Gå til innhold

Spotify for dårlig sikret?


Anbefalte innlegg

Videoannonse
Annonse

Jeg fikk denne mailen fra spotify i går, men jeg fikk intrykk av at dette var noe som hadde skjedd før 19. desember og de har reparert det, men de oppdagen nå at det var en trussel mot passord.

(correct me if im wrong, jeg kan absolutt ha misforstått engelsken i mailen)

Grunnen til at kredittkort informasjon ikke var truet var at det hånderes av et 3parts program som ikke bøe påvirket av dette.

Lenke til kommentar

Trist at ingen nettaviser klarer å få dette riktig.

 

Dette er null sikkerhetsproblem for din lokale maskin. Det eneste som risikeres er at Spotify passordet ditt kan avsløres.

 

I tillegg må de vite eller gjette brukernavnet ditt for å i det hele tatt få tak i det de trenger for å forsøke å knekke passordet.

 

Generelt et gigantisk ikke-tema. Men, klart, bruker du samme brukernavn og passord på Spotify som på kontrollene for å fyre av atomraketter kan det være lurt å bytte passord begge steder.... Just in case.

 

Jeg har ikke fått noe e-post fra Spotify ... Betyr det at jeg ikke er rammet? Ikke at det er noe problem å skifte passord, bare lurer.

Mulig du opprettet konto etter at de rettet hullet i desember?

Lenke til kommentar

Det kan være noe som at de ikke har kryptert passordene til brukere som registrerte seg før den datoen.

 

Mitt passord har jeg sålangt testet med en umodifisert OPH-crack CD, og det ble ikke knekt. Jeg håper dog at dette angrepet var en advarsel om et sikkerhetshull. For de absolutte konsekvensene til dette kan være dårlig lys for Spotify.

Lenke til kommentar
Passordene skal riktignok være krypterte

 

De er vel ikke krypterte, men hashet. De kan dermed bare finnes med rainbow-tables (pre-hashede ord) og ikke med brute force.

Så er hashet passord er ikke kryptert?

 

Man kan bruke rainbow tables, eller brute force....

 

Dessuten gjetter jeg på at Spotify har brukt dobbelkryptering og salting i krypteringsalgoritmen sin. Sann som alle andre smarte folk gjør.

 

Står heller ingenting om hvilken krypteringsmetode de har brukt, men det er vel kanskje informasjon som spotify ikke vil oppgi?

 

edit: Matsemann skrev visst dette før meg ^^

Endret av Equerm
Lenke til kommentar

Et hashet passord er ikke kryptert i den forstand at noe kryptert alltid kan bli endret tilbake til det originale om man kjenner krypteringsnøkkelen. Mens hashing er en enveis-funksjon, og man kan ikke få tilbake det originale om man kjører den baklengs.

 

Hva mener du med dobbelkryptering? Så lenge man har hasher hjelper det lite å gjøre det flere ganger.

Det er ikke vits å hashe flere ganger med samme verdi. Det gjør det ikke mer sikkert, slik mange vil tro. Det virker logisk, men resultatet er et ca. like stort tall uansett. Uansett hva som hasher, får man et tall innen en bestemt range, 128bit. Det er minst like stor sjanse for at man ved en brute-force treffer på en annen verdi, som gir samme hash, enn den opprinnelige hashen. En annen verdi med samme hash vil gjøre akkurat samme nytten som den egentlige verdien, ettersom begge vil gi samme resultat.
Lenke til kommentar

Med dobbel hashing mener jeg f.eks

 

md5('test') = 098f6bcd4621d373cade4e832627b4f6

 

sha1('098f6bcd4621d373cade4e832627b4f6') = da39a3ee5e6b4b0d3255bfef95601890afd80709

 

mh5('da39a3ee5e6b4b0d3255bfef95601890afd80709') = 0144712dd81be0c3d9724f5e56ce6685

 

Det er vel en hensikt i det?

Endret av Equerm
Lenke til kommentar

Synes det er lattlig at folk hacker spotify! det er jo den enste løsningen som har kommet mot fildeling som funker!

Så på NRK her om dagen om utalsen til kulturminsteren til platebransjen. Da svarte platebransjen med at de har lagd spotify! åå så sur jeg ble!! herregud, de har jo ikke lagd den, de har kommet med musikk. Og mange platebransjer har ikke en gang lagt ut sangene sine og noen blokerer sangene sine. De bør få opp øya!

Lenke til kommentar
Med dobbel hashing mener jeg f.eks

 

md5('test') = 098f6bcd4621d373cade4e832627b4f6

 

sha1('098f6bcd4621d373cade4e832627b4f6') = da39a3ee5e6b4b0d3255bfef95601890afd80709

 

mh5('da39a3ee5e6b4b0d3255bfef95601890afd80709') = 0144712dd81be0c3d9724f5e56ce6685

 

Det er vel en hensikt i det?

Hvis hensikten er å gjøre det mindre sikkert, så ja. Dobbelt hashing er ganske ubrukelig, da en md5 hash bare er en 32 tegns streng med tegn mellom 0-f, dvs. 16^32 forskjellige muligheter ...

Lenke til kommentar

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

Laster...
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...