Gjest Marius B. Jørgenrud Skrevet 31. august 2016 Del Skrevet 31. august 2016 – Dette kan fort bli en tøff ryddejobb også for norske bedrifter, mener norsk ekspert.Dropbox løy om kjempeinnbrudd. Ble frastjålet 68 millioner kontoer Lenke til kommentar
Spoki0 Skrevet 31. august 2016 Del Skrevet 31. august 2016 Håper jo nesten at noen saksøker Dropbox på bakgrunn av at noen har stjålet data fra kontoen deres ila. de 3-4 årene passord nå har vært på avveie. Sånn for å poengtere hvor idiotisk det er å holde dette skjult. 2 Lenke til kommentar
ATWindsor Skrevet 31. august 2016 Del Skrevet 31. august 2016 Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden. AtW 2 Lenke til kommentar
abooAyoob Skrevet 31. august 2016 Del Skrevet 31. august 2016 Håper jo nesten at noen saksøker Dropbox på bakgrunn av at noen har stjålet data fra kontoen deres ila. de 3-4 årene passord nå har vært på avveie. Sånn for å poengtere hvor idiotisk det er å holde dette skjult. Det beste og mest effektive hadde vært om folk byttet til en annen tjeneste... De fortjener ikke kundene sine når de oppfører seg sånn, jeg sletter gratiskontoen nu. 1 Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 31. august 2016 Del Skrevet 31. august 2016 (endret) Det som er blitt stjålet er ikke passord, men lister med "passord signaturer" (hash).Eventuelle kjeltringer må altså komme opp med et passord som stemmer med signaturen til den konto de ønsker å benytte. Her er en nettside som lar deg kalkulere ulike "passord signaturer", via ulike hash-kalkulasjons varianter. Steder som dropbox lagrer altså ikke passordet ditt, men "hash resultatet" (resultatet av hash kalkulasjonen).Raske hash-algoritmer som SHA-1 (20-byte hash, laget av NSA) blir svake når passordet er svakt/kort. De som benytter lange passord er relativt sikre nesten uansett hvilken rutine som benyttes. Dette fordi tegnene i selve passordet blir en del av beregningene som foretas i hash rutinen. Tillegg; Det ligger lister med "passord signaturer" over de mest benyttede passord på nettet. Rundt ti millioner ulike passord, med "passord signatur" for alle beregningsmetodene. Så; Det er langt bedre at du som bruker benytter et sterkt, eget, passord enn at tjenesten kjører med en "sikker" hash-algoritme. Tillegg 2: Dessuten er det normalt at tjenester benytter "salt". De gjør om passordet via kode før de beregner hash verdien som deretter lagres. F.eks legger til "123" foran og "456" bak alle passord, så passordet "hei" gjøres om til "123hei456". Det betyr at eventuelle tyver må få tak i "salt" metoden i tillegg til listen med "passord signaturer". Endret 31. august 2016 av Slettet-Pqy3rC Lenke til kommentar
VS6F2053 Skrevet 31. august 2016 Del Skrevet 31. august 2016 Det betyr at eventuelle tyver må få tak i "salt" metoden i tillegg til listen med "passord signaturer". Nja. Saltet er ikke enda en hemmelighet tyvene skal trenge å finne, men en måte for å få hashen til like passord (password123) til å bli forskjellige. Dette er for å unngå rainbow-table angrep. Saltet er derfor unikt for hvert passord og ofte lagret i klartekst sammen med passord-hashen. 1 Lenke til kommentar
Frobe Skrevet 31. august 2016 Del Skrevet 31. august 2016 Glad jeg bruker 2-faktor innlogging. Da er kontoen tryggere, og jeg får vite det i løpet av sekunder hvis noen har funnet passordet mitt og prøvd å logge seg på. Lenke til kommentar
omnomnom Skrevet 31. august 2016 Del Skrevet 31. august 2016 .... Tillegg 2: Dessuten er det normalt at tjenester benytter "salt". De gjør om passordet via kode før de beregner hash verdien som deretter lagres. F.eks legger til "123" foran og "456" bak alle passord, så passordet "hei" gjøres om til "123hei456". Det betyr at eventuelle tyver må få tak i "salt" metoden i tillegg til listen med "passord signaturer". Er du en del av hack'en, og har samme passord nå (eller husker det fremdels), og har tilgang på den lekkede hash'en til din bruker, kan du bruke det ene passordet som "rainbow"-list og kan reversere hash'en ganske enkelt (enten det er sha-1 eller bcrypt). Bruker de helt random "salt", er det ikke så problematisk for de som er lagret med bcrypt. Viser det seg derimot at det er en salt-algoritme, så er det med en gang mye verre, selv for de lagret med bcrypt. Men største problemet her, er jo at Dropbox har prøvd å skjule dette så lenge som mulig. På 4år, så er det godt mulig at flere av disse hash'ene faktisk er reversert og solgt videre. Lenke til kommentar
Marsmarken Skrevet 1. september 2016 Del Skrevet 1. september 2016 Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden. Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail. Men det har vært en strøm av svindelforsøk det siste døgnet av mailer som gir seg ut for å være fra Dropbox. Hvis du trykka på link i mailen og skiftet så har passordet ditt allerede blitt tatt. Gå inn på dropbox.com via browser og skift på nytt umiddelbart! Lenke til kommentar
ZoRaC Skrevet 1. september 2016 Del Skrevet 1. september 2016 Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden. Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail. Joda, jeg har fått denne eposten må alle mine Dropbox-kontoer: "Hi <navn på konto>, We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience. To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at [email protected]. Thanks, The Dropbox Team " 3 Lenke til kommentar
Suppen Skrevet 1. september 2016 Del Skrevet 1. september 2016 Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden.Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail. Joda, jeg har fått denne eposten må alle mine Dropbox-kontoer: "Hi <navn på konto>, We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience. To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at [email protected]. Thanks, The Dropbox Team " Jeg fikk også denne. Glad jeg aldri egentlig har brukt Dropbox. Har bare en tom konto Lenke til kommentar
Marsmarken Skrevet 1. september 2016 Del Skrevet 1. september 2016 Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden. Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail. Joda, jeg har fått denne eposten må alle mine Dropbox-kontoer:"Hi , We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience. To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at [email protected]. Thanks, The Dropbox Team " OK. Ser legit ut. Flere av mine brukere (som ikke bruker dropbox) har fått phishing-mail, mens ingen av de som faktisk har dropbox har fått ekte advarsel. Lenke til kommentar
Frobe Skrevet 1. september 2016 Del Skrevet 1. september 2016 (endret) Her er den norske teksten jeg fikk 27. august, og Gmail gikk god for at den ikke var spam/phishing: Hei, Frode!Vi tar kontakt med deg for å opplyse om at dersom du ikke har oppdatert Dropbox-passordet siden midten av 2012, vil du bli bedt om å oppdatere det den neste gangen du logger deg på. Dette er kun et forebyggende tiltak, og vi beklager bryet det eventuelt medfører.Hvis du vil finne ut mer om hvorfor vi tar denne forholdsregelen, kan du gå til denne siden i hjelpesenteret. Hvis du lurer på noe, er det bare å ta kontakt med oss på [email protected].Takk skal du ha!Dropbox-teamet Endret 1. september 2016 av Frobe Lenke til kommentar
olsru01 Skrevet 4. september 2016 Del Skrevet 4. september 2016 "Ryddejobb for norske bedrifter"? Hvis norske bedrifter bruker en "consumer grade" tjeneste og legger viktig informasjon ut der fortjener de ikke bedre. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå