefon fra 70-80-tallet og grå hettegenser er standard items i Hacker's Toolkit på eBay? Haha, den røde telefonen. "Hr. Partisekretær, vi har Bresjnev på linje to" Lenke til kommentar
bikubedronning Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 (endret) >.< Endret 6. juni 2012 av Tecfan Lenke til kommentar
raWrz Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Noen som vet hva slags hash dette er lagret i? De er hvertfall ikke like tette som en del andre som lagrer passord i klartekst, men et sted som linkedin burde jo selvfølgelig både hashe og salte og generelt være så sikkerhetsbevisste som mulig. Denne typen saker er jo pinlige! Dem var lagret som SHA-1 usalta, av alle ting... Lenke til kommentar
efikkan Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Latterlige greier. Hvis det stemmer at de ikke bruker unike uforutsigbare salt for hvert passord så er det så drålig sikkerhet at selskapet bør holdes ansvarlige. Det forundrer meg hvorfor ikke flere av passordene har blitt knekt. Lenke til kommentar
raWrz Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 (endret) Latterlige greier. Hvis det stemmer at de ikke bruker unike uforutsigbare salt for hvert passord så er det så drålig sikkerhet at selskapet bør holdes ansvarlige. Det forundrer meg hvorfor ikke flere av passordene har blitt knekt. Sist jeg sjekket så var rundt 500k + passord knekt, og det var for 3-4 timer siden. Nå har saken fått internasjonal interesse så du skal ikke se bort ifra at langt flere passord har blitt knekt. Og det stemmer at det ikke har blitt brukt salt. Men husk, linkedin har ikke bekreftet noe som helst; https://twitter.com/...#!/LinkedInNews Edit: Men det betyr ikke at folk ikke burde ta dette seriøst ~ Submit Endret 6. juni 2012 av Submit Lenke til kommentar
medlem-68510 Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Dem var lagret som SHA-1 usalta, av alle ting... Jeg trode SHA-1 ikke var knekt enda. Forskjellige styrker kanskje? Lenke til kommentar
raWrz Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 (endret) Dem var lagret som SHA-1 usalta, av alle ting... Jeg trode SHA-1 ikke var knekt enda. Forskjellige styrker kanskje? Jeg er dessverre ikke så kompetent på forskjellige hash algoritmer. Men du kan lese mer om den her; http://en.wikipedia.org/wiki/SHA1 Hvor ene kilden; http://eprint.iacr.org/2008/469.pdf kanskje kan svare på det du lurer på. ~ Submit Edit: I forbindelse med saken så ble linken her tweeta med grei teknisk info for de spesielt interesserte; https://news.ycombinator.com/item?id=4073309 Endret 6. juni 2012 av Submit Lenke til kommentar
efikkan Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 SHA-1 er ikke "knekt" i den forstand, men det er funnet svakheter i algoritmen som reduserer entropien til en brøkdel, ned til 2³³ i følge wikipedia. Dette har stor betydning ved bruteforceing. For de som ikke kjenner til entropi, et passord med 2^33 har dobbelt så mange mulige kombinasjoner kombinasjoner som et med 2^32. Entropien dobles altså for hver bit. Hvis jeg har forstått det riktig så er det ikke duplikater i denne passordlisten, så koblingen mellom bruker og passord ligger nok i en annen tabell. Likevel er det svært urovekkende at administratorene ikke vet bedre enn å hashe uten ordentlig salting. De vanlige passordene ble "knekt" med direkteoppslag mot en database, derfor har såpass mange blitt oppdaget. De øvrige passordene må altså brutforces, og det skal ikke ta lang tid. Lenke til kommentar
tommyb Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Det er kanskje på sin plass å påpeke et par ting om passord: 1) Uansett hvor vanskelig passord du har, er det ikke lengre sikkert når noen andre kjenner det. Bruk aldri samme passord på to forskjellige tjenester med mindre du synes det er er like "greit" at to blir hacka som at én blir. Har du LinkedIn-passordet på en annen site også, bytt umiddelbart på begge. 2) Hvis du benytter et passordmønster der du har en vanskelig del og en enkel del, typisk navnet på nettstedet, så står du igjen med en kjent del og en enkel del når noen har lest passordet ditt ut fra en hacka site. Det er ikke veldig trygt å bruke enkle mønster. 3) Aldri tiltro dine viktige passord til - playstation network - blizzard - linkedin eller andre som beviselig ikke bryr seg om/får til å beskytte din sikkerhet og tillater hackere å hente data. Og siden du ikke kan vite hvem andre som bare ikke er blitt tatt ennå - det vil si, ikke tiltro dine viktige passord til noen. Med andre ord - ikke gjenbruk passord. 1 Lenke til kommentar
efikkan Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Jeg skulle ønske at HW hadde minst én sikkerhetsekspert i sin stab av journalister, som kunne skrive artikler med inngånde kunnskap for å få frem kjernen i sakene, sile ut "skremselspropaganda" og ha en god refleksjon rundt saken. Avskrift av andres pressemeldinger er faktisk ikke spesielt interessant, spesielt når enkelte firma pakker slike saker inn i typisk "cybertrusselbullshit". Det er overraskende mange saker som egentlig handler om at systemadministratorer ikke har hatt peiling på hva de gjør, og det er de samme feilene som gjentar seg gang på gang: manglende/dårlig hashing av passord, latterlig enkle passord og manglende sikkerhetsoppdateringer. HW hadde kunne skilt seg ut fra mengden nettsider som publiserer slike "halvautomatiserte" artikler ved å skrive gode tekniske artikler som gir leserne innsikt. 3 Lenke til kommentar
Spirre Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 er det en liste over nettsteder som bruker denne passordtjenesten? Greit å vite om jeg må bytte noen passord. Lenke til kommentar
Bolson Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 LinkedIn har sitt eget passordsystem. Problemet er om du bruker samme passord på flere tjenester og ditt passord var av de som er på avveie, kan kobles mot din epostadresse (eller brukernavn) så kan de som har fått tak i denne informasjonen bruke den til å komme seg inn på de andre tjenestene hvor du har en konto. Så fort de har klart å finne passordet. I utgangspunktet vet de ikke hvor du har andre kontoer, men her kan man bruke prøve og feile eller informasjon de klarer å "få ut" fra ulike steder. Hvilket system de andre nettstedene bruker for å "kryptere" passord spiller ingen rolle, så lenge selve passordet er komprimert sammen med epost/brukernavn klarer de å komme seg inn. Selv de systemene jeg administrerer hvor salted MD5,/Blowfish + RSA brukes er ikke trygge når passordene er er knekt og på avveie. Derfor er anbefalingen at er det risiko for at passord + brukernavn/epost er kompromittert så skifter man passord alle steder der dette er brukt. Man kan eventuelt argumentere at det er liten sannsynlighet for at de finner ut hvor du har brukt samme epos/brukernavn og passord - men det tar ikke lengre tid å rette opp dette enn at det er en god sikring. Anbefaler ellers å bruke KeePass, LastPass eller lignende for sikker lagring av egne passord. 1 Lenke til kommentar
Spirre Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Men jeg har ikke noe passord fra linkedin. Betyr det da at jeg "trygg" denne gangen? Lenke til kommentar
ATWindsor Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Derfor er anbefalingen at er det risiko for at passord + brukernavn/epost er kompromittert så skifter man passord alle steder der dette er brukt. Man kan eventuelt argumentere at det er liten sannsynlighet for at de finner ut hvor du har brukt samme epos/brukernavn og passord - men det tar ikke lengre tid å rette opp dette enn at det er en god sikring. Anbefaler ellers å bruke KeePass, LastPass eller lignende for sikker lagring av egne passord. Er ikke helt enig i det, om man ikke generer random passord selv, og tar vare på det med ett master-password, så er det antakelig snakk om mange sier. Hvor mange sider har jeg passord på? Jeg tipper 100+ AtW Lenke til kommentar
*F* Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Jaja, Linkedin har desverre mitt mest hemmeligste passord. Det er ikke barebare å bruke forskjellige passord på alle tjenester, Jeg vet ikke hvor mange titals, eller kanskje hundrevis av tjenester jeg har brukertilgang. Velvel, får vel bare starte passord-endring, ikke vet jeg hvordan jeg skal huske 100 forskjellige passord men.. Lenke til kommentar
Bolson Skrevet 6. juni 2012 Del Skrevet 6. juni 2012 Men jeg har ikke noe passord fra linkedin. Betyr det da at jeg "trygg" denne gangen? Da er det ingen fare "denne" gangen. @ATWindsor og @Dj_Evelen Det er da ikke direkte fornuftig å bruke samme passord på alle tjenester (100+) - det er nemlig garantert at et av disse stedene vil ha elendig sikkerhet. Jeg synes det er uproblematisk å bruke "ulike" passord, det finnes gode verktøy for å "huske" passord samt "regler" for passordnivåer man kan bruke. Verktøyene har også den fordel at man får oversikt over hvor man har kontoer. Det er faktisk et større problem for meg enn å holde orden på en god del passord. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå