834HF42F242 Skrevet 1. november 2006 Del Skrevet 1. november 2006 For de som bruker samme passord over alt, er det svært ille om noen kan hente ut slike opplysninger. Men såvidt meg bekjent er det en enveis-salting av passord som gjøres på alle skikkelige forum i det passordet legges inn i databasen Passordet skal være umulig å hente frem igjen, med mindre forumet inneholder en funksjon som sender gammelt passord, og ikke nytt passord, til brukeren i tilfelle "glemt passord". Lenke til kommentar
knatten Skrevet 1. november 2006 Del Skrevet 1. november 2006 Forumet kan ikke sende ut gammelt passord, rett og slett fordi forumet ikke vet hva passordet ditt er. Hasher kan ikke dekrypteres, men brute force kan i prinsippet fungere hvis man er ekstremt tålmodig. Lenke til kommentar
Onyx Skrevet 1. november 2006 Del Skrevet 1. november 2006 Har bytta passord nå. Er det trygt å bytte det tilbake til det gamle? Nei, byttet bør vere permanent. Dersom angriparen har kopiert delar av eller heile databasen kan han sitte med hashen til det gamle passordet ditt, og dersom han har tid og gidder kan han sette i gang å brute-force det (nokon andre kan forklare det, eg orkar ikkje ). Det tek lang tid. Leste ei bok for ei stund sida, trur den heitte "100 wireless hacks" eller noko liknande. Der blei hackar definert som ein som løyser problem på ein "dirty" måte, mens ein crackar er slem. Massemedia får skulda for å ha gjeve ordet hackar feil definisjon. Støttar denne forklaringa. Hva er sjansen for at akkurat du eller jeg blir logget på av en hacker/cracker, altså at de bruker brukernavnet og passordet de har lagret? Veldig liten. Vi er 101801 medlemmer, så sannsynligheten blir 1:101801. - Men jeg bytter passord for det. Lenke til kommentar
834HF42F242 Skrevet 1. november 2006 Del Skrevet 1. november 2006 Forumet kan ikke sende ut gammelt passord, rett og slett fordi forumet ikke vet hva passordet ditt er. Hasher kan ikke dekrypteres, men brute force kan i prinsippet fungere hvis man er ekstremt tålmodig. 7201168[/snapback] Ok, da bekreftes det jeg sa om at passordet enveis-saltes unikt i hvert tilfelle, og at det ikke finnes noen nøkkel for å dekrpytere det. Lenke til kommentar
Bytex Skrevet 1. november 2006 Del Skrevet 1. november 2006 Du skal ha sykt lite å gjøre hvis du begynner å bruteforce passord på et forum.. Lenke til kommentar
Canute Skrevet 1. november 2006 Del Skrevet 1. november 2006 (endret) Bah, står masse om det jeg skrev over. Endret 1. november 2006 av Canute Lenke til kommentar
834HF42F242 Skrevet 1. november 2006 Del Skrevet 1. november 2006 Har den som har gjort innbruddet hatt full tlgang til alle opplysninger i databasen altså? Hvis dere kan bekrefte/avkrefte det, så er det jo lettere for de som har like passord over alt å vite om det er en fare eller ei. Sitter det en person nå med kopi av brukerkontotabellen, så er det meget kjedelig... Lenke til kommentar
Canute Skrevet 1. november 2006 Del Skrevet 1. november 2006 Har den som har gjort innbruddet hatt full tlgang til alle opplysninger i databasen altså? Hvis dere kan bekrefte/avkrefte det, så er det jo lettere for de som har like passord over alt å vite om det er en fare eller ei.Sitter det en person nå med kopi av brukerkontotabellen, så er det meget kjedelig... 7201203[/snapback] Hvis man er administrator kan man etter det jeg husker, ta backup av databasen = du har tilgang til alle opplysninger. Lenke til kommentar
Dr3as Skrevet 1. november 2006 Del Skrevet 1. november 2006 Jaha, regner med at alt er tilbake til normalt når jeg våkner i morgen Kos dere med fixing i natt *love ya admins* Lenke til kommentar
834HF42F242 Skrevet 1. november 2006 Del Skrevet 1. november 2006 Via webgrensesnitt du tenker på nå? Det hørtes uvanlig ut at passordfeltet skal kunne være tilgjengelig selv for en administrator, med mindre man er direkte pålogget databasen med en databaseklient. Lenke til kommentar
Blib Skrevet 1. november 2006 Del Skrevet 1. november 2006 Det finnes oppslagsdatabaser for md5-hasha passord så du trenger ikke nødvendigvis brute force fra scratch. Hvis en så klarer å finne ut hva saltet er har en da plutselig tilgang til ganske mange passord. Dersom du bruker samme passord på Diskusjon.no som på f. eks epost-adressen din og andre steder er det like viktig at du endrer på disse sidene. Det er strengt tatt ikke særlig farlig om noen får logga seg inn her på din konto, men hvis de derimot kan logge seg inn på eposten din kan de fucke opp ganske betydelig Lenke til kommentar
knatten Skrevet 1. november 2006 Del Skrevet 1. november 2006 Man kan i prinsippet ta en database-backup via webgrensesnitt, men med den datamengden vi har er det ytterst usannsynlig at noen skal ha klart dette på den korte tiden det var snakk om. Lenke til kommentar
Canute Skrevet 1. november 2006 Del Skrevet 1. november 2006 Via webgrensesnitt du tenker på nå? 7201234[/snapback] Jepp. Nå er det ei stund siden jeg holdt på med IPB og kan være jeg blander med phpBB, men jeg mener det er ganske standard at du har tilgang til mye av databasen via webgrensesnitt. En ting jeg kom til å tenke på, databasen til diskusjon.no må være utrolig stor, så dersom man fikk reagert raskt så kanskje personen ikke fikk tak i noe som helst. Lenke til kommentar
Chakl Skrevet 1. november 2006 Del Skrevet 1. november 2006 Hadde dere noge lignendes log på hardware? Nov 01 17:55:10 Admin proftpd[xxxx]: (xxx.xxx.xx.xxx]) - USER Admin (Login failed): Incorrect password. Men uansett den så cracka fikla bare med template? ikke noe mer? Lenke til kommentar
Gaston Skrevet 1. november 2006 Del Skrevet 1. november 2006 Mine innlegg oversikten er fucka... Lenke til kommentar
L4r5 Skrevet 1. november 2006 Del Skrevet 1. november 2006 Man kan i prinsippet ta en database-backup via webgrensesnitt, men med den datamengden vi har er det ytterst usannsynlig at noen skal ha klart dette på den korte tiden det var snakk om. 7201272[/snapback] Hvor kort tid er det snakk om egentlig? Lenke til kommentar
834HF42F242 Skrevet 1. november 2006 Del Skrevet 1. november 2006 Kan ikke si jeg liker at all informasjon i min brukertabellrad kan hentes ut via webgrensesnitt annet enn til profilsiden. Lenke til kommentar
Abnegation Skrevet 1. november 2006 Del Skrevet 1. november 2006 Så, hva er det egentlig som har skjedd? Har en nørdemann på crackmagisk måte finni ut passordet til en administrator og føkka til mye på sida? Vil da denne administratoren ikke kunne logge seg inn på sin egen bruker ettersom passordet er mest sannynlig blitt endret da? Lenke til kommentar
Runar Skrevet 1. november 2006 Del Skrevet 1. november 2006 Man kan i prinsippet ta en database-backup via webgrensesnitt, men med den datamengden vi har er det ytterst usannsynlig at noen skal ha klart dette på den korte tiden det var snakk om. 7201272[/snapback] Så ingen fare? Den eller de som gjorde dette sitter ikke på en fil som inneholder alle passord/opplysninger om noen eller alle brukere? Lenke til kommentar
Nervetattoo Skrevet 1. november 2006 Del Skrevet 1. november 2006 Så, hva er det egentlig som har skjedd? Har en nørdemann på crackmagisk måte finni ut passordet til en administrator og føkka til mye på sida? Vil da denne administratoren ikke kunne logge seg inn på sin egen bruker ettersom passordet er mest sannynlig blitt endret da? 7201358[/snapback] Vi har byttet passord til samtlige brukere med ekstra rettigheter til forumet. Ellers har du skjønt tegninga rett Lenke til kommentar
Anbefalte innlegg