Gå til innhold

Foto.no er hacket: Over 90 000 passord kan være tatt

Nilsen

Av Nilsen
i Diskuter dataartikler (Tek.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
AnaXyd

AnaXyd

Skrevet
Skrevet

Dette er så ekstremt typisk! Leverandører som ikke har respekt noe så enkelt som passord.

 

Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. Det beste er jo å salte, selvsagt. Men å lagre i klartekst, det er jo helt villt. Er liksom ikke så fryktelig vanskelig å være hacker da.

 

Dette ser jeg så mange steder, igjen og igjen. Noen ganger kan det være positivt at hackere "minner på" leverandørene om dette, for dette er dårlig fokus på sikkerhet.

 

Var vel litt dette PSN ble hacket for i sin tid også, kredittkortopplyninger ble sendt via et call og lagret i klartekst.

  • Liker 1
Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

Så i verste fall kan de som får tar tak i passord egentlig bare søke hashen i google of svar der... Imponerende.

 

At ikke samtlige nettsider med mer enn to brukere har gått over rutinene sine etter innbruddene som har vært de senere år forstår jeg ikke. Å lagre passord på en sikrere måte er ikke så komplisert.

 

Etter å ha gått på noen smeller siste årene, med bruker hos flere av de som har blitt hacket, har jeg endret passord på de fleste steder jeg har konto (som jeg kom på og som betyr noe). Totalt over 120 nettsider ifølge "safen". Unike passord som er lette å huske med en snittlengde på 20 tegn burde gjøre susen.

  • Liker 1
Lenke til kommentar
maedox

maedox

Skrevet
Skrevet
...

Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. ...

 

Nei, i 2012 er det faktisk ikke greit. Bruker du MD5 til passord-hashing har du ingenting å gjøre som utvikler for offentlige løsninger. MD5 rainbow tables kan lastes ned for alle mulige passord opptil 8 tegn, og lengre passord koster deg noen få dollar å knekke via f.eks. cloudcracker.com. SHA-1 er bedre, men fortsatt ikke bra. SHA-256 med tilfeldig salt er minimum av hva som bør kunne forventes. Det finnes så mange ferdige kodesnutter og biblioteker for dette at det er latterlig at ikke alle tar til vett og benytter "best-practice" på dette området.

  • Liker 2
Lenke til kommentar
AnaXyd

AnaXyd

Skrevet
Skrevet
...

Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. ...

 

Nei, i 2012 er det faktisk ikke greit. Bruker du MD5 til passord-hashing har du ingenting å gjøre som utvikler for offentlige løsninger. MD5 rainbow tables kan lastes ned for alle mulige passord opptil 8 tegn, og lengre passord koster deg noen få dollar å knekke via f.eks. cloudcracker.com. SHA-1 er bedre, men fortsatt ikke bra. SHA-256 med tilfeldig salt er minimum av hva som bør kunne forventes. Det finnes så mange ferdige kodesnutter og biblioteker for dette at det er latterlig at ikke alle tar til vett og benytter "best-practice" på dette området.

Det jeg mente, er at det er uendelig mye bedre enn å lagre passord i klartekst, noe mange gjør. Det er mange tjenester jeg bruker og har brukt som har en passord-gjenoppretting som gjør at du får passordet ditt på mail. Ja, det reelle passordet!

Lenke til kommentar
radivx

radivx

Skrevet
Skrevet
...

Det er greit å hashe det til MD5, SHA1 eller lignende, da har man ihvertfall prøvd litt. ...

 

Nei, i 2012 er det faktisk ikke greit. Bruker du MD5 til passord-hashing har du ingenting å gjøre som utvikler for offentlige løsninger. MD5 rainbow tables kan lastes ned for alle mulige passord opptil 8 tegn, og lengre passord koster deg noen få dollar å knekke via f.eks. cloudcracker.com. SHA-1 er bedre, men fortsatt ikke bra. SHA-256 med tilfeldig salt er minimum av hva som bør kunne forventes. Det finnes så mange ferdige kodesnutter og biblioteker for dette at det er latterlig at ikke alle tar til vett og benytter "best-practice" på dette området.

 

ASP.NET har som standard SHA-1 + Salting.

Er nok (desverre?) Microsoft som setter standarden for enterprise sikkerhet

Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet

Jeg har gitt opp den gamle praksisen min med å ha noen få passord som brukes på flere mindre viktige sider. Nå velger jeg unike passord som jeg ikke engang prøver å huske, og så velger jeg glemt passord neste gang jeg må logge inn. Da holder det å huske noen få passord, som til gjengjeld er så lange og kompliserte at det ikke ligner grisen. Og nåde den siden som sender meg passordet tilbake i klartekst når jeg velger glemt passord...

Lenke til kommentar
:Francis:

:Francis:

Skrevet
Skrevet

ASP.NET har som standard SHA-1 + Salting.

Er nok (desverre?) Microsoft som setter standarden for enterprise sikkerhet

 

Dette ble endret i ASP .NET 4.

 

ASP.NET uses both encryption and hashing algorithms to help secure data such as forms authentication cookies and view state. By default, ASP.NET 4 now uses the HMACSHA256 algorithm for hash operations on cookies and view state. Earlier versions of ASP.NET used the older HMACSHA1 algorithm.

 

http://www.asp.net/whitepapers/aspnet4/breaking-changes#0.1__Toc256770148

 

Francis

Lenke til kommentar
j0achim

j0achim

Skrevet
Skrevet

Ufattelig...

 

Det å lage seg en hash som er så og si umulig eller krever ekstreme resurser å reversere er jo på absolutt ingen måte en heksekunst, selv har jeg valgt å gå for en løsning hvor jeg bruker Brukernavn (alltid epost lower case) + salt (20 karakterer med tall bokstaver symboler, upper and lower case) + passord (som også må være minimum 8 karakterer langt, og inneholde tall / bokstaver / symboler upper lower case, og minimum inneholde 3 av gitte kategorier) f.eks Tall, bokstaver upper and lower, eller tall + bokstaver upper or lower + symboler. osv osv...

 

En epost addresse vil i så å si alle tilfeller være 10 karaterer eller lengre. pluss passord som er minst 8 karakterer. Pluss 20 karakterer salt, altså ett minimum på 38 karakterers hash. Som igjen inneholder en eller annen form for alle mulige karakterer. For å knekke en slik hash sitter men på en ufattelig heftig rainbow table.

 

Så igjen for å sikre bruker data, lagres personinformasjon i egen tabell med hash + en secret key som "bare" sql vet som kan f.eks være passordhash + secret som igjen blir en ny hash. Og dermed får en tak i person informasjon for å så koble dette mot bruker må du igjen sitte på en rainbow table for hver enkelt relasjon mellom tabellene. Som også kan gjøres mye vanskeligere å knekke.

Lenke til kommentar
XmasB

XmasB

Skrevet
Skrevet

Jeg har gitt opp den gamle praksisen min med å ha noen få passord som brukes på flere mindre viktige sider. Nå velger jeg unike passord som jeg ikke engang prøver å huske, og så velger jeg glemt passord neste gang jeg må logge inn. Da holder det å huske noen få passord, som til gjengjeld er så lange og kompliserte at det ikke ligner grisen. Og nåde den siden som sender meg passordet tilbake i klartekst når jeg velger glemt passord...

Hørtes slitsomt ut med mindre du er særdeles lite aktiv på nett.

Om du finner et standard passord som er noenlunde sikkert så kan du bare legge på f.eks en eller flere bokstaver (f.eks de to første) fra navnet på nettsiden det tilhører, og vips så har du sånn passe unike passord i det minste. Eller du kan bruke hele navnet, eller en variant av det, så har du rimelig unike passord som er lette å huske.

 

Jeg "husker" rundt 120 passord med dette systemet, og trenger ikke bekymre meg nevneverdig om noen passord kommer på avveie.

  • Liker 1
Lenke til kommentar
AnaXyd

AnaXyd

Skrevet
Skrevet

Det er jo litt knot såklart, koster sikkert fort noen titusener å foreta en slik oppgradering, men helt nødvendig knot nå i 2012. Syntes det er mangel på respekt at firmaer ikke gjør disse nødvendige sikkerhetstiltakene.

 

Det er nettopp kostnaden ved å oppgradere mange kanskje kvier seg for, og krysser fingrene og lar skuta seile. Og når det først oppstår, tar de det da. "Vi tar det når det kommer" - ideologi.

Lenke til kommentar
Horrorbyte

Horrorbyte

Skrevet
Skrevet

Hørtes slitsomt ut med mindre du er særdeles lite aktiv på nett.

Om du finner et standard passord som er noenlunde sikkert så kan du bare legge på f.eks en eller flere bokstaver (f.eks de to første) fra navnet på nettsiden det tilhører, og vips så har du sånn passe unike passord i det minste. Eller du kan bruke hele navnet, eller en variant av det, så har du rimelig unike passord som er lette å huske.

 

Jeg "husker" rundt 120 passord med dette systemet, og trenger ikke bekymre meg nevneverdig om noen passord kommer på avveie.

Jeg er særdeles aktiv på nettet, men det betyr jo ikke at jeg må logge inn på nytt hver dag på alle tjenester. Passord og sesjoner som er lagret på PC og mobil er sikret ved at disse enhetene er kryptert, slik at jeg ikke trenger å bekymre meg selv om enhetene blir stjålet. Jeg er ikke tilhenger av å bruke et standardpassord der man bare varierer navnet på tjenesten. Slik jeg har det nå, så er det ingenting spesielt som går igjen i de ulike passordene. De er tilfeldige, og veldig lange. Dermed finnes de ikke i de ordlistene som sirkulerer på nettet, og selv om noen skulle få hendene på ett av dem så har de ikke tilgang til noen andre tjenester.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...