Gå til innhold

Er ditt passord trygt? Sjekk mot denne databasen med 306 millioner hackede passord

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-376f9

Gjest Slettet-376f9

Skrevet
Skrevet (endret)

Hvordan i granskauen får du tak i 306 millioner passord uten å være kriminell? Og hvordan vet du at det er lekkede passord?

 

AHA! Passord som sjekkes mot databasen legges INN i databasen og anses som lekkede.

Endret av Slettet-376f9
Lenke til kommentar
Gjest Slettet-376f9

Gjest Slettet-376f9

Skrevet
Skrevet

"Craig Smalley is eight years old, and is dying of cervical cancer. Before he dies, he wants to have the world's largest collection of credit card numbers, complete with exipration date and CVCcode. Please make a small boy happy and send your contribution to [email protected]."

Lenke til kommentar
0laf

0laf

Skrevet
Skrevet

Hvordan i granskauen får du tak i 306 millioner passord uten å være kriminell? Og hvordan vet du at det er lekkede passord?

 

Ligger åpent på nett, dersom man vet hvor man skal søke.

 

Et greit sted å starte er jo rett og slett Github -> https://github.com/danielmiessler/SecLists/tree/master/Passwords

 

 

Hvor lang tid vil det ta og for et programm og finne et passord om det består av 32 nummer og bokstaver ?

 

Det kommer an på maskinen, passordet, samt en rekke andre ting, men generelt sett vil det ta uendelig lenge på en vanlig datamaskin.

 

Dersom man sier at passordet har 36 mulige tegn, og en lengde på 32, så blir det 36^32, som gir ...

 

63 340 286 662 973 288 352 960 464 472 472 200 696 600 848 480 320

 

...mulige permutasjoner, som vil ta hundrevis av år gå igjennom.

 

Man kan selvfølgelig også være heldig å treffe på første forsøk, men sannsynligheten er altså 1 til ... nummeret ovenfor!

Lenke til kommentar
The Avatar

The Avatar

Skrevet
Skrevet (endret)

Hvordan i granskauen får du tak i 306 millioner passord uten å være kriminell? Og hvordan vet du at det er lekkede passord?

 

AHA! Passord som sjekkes mot databasen legges INN i databasen og anses som lekkede.

Det er vell helst at sålangt har databasen sjekka 306 millionar passord, etter at nestemann har sjekka så har databasen 306 000 001 passord. Endret av The Avatar
Lenke til kommentar
0laf

0laf

Skrevet
Skrevet

Det sjekkes altså om passordet er pwned, det er det dersom det finnes i de vanligste passordlistene.

 

Det har altså ingenting for seg at tjenesten lagrer passord etterhvert som de tastes inn, og så neste gang sier at passordet er pwned, da fungerer ikke tjenesten etter hensikten.

Lenke til kommentar
nomore

nomore

Skrevet
Skrevet

Det sjekkes altså om passordet er pwned, det er det dersom det finnes i de vanligste passordlistene.

 

Det har altså ingenting for seg at tjenesten lagrer passord etterhvert som de tastes inn, og så neste gang sier at passordet er pwned, da fungerer ikke tjenesten etter hensikten.

Alternativt aldri si at passordet er stjålet. Det vil jo være mot sin hensikt i seg selv for når folk blir klar over at passordet er stjålet blir det byttet. Enkleste er å lagre passordet og alltid si "ditt passord er trygt - vil du sjekke e-postadressen din også?". :)

Lenke til kommentar
Gjest Slettet-kZbtLvnJ

Gjest Slettet-kZbtLvnJ

Skrevet
Skrevet

alt som har blitt lagret google kontoen er blitt kjent, de som ikke har blitt lagret google konto er ukjent/safe.

Lenke til kommentar
tHz

tHz

Skrevet
Skrevet

Til de som ikke her forstår hva denne tjenesten gjør.

 

Den er satt opp av Troy Hunt, som er et kjent fjes innen utvikling/sikkerhet. Du finner blog, twitter og alt annet lett på google.

Han er ofte på konferanser og var sist på NDC (Norwegian Developer Conference) 2017 på Oslo spektrum i juni. 

Denne siden er nå så kjent at han blir kontaktet av folk som innehar datadump av logindetaljer fra forskjellige steder. 

 

Man skriver ikke inn passord, kun epost. Den sjekker da opp eposten mot diverse datadumps som ble lagt ut fra LinkedIn, Adobe, etc. 

Den sier kun om eposten finnes i noen av databasene, samt om passordet som tilhører var lett å hente ut (dårlig hash algoritmet etc).

 

Man legger med andre ord IKKE inn både brukernavn og passord.

 

Det er i det hele tatt en bra tjeneste.

Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Å legge inn e-post er jo etter min mening enda verre.

 

Dette er en relativt høyprofilert tjeneste, så dersom den skulle vise seg å være ondsinnet, vil det riste litt opp i miljøene. 

 

Når det er sagt, så har de altså *både* en tjeneste for å sjekke om eposten/brukernavnet ditt er stjålet, OG for å sjekke om passordet ditt er kjent. Legger du inn begge, burde du altså ha fulgt den instruksen om å kun teste passord du ikke lengre bruker. 

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...