Facebook sjekker om passordet ditt ligger ute på «det svarte markedet»

[Kurt Lekanger]

Les om hvordan Facebook prøver å sikre verdens største sosiale nettverk.

Facebook sjekker om passordet ditt ligger ute på «det svarte markedet»

[Eplekatt]

Mistenksomt, blir et passord testet, så kan det også brukes i bruteforce.

 

Siden dem som eier den passord testeren på det svarte markede kan også see hvilken passord som blir testet

[0laf]

Mistenksomt, blir et passord testet, så kan det også brukes i bruteforce.

 

Ikke helt, ofte når store nettsteder hackes laster hackeren ned databasen, som altså inkludere passordene.

De aller fleste oppegående nettsider benytter hashing og salting før passord lagres, men listene det er snakk om er altså passordene i klartekst, enten fordi nettstedet har lagret passordene i klartekst, eller fordi listene allerede er dekodet.

 

En hel del slike lister ligger allerede åpent tilgjengelig på nett.

I tillegg selges det lister på det svarte markedet, som inneholder passord, og enkelte ganger også kombinasjoner av brukernavn og passord, som er stjålet fra diverse nettsider relativt nylig. Man kan til og med regelmessig få kjøpt lister med facebook-kontoer som er hacket, på steder som Darkc0de osv.

 

Det Facebook gjør, er å kjøpe disse listene, tilsynelatende av et annet selskap som frekventerer de mørkere hjørnene av nettet, som igjen kjøper fra hackere.

Så benytter Facebook sin egen algoritme for hashing og salting av passordene, for å så kjøre tester mot sin egen database for å se om det finnes brukere som har benyttet disse passordene og/eller brukernavnene.

 

Facebook lagrer altså ikke passordet ditt, men en hash, og må derfor sammenligne mot alle passordene på disse listene etter at de er hashet på samme vis. Dette er naturligvis ressurskrevende, å teste milliarder av passord mot lister på tusenvis, kanskje hundretusenvis av passord.

 

Nå har det jo også blitt stadig vanligere å benytte kjente lister, samt ordlister, for å kontrollere passordene nye brukere velger, slik at de ikke allerede finnes på lister som ofte benyttes av hackere. og dette er mer trivielt å sette opp, ved at man lagrer passordlistene i en database, og sjekker det brukeren taster inn opp mot den databasen.

 

Å teste hasher av passord som er lagret hos Facebook mot slike lister, åpner på ingen måte for bruteforce, man kan nok anta at Facebooks innlogging har systemer som hindrer den slags, og at man ikke kan forsøke et par millioner passord uten å bli stengt ute relativt raskt.

Endret 10. november 2016 av adeneo

[tommyb]

Jeg har sett andre som gjør dette samme tiltaket - å advare deg dersom passordet ditt matcher en kjent breach. Men... salt...

 

Forøvrig er jeg positiv til det om seriøse aktører kan gjøre meg slike tjenester. Det er bare det at Facebook er ikke en slik tillitvekkende aktør i mine øyne.

[yhagger]

Alle bør registrere seg på https://haveibeenpwned.com/ der man får beskjed om når kontoene dine har blitt hacket. Troy Hunt som driver denne siden får ofte tilgang på dataene som blir lekket og solgt og legger de ut her til alle. Dermed kan man sjekke om man ligger inne i disse og bytte passord på den tjenesten som faktisk har blitt hacket og ikke bare Facebook.

[LMH1]

Hvordan kan man vite den siden ikke driver med phishing svindel\reklame etc?

Selv syns jeg det er usikkert å være registert på slike sider.

 

Ekstra kritisk er det når sidene ikke har 2 veis innlogging.

[yhagger]

Hvordan kan man vite den siden ikke driver med phishing svindel\reklame etc?

Selv syns jeg det er usikkert å være registert på slike sider.

 

Ekstra kritisk er det når sidene ikke har 2 veis innlogging.

Din skepsis er bra, men på denne siden er den ubegrunnet. Dette er et prosjekt Troy Hunt sikkerhetsekspert fra Autralia som driver på frivillig basis. Siden blir også referert til når det er slike saker oppe i media stort sett. Digi har også referert til denne siden og også New York Times har henvis til siden og mannen bak: http://www.nytimes.com/2016/06/07/technology/if-mark-zuckerberg-can-be-a-hacking-victim-so-can-you.html?_r=0

 

Det har også stått flere store artikler om Have I Been Pwned i anerkjente medier.

 

Who is behind Have I been pwned?

I'm Troy Hunt, a Microsoft Regional Director and Most Valuable Professional awardee for Developer Security, blogger at troyhunt.com, international speaker on web security and the author of many top-rating security courses for web developers on Pluralsight.

 

I created Have I been pwned? as a free resource for anyone to quickly assess if they may have been put at risk due to an online account of theirs having been compromised or "pwned" in a data breach. I wanted to keep it dead simple to use and entirely free so that it could be of maximum benefit to the community.

 

Short of the odd donation, all costs for building, running and keeping the service currently come directly out of my own pocket. Fortunately, today's modern cloud services like Microsoft Azure make it possible to do this without breaking the bank!