Gå til innhold

Passord-tjeneste med millioner av brukere hacket. Eksperter kaller det hele en «pinlig» affære

Martin Braathen Røise

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
tHz

tHz

Skrevet
Skrevet

Du svarer ikke på spørmålet. Jeg bruker et system for å lage passord, jeg logger meg inn på en side med passord, som har hashen i sin database. Databasen kompromiteres, og de har min login, dvs min hash. Hvordan mener du det at jeg har et system gjør meg ytterlige utrygg enn om jeg ikke hadde det? (i praksis). Med en password-manager må man stole på andre, det er ikke noe mer sannsynlig at min metode kommer på avveie, enn at noen finner en lapp med passord innelåst i en safe jeg har hjemme, du kan kalle det security by obscurity siden man baserer seg på at ingen finner passordene, men det er særdelels usannsynlig, og i praksis har det vist seg at for "den gjengse mann", så er det ikke slik passord knekkes.

 

AtW

 

Kan du forklare litt mer hva du mener?

Hasher du passordet før du taster det inn? eller referer du til at en website lagrer passordet ditt i hashet format?

Lenke til kommentar
Deimos_Anomaly

Deimos_Anomaly

Skrevet
Skrevet (endret)

Du svarer ikke på spørmålet. Jeg bruker et system for å lage passord, jeg logger meg inn på en side med passord, som har hashen i sin database. Databasen kompromiteres, og de har min login, dvs min hash. Hvordan mener du det at jeg har et system gjør meg ytterlige utrygg enn om jeg ikke hadde det? (i praksis). Med en password-manager må man stole på andre, det er ikke noe mer sannsynlig at min metode kommer på avveie, enn at noen finner en lapp med passord innelåst i en safe jeg har hjemme, du kan kalle det security by obscurity siden man baserer seg på at ingen finner passordene, men det er særdelels usannsynlig, og i praksis har det vist seg at for "den gjengse mann", så er det ikke slik passord knekkes.

 

AtW

Med den logikken kan du like godt bruke samme passord overalt. Du baserer deg på at ingen vil kunne finne ut passordet du bruker på noen av tjenestene.

 

Edit:

Historien har vist at det er ikke alle tjenester som en gang hasher passord før de lagrer dem. MD5 er fortsatt en populær hash selv om den har vært regnet for å være fullstendig brukket i noen år nå. SHA1/SHA-160 har kjente svakheter og selv SHA256 er ikke nødvendigvis spesielt fremtidssikker om den ikke kjøres gjennom en nøkkelderiveringsalgoritme som PBKDF2. Det er rett og slett så mange pitfalls innen passordhashing at det er naivt å anta at en hvilken som helst spesifikk tjeneste har klart å gjøre det riktig.

Endret av Deimos_Anomaly
Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

 

Du svarer ikke på spørmålet. Jeg bruker et system for å lage passord, jeg logger meg inn på en side med passord, som har hashen i sin database. Databasen kompromiteres, og de har min login, dvs min hash. Hvordan mener du det at jeg har et system gjør meg ytterlige utrygg enn om jeg ikke hadde det? (i praksis). Med en password-manager må man stole på andre, det er ikke noe mer sannsynlig at min metode kommer på avveie, enn at noen finner en lapp med passord innelåst i en safe jeg har hjemme, du kan kalle det security by obscurity siden man baserer seg på at ingen finner passordene, men det er særdelels usannsynlig, og i praksis har det vist seg at for "den gjengse mann", så er det ikke slik passord knekkes.

 

AtW

 

Kan du forklare litt mer hva du mener?

Hasher du passordet før du taster det inn? eller referer du til at en website lagrer passordet ditt i hashet format?

 

 

Jeg referer til en webside som lagrer i hashet format.

 

AtW

Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

 

Du svarer ikke på spørmålet. Jeg bruker et system for å lage passord, jeg logger meg inn på en side med passord, som har hashen i sin database. Databasen kompromiteres, og de har min login, dvs min hash. Hvordan mener du det at jeg har et system gjør meg ytterlige utrygg enn om jeg ikke hadde det? (i praksis). Med en password-manager må man stole på andre, det er ikke noe mer sannsynlig at min metode kommer på avveie, enn at noen finner en lapp med passord innelåst i en safe jeg har hjemme, du kan kalle det security by obscurity siden man baserer seg på at ingen finner passordene, men det er særdelels usannsynlig, og i praksis har det vist seg at for "den gjengse mann", så er det ikke slik passord knekkes.

 

AtW

Med den logikken kan du like godt bruke samme passord overalt. Du baserer deg på at ingen vil kunne finne ut passordet du bruker på noen av tjenestene.

 

Edit:

Historien har vist at det er ikke alle tjenester som en gang hasher passord før de lagrer dem. MD5 er fortsatt en populær hash selv om den har vært regnet for å være fullstendig brukket i noen år nå. SHA1/SHA-160 har kjente svakheter og selv SHA256 er ikke nødvendigvis spesielt fremtidssikker om den ikke kjøres gjennom en nøkkelderiveringsalgoritme som PBKDF2. Det er rett og slett så mange pitfalls innen passordhashing at det er naivt å anta at en hvilken som helst spesifikk tjeneste har klart å gjøre det riktig.

 

 

Nei, det kan jeg ikke, fordi hashen ikke kan brukes flere steder. Og selv med en brukket hash er det ikke sikkert man får ut riktig passord, kun et passord som logger deg inn. Og selv om de skulle fiske fet ut må de sitte å manuelt gå igjen passord for å gjette at en random bruker har et system.

 

AtW

Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

 

Kan du forklare litt mer hva du mener?

Hasher du passordet før du taster det inn? eller referer du til at en website lagrer passordet ditt i hashet format?

 

Jeg referer til en webside som lagrer i hashet format.

 

AtW

 

Ok, da misforstod jeg. Men mye av det jeg skrev er fortsatt relevant. 

 

Nå du benytter et passord på en side er du aldri garantert at siden behandler passordet ditt riktig. Utallige credential-dumps har vist at det ofte er svakheter rundt dette.

Noen lagrer i klartekst, noen lagrer med utdaterte hash-algoritmer (f.eks. md5) eller usaltet. 

MD5 er stort sett ubrukelig i dag, spesielt uten salt. Selv med salt kan man stort sett knekke et passord på en hjemmemaskin uten for mye problem. 

 

Sjekk f.eks. haveibeenpwned.com. Sannsynligheten for at passord er på avveie er stor. Selv om denne kun viser "legitime" dumps.

 

Om noen får tak i passord på flere enn en side, vil de sannsynligvis kunne se et mønster. Dette kan også automatiseres. Da kan noen bruke din algoritme til å generere passord for å prøve tilganger mot alle sider, selv om de i seg selv ikke er lekket.

Lenke til kommentar
naldy

naldy

Skrevet
Skrevet (endret)

 

 

Gå gjerne inn på det tekniske. Vær spesifikk. Dette er tross alt et teknisk spørsmål. Jeg vil gjerne høre om de svake punktene ved løsningene jeg har valgt.

 

Jeg har ikke uttalt meg direkte om de løsningene du har valgt, men har utifra trådens tema omtalt sentrale løsninger som svake.

 

Hvilke løsninger har du valgt og hvorfor?

 

En passord manager som KeePass har i utgangspunktet ingen sentral lagrings -løsning. Databasen er beskyttet av kryptering utført av software som kjøres på din egen datamaskin (uavhengig av andre enheter), og krever et sertifikat bestående av en unik algoritme du selv har laget (uavhengig av andre enheter/instanser) + et personlig passord som du er nødt å huske selv, som ikke er lagret noe sted fysisk.

 

En løsning som Onelogin, 1password osv. er en løsning som er hostet online i en sentral løsning som i utgangspunktet er åpen og tilgjengelig for angrep fra alle og enhver. Løsningene er ikke bare avhengig av gode sikkerhetsrutiner og kunnskaper fra de som utvikler den spesifike tjenesten, men også at servere (og software) som hoster både websider, databaser også er sikre. Disse løsningene er ofte kjørt på et mangfold av servere og skyer og den potensielle katastrofen er et faktum. Nå er vi såvidt inne på den tekniske biten rundt server -sikkerhet og sikkerhet ved kommunikasjon mellom server (dine passord) og tjener (deg).

 

Hvor ofte leser vi ikke om at brukerdatabaser er utsatt for kompromiss? Tror de fleste av oss har opplevd opptil flere ganger hvor tjenester vi bruker på nett kommer med oppfordringer til å endre passord pga. ulike sikkerhetsbrudd.

 

 

Når det nevnes dobbel bekreftelse er dette klart en ekstra barriere som øker sikkerheten. Det er derimot viktig å huske på at mail er ikke en sikker kommunikasjonsløsning "ut av boksen". 

 

På et vist tidspunkt må vi alle og enhver ta et valg angående hvor sikre løsninger vi ønsker. Det er for mange like viktig at en løsning er lettvint og praktisk og derfor tar vi ofte i bruk løsninger som har svakheter.

Endret av ronorio
Lenke til kommentar
naldy

naldy

Skrevet
Skrevet

Joda, men siden tjenestene ikke har krypteringsnøkkelen og aldri noensinne har hatt den er det ingen data å stjele.

 

Og hvordan kommuniserer du denne nøkkelen med tjenesten når du skal åpne passordlisten din? 

  • Liker 1
Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

En løsning som Onelogin, 1password osv. er en løsning som er hostet online i en sentral løsning som i utgangspunktet er åpen og tilgjengelig for angrep fra alle og enhver. Løsningene er ikke bare avhengig av gode sikkerhetsrutiner og kunnskaper fra de som utvikler den spesifike tjenesten, men også at servere (og software) som hoster både websider, databaser også er sikre. Disse løsningene er ofte kjørt på et mangfold av servere og skyer og den potensielle katastrofen er et faktum. Nå er vi såvidt inne på den tekniske biten rundt server -sikkerhet og sikkerhet ved kommunikasjon mellom server (dine passord) og tjener (deg).

 

Du kan ikke sammenligne Onelogin og 1password. 

Svært forskjellig løsninger. Både teknisk og hensikt.

 

Så lenge nøkkel ikke lagres i skyen er det omtrent revnende likegyldig om kryptert data blir hentet ut.

Onelogin lagret tydeligvis nøkkel sammen med kryptert data (slik også dropbox lagringstjeneste gjør).

Det gjør ikke 1password/lastpass.

Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

 

Joda, men siden tjenestene ikke har krypteringsnøkkelen og aldri noensinne har hatt den er det ingen data å stjele.

 

Og hvordan kommuniserer du denne nøkkelen med tjenesten når du skal åpne passordlisten din? 

 

 

Det kommuniseres aldri med tjenesten. Det er hele poenget (noe onepass ikke har fått med seg).

Tjenesten gir deg kun krypterte data. Du taster inn masterpassword på din enhet, og passordene blir dekryptert på enheten.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

 

Joda, men siden tjenestene ikke har krypteringsnøkkelen og aldri noensinne har hatt den er det ingen data å stjele.

 

Og hvordan kommuniserer du denne nøkkelen med tjenesten når du skal åpne passordlisten din? 

 

 

Det kommuniseres aldri med tjenesten. Det er hele poenget (noe onepass ikke har fått med seg).

Tjenesten gir deg kun krypterte data. Du taster inn masterpassword på din enhet, og passordene blir dekryptert på enheten.

Og derfor som jeg poengterte i en tidligere post. KeePass, 1password og LastPass er altså basert på identisk måte å tenke på, og har samme sikkerhetsmessige design. 1password og LastPass kan defineres som KeePass med skylagring av den krypterte databasen.

 

Så bruker man KeePass i dag er 1password og LastPass i realiteten like trygge. Om ikke tryggere, da man neppe er flinkere enn sikkerhetsteama til 1password og LastPass til å sikre egne data. I tillegg har både 1password og LastPass gode 2FA løsninger, blant annet biometriske. Så kanskje er realiteten at de er sikrere enn KeePass.

  • Liker 1
Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet (endret)

 

 

Kan du forklare litt mer hva du mener?

Hasher du passordet før du taster det inn? eller referer du til at en website lagrer passordet ditt i hashet format?

 

Jeg referer til en webside som lagrer i hashet format.

 

AtW

 

Ok, da misforstod jeg. Men mye av det jeg skrev er fortsatt relevant. 

 

Nå du benytter et passord på en side er du aldri garantert at siden behandler passordet ditt riktig. Utallige credential-dumps har vist at det ofte er svakheter rundt dette.

Noen lagrer i klartekst, noen lagrer med utdaterte hash-algoritmer (f.eks. md5) eller usaltet. 

MD5 er stort sett ubrukelig i dag, spesielt uten salt. Selv med salt kan man stort sett knekke et passord på en hjemmemaskin uten for mye problem. 

 

Sjekk f.eks. haveibeenpwned.com. Sannsynligheten for at passord er på avveie er stor. Selv om denne kun viser "legitime" dumps.

 

Om noen får tak i passord på flere enn en side, vil de sannsynligvis kunne se et mønster. Dette kan også automatiseres. Da kan noen bruke din algoritme til å generere passord for å prøve tilganger mot alle sider, selv om de i seg selv ikke er lekket.

 

 

For det første, det som må lekke er passordet mitt, ikke et passord som generer en gyldig hash. Og ingen kommer til å gidde å lete etter noe mønster. Det er selvsagt teoretisk mulig, men jeg tviler på at det skjer i praksis. Om jeg er USAs president eller noe, joa seff, men som en random bruker? Ikke verd bryet.

 

AtW

Endret av ATWindsor
Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet

 

Er det bare meg som hater fokuset på tofaktor-autentisering? Det er såpass tungvindt at jeg vil reservere det for sider der man kan tappe meg for penger. Bare passord er tungvindt nok, spør du meg.

Dine data, ditt problem.

 

 

Det er ikke bare hans problem, det er ikke uten grunn ting som vipps blir mer pop og tar over for kortbetaling, at det er ekstremt tungvindt å betale med kort over nett er en av grunnene.

 

AtW

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...