Nilsen Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Laber sikkerhet ga full tilgang til passordene. Foto.no er hacket: Over 90 000 passord kan være tatt Lenke til kommentar
AnaXyd Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Dette er så ekstremt typisk! Leverandører som ikke har respekt noe så enkelt som passord. Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. Det beste er jo å salte, selvsagt. Men å lagre i klartekst, det er jo helt villt. Er liksom ikke så fryktelig vanskelig å være hacker da. Dette ser jeg så mange steder, igjen og igjen. Noen ganger kan det være positivt at hackere "minner på" leverandørene om dette, for dette er dårlig fokus på sikkerhet. Var vel litt dette PSN ble hacket for i sin tid også, kredittkortopplyninger ble sendt via et call og lagret i klartekst. 1 Lenke til kommentar
XmasB Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Så i verste fall kan de som får tar tak i passord egentlig bare søke hashen i google of svar der... Imponerende. At ikke samtlige nettsider med mer enn to brukere har gått over rutinene sine etter innbruddene som har vært de senere år forstår jeg ikke. Å lagre passord på en sikrere måte er ikke så komplisert. Etter å ha gått på noen smeller siste årene, med bruker hos flere av de som har blitt hacket, har jeg endret passord på de fleste steder jeg har konto (som jeg kom på og som betyr noe). Totalt over 120 nettsider ifølge "safen". Unike passord som er lette å huske med en snittlengde på 20 tegn burde gjøre susen. 1 Lenke til kommentar
maedox Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 ...Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. ... Nei, i 2012 er det faktisk ikke greit. Bruker du MD5 til passord-hashing har du ingenting å gjøre som utvikler for offentlige løsninger. MD5 rainbow tables kan lastes ned for alle mulige passord opptil 8 tegn, og lengre passord koster deg noen få dollar å knekke via f.eks. cloudcracker.com. SHA-1 er bedre, men fortsatt ikke bra. SHA-256 med tilfeldig salt er minimum av hva som bør kunne forventes. Det finnes så mange ferdige kodesnutter og biblioteker for dette at det er latterlig at ikke alle tar til vett og benytter "best-practice" på dette området. 2 Lenke til kommentar
Tan28 Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 At ikke samtlige nettsider med mer enn to brukere har gått over rutinene sine etter innbruddene som har vært de senere år forstår jeg ikke. Det er vel den gode, gamle "men det skjer jo ikke med oss!" som slår inn... 1 Lenke til kommentar
sikotryne Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Får alltid en bad feeling når en trykker lost password og de sender tilbake passordet istedet for å generere ett nytt. Det er urovekkende mange som gjøre det ennå .. 2 Lenke til kommentar
AnaXyd Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 ...Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. ... Nei, i 2012 er det faktisk ikke greit. Bruker du MD5 til passord-hashing har du ingenting å gjøre som utvikler for offentlige løsninger. MD5 rainbow tables kan lastes ned for alle mulige passord opptil 8 tegn, og lengre passord koster deg noen få dollar å knekke via f.eks. cloudcracker.com. SHA-1 er bedre, men fortsatt ikke bra. SHA-256 med tilfeldig salt er minimum av hva som bør kunne forventes. Det finnes så mange ferdige kodesnutter og biblioteker for dette at det er latterlig at ikke alle tar til vett og benytter "best-practice" på dette området. Det jeg mente, er at det er uendelig mye bedre enn å lagre passord i klartekst, noe mange gjør. Det er mange tjenester jeg bruker og har brukt som har en passord-gjenoppretting som gjør at du får passordet ditt på mail. Ja, det reelle passordet! Lenke til kommentar
radivx Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 ...Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. ... Nei, i 2012 er det faktisk ikke greit. Bruker du MD5 til passord-hashing har du ingenting å gjøre som utvikler for offentlige løsninger. MD5 rainbow tables kan lastes ned for alle mulige passord opptil 8 tegn, og lengre passord koster deg noen få dollar å knekke via f.eks. cloudcracker.com. SHA-1 er bedre, men fortsatt ikke bra. SHA-256 med tilfeldig salt er minimum av hva som bør kunne forventes. Det finnes så mange ferdige kodesnutter og biblioteker for dette at det er latterlig at ikke alle tar til vett og benytter "best-practice" på dette området. ASP.NET har som standard SHA-1 + Salting. Er nok (desverre?) Microsoft som setter standarden for enterprise sikkerhet Lenke til kommentar
Horrorbyte Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Jeg har gitt opp den gamle praksisen min med å ha noen få passord som brukes på flere mindre viktige sider. Nå velger jeg unike passord som jeg ikke engang prøver å huske, og så velger jeg glemt passord neste gang jeg må logge inn. Da holder det å huske noen få passord, som til gjengjeld er så lange og kompliserte at det ikke ligner grisen. Og nåde den siden som sender meg passordet tilbake i klartekst når jeg velger glemt passord... Lenke til kommentar
:Francis: Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 ASP.NET har som standard SHA-1 + Salting. Er nok (desverre?) Microsoft som setter standarden for enterprise sikkerhet Dette ble endret i ASP .NET 4. ASP.NET uses both encryption and hashing algorithms to help secure data such as forms authentication cookies and view state. By default, ASP.NET 4 now uses the HMACSHA256 algorithm for hash operations on cookies and view state. Earlier versions of ASP.NET used the older HMACSHA1 algorithm. http://www.asp.net/whitepapers/aspnet4/breaking-changes#0.1__Toc256770148 Francis Lenke til kommentar
Rudde Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Syns det skal være ett krav om at brukeren informeres om at passord lagres i klartekst eller at det rett og slett sulle vært forbudt og ha passord lagret i klartekst, burde komme en statsdirigering av hvordan sensitiv data skal behandles, lovpålagt. 3 Lenke til kommentar
j0achim Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Ufattelig... Det å lage seg en hash som er så og si umulig eller krever ekstreme resurser å reversere er jo på absolutt ingen måte en heksekunst, selv har jeg valgt å gå for en løsning hvor jeg bruker Brukernavn (alltid epost lower case) + salt (20 karakterer med tall bokstaver symboler, upper and lower case) + passord (som også må være minimum 8 karakterer langt, og inneholde tall / bokstaver / symboler upper lower case, og minimum inneholde 3 av gitte kategorier) f.eks Tall, bokstaver upper and lower, eller tall + bokstaver upper or lower + symboler. osv osv... En epost addresse vil i så å si alle tilfeller være 10 karaterer eller lengre. pluss passord som er minst 8 karakterer. Pluss 20 karakterer salt, altså ett minimum på 38 karakterers hash. Som igjen inneholder en eller annen form for alle mulige karakterer. For å knekke en slik hash sitter men på en ufattelig heftig rainbow table. Så igjen for å sikre bruker data, lagres personinformasjon i egen tabell med hash + en secret key som "bare" sql vet som kan f.eks være passordhash + secret som igjen blir en ny hash. Og dermed får en tak i person informasjon for å så koble dette mot bruker må du igjen sitte på en rainbow table for hver enkelt relasjon mellom tabellene. Som også kan gjøres mye vanskeligere å knekke. Lenke til kommentar
XmasB Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Jeg har gitt opp den gamle praksisen min med å ha noen få passord som brukes på flere mindre viktige sider. Nå velger jeg unike passord som jeg ikke engang prøver å huske, og så velger jeg glemt passord neste gang jeg må logge inn. Da holder det å huske noen få passord, som til gjengjeld er så lange og kompliserte at det ikke ligner grisen. Og nåde den siden som sender meg passordet tilbake i klartekst når jeg velger glemt passord... Hørtes slitsomt ut med mindre du er særdeles lite aktiv på nett. Om du finner et standard passord som er noenlunde sikkert så kan du bare legge på f.eks en eller flere bokstaver (f.eks de to første) fra navnet på nettsiden det tilhører, og vips så har du sånn passe unike passord i det minste. Eller du kan bruke hele navnet, eller en variant av det, så har du rimelig unike passord som er lette å huske. Jeg "husker" rundt 120 passord med dette systemet, og trenger ikke bekymre meg nevneverdig om noen passord kommer på avveie. 1 Lenke til kommentar
Heilage Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Det er da ikke vanskelig å lage en funksjon som både hasher til SHA512 og har salt, så jeg skjønner ikke at det ikke ble gjort tidligere. Litt knot er det jo med etablerte nettsider, men likevel. *sjekke om jeg fortsatt har konto hos foto.no* 1 Lenke til kommentar
AnaXyd Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Det er jo litt knot såklart, koster sikkert fort noen titusener å foreta en slik oppgradering, men helt nødvendig knot nå i 2012. Syntes det er mangel på respekt at firmaer ikke gjør disse nødvendige sikkerhetstiltakene. Det er nettopp kostnaden ved å oppgradere mange kanskje kvier seg for, og krysser fingrene og lar skuta seile. Og når det først oppstår, tar de det da. "Vi tar det når det kommer" - ideologi. Lenke til kommentar
KnutIvars Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Whopsie... oppdaget at samme epostkonto og passord var koblet til PayPal kontoen min..... Gjett hvem som har byttet Paypal passord... ;-) ......... men å lagre i klartekst og sende ut passord i klartekst burde være forbudt med lov dersom man driver noe annet enn et fritidsprosjekt på si. Lenke til kommentar
Gjest Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 SHA*-baserte passordlagringssystemer, uansett hvor saltede de er, er i praksis kun marginalt bedre enn å lagre passord i klartekst. Med dagens GPU-baserte passordcrackingløsninger bør man holde seg langt unna hashingalgoritmer som ikke er spesifikt lagd med tanke på passord, f.eks BCrypt. Les mer her: http://codahale.com/how-to-safely-store-a-password/ Lenke til kommentar
kvakse Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 *sjekke KeepassX* Ah... Bra å se at jeg har brukt et unikt, 20 tegn langt passord på foto.no Lenke til kommentar
Horrorbyte Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Hørtes slitsomt ut med mindre du er særdeles lite aktiv på nett. Om du finner et standard passord som er noenlunde sikkert så kan du bare legge på f.eks en eller flere bokstaver (f.eks de to første) fra navnet på nettsiden det tilhører, og vips så har du sånn passe unike passord i det minste. Eller du kan bruke hele navnet, eller en variant av det, så har du rimelig unike passord som er lette å huske. Jeg "husker" rundt 120 passord med dette systemet, og trenger ikke bekymre meg nevneverdig om noen passord kommer på avveie. Jeg er særdeles aktiv på nettet, men det betyr jo ikke at jeg må logge inn på nytt hver dag på alle tjenester. Passord og sesjoner som er lagret på PC og mobil er sikret ved at disse enhetene er kryptert, slik at jeg ikke trenger å bekymre meg selv om enhetene blir stjålet. Jeg er ikke tilhenger av å bruke et standardpassord der man bare varierer navnet på tjenesten. Slik jeg har det nå, så er det ingenting spesielt som går igjen i de ulike passordene. De er tilfeldige, og veldig lange. Dermed finnes de ikke i de ordlistene som sirkulerer på nettet, og selv om noen skulle få hendene på ett av dem så har de ikke tilgang til noen andre tjenester. Lenke til kommentar
GCardinal Skrevet 25. oktober 2012 Del Skrevet 25. oktober 2012 Og uansett hvor mye de fucker opp, så er det ingen konsekvenser. 2 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå