Ser du brukernavnet ditt her? Da er du i trøbbel

[MrL]

Dette var faen meg skummelt, fant også brukeren min i listen. Dog lastet jeg ned alle dokumentene og passordet var ikke lekket der. Heldigvis uannsett bruker jeg en del forskjellige passord så tror det går bra.

[evenandreas]

Er på lista men EA vil ikke sende meg en mail med nytt passord. FAEN!

[evenandreas]

Fikk byttet passord. Takker og bukker hardware.no for hjelpen!

[cfg]

Bare meg som virkelig elsker det faktum at LulzSec blei eid og ga opp? Nei? Tror ikke det er noen som har irritert meg mer den siste tida enn akkurat den scriptkid gruppa der..

 

Vitner jo om litt mangel på innsikt. LulzSec ble ikke "eid" av noen. I tillegg tror jeg ikke du får "scriptkids" til å gjenta det LulzSec gjorde.

 

Men det er jo flott du ikke er irritert lenger, da.

 

Neida de blei jo bare tatt ned av ei annen crackergruppe, ikke eid i det hele tatt der

 

 

Selvfølgelig finnes det sikker folk som faktisk kan noe innenfor LulzSec, eller hadde det vel ikke vært noe som helst som hadde skjedd, men har fortsatt en liten gnagende følelse som tilsier at det ikke var alle som hadde peiling i den gruppa!

[meg0709]

Tja, jeg fikk opp mitt "real nick" og det er strengt tatt bare 2 steder jeg bruker det nå idag og det er ikke på bf heroes, heller ikke når betaen pågikk, men krøyp nå til korset og skiftet pw motvillig, bruker det i bc2 og den der bf p4f.

Dette er sikkert like farlig som ett myggstikk, irriterende, men det går over.

 

Rart at ingenting skal få være i fred lenger, litt guttestreker er greit nok, men det fins alltids en grense, mulig disse har hatt en vond barndom, jeg har hagle i skapet så jeg kan avslutte de vonde minnene nokså kjapt.

Greit nok, dette er bare noen ubetydelige spill, men om man også tar for seg sony saken, så ja.

[Dipol]

Hadde e-postadressene også vært der, ville det blitt MYE værre!

Endret 30. juni 2011 av Dipol

[SvennAndre]

Noen her som sitter på den komplette lista ferdig hasha med passord i klartekst? Send meg en PM! (nei, jeg er ikke ute etter å skaffe listene selv).

[Lactulose]

Hei folk! Kom over et slags "avskjedsbrev" fra noen som kaller seg LulzSec (dvs. jeg vet ikke om det er de "ekte", men jeg antar det).

 

Enjoy "Friends around the globe,

 

We are Lulz Security, and this is our final release, as today marks something meaningful to us. 50 days ago, we set sail with our humble ship on an uneasy and brutal ocean: the Internet. The hate machine, the love machine, the machine powered by many machines. We are all part of it, helping it grow, and helping it grow on us.

 

For the past 50 days we've been disrupting and exposing corporations, governments, often the general population itself, and quite possibly everything in between, just because we could. All to selflessly entertain others - vanity, fame, recognition, all of these things are shadowed by our desire for that which we all love. The raw, uninterrupted, chaotic thrill of entertainment and anarchy. It's what we all crave, even the seemingly lifeless politicians and emotionless, middle-aged self-titled failures. You are not failures. You have not blown away. You can get what you want and you are worth having it, believe in yourself.

 

While we are responsible for everything that The Lulz Boat is, we are not tied to this identity permanently. Behind this jolly visage of rainbows and top hats, we are people. People with a preference for music, a preference for food; we have varying taste in clothes and television, we are just like you. Even Hitler and Osama Bin Laden had these unique variations and style, and isn't that interesting to know? The mediocre painter turned supervillain liked cats more than we did.

 

Again, behind the mask, behind the insanity and mayhem, we truly believe in the AntiSec movement. We believe in it so strongly that we brought it back, much to the dismay of those looking for more anarchic lulz. We hope, wish, even beg, that the movement manifests itself into a revolution that can continue on without us. The support we've gathered for it in such a short space of time is truly overwhelming, and not to mention humbling. Please don't stop. Together, united, we can stomp down our common oppressors and imbue ourselves with the power and freedom we deserve.

 

So with those last thoughts, it's time to say bon voyage. Our planned 50 day cruise has expired, and we must now sail into the distance, leaving behind - we hope - inspiration, fear, denial, happiness, approval, disapproval, mockery, embarrassment, thoughtfulness, jealousy, hate, even love. If anything, we hope we had a microscopic impact on someone, somewhere. Anywhere.

 

Thank you for sailing with us. The breeze is fresh and the sun is setting, so now we head for the horizon."

 

Let it flow...

 

Lulz Security - our crew of six wishes you a happy 2011, and a shout-out to all of our battlefleet members and supporters across the globe"

[Valandil]

Jeg fantes heldigvis ikke i den listen. Men jeg er overrasket over at store aktører med milliardomsetning som AOL lagrer passord i klartekst, i år 2011.

 

 

herregud, jeg forstår ikke at it-utviklere med yrkesstolthet fortsatt lagrer passord i klartekst i 2011

 

Fullstendig enig, men mange norske datanettbutikker gjør fremdeles det, dessverre.

Egentlig burde man boikotte slike butikker til de får sikkerheten i orden.

 

 

 

Merk at de aller fleste MD5 passord på 8 tegn eller mindre allerede finnes i forhåndskompilerte lister hvor passordet ligger i klartekst. Denne fungerer dog ikke om det er brukt "salt" i md5 genereringen.

 

Ville uansett ha byttet passord og sørget for at man ikke benytter samme passord flere ganger.

 

Anbefaler forøvrig varmt LastPass for å generere sikre og unike passord for alle nettsteder man benytter, da selvfølgelig i kombinasjon med et sterkt hovedpassord/passord setning.

 

Lastpass virker som en seriøs tjeneste, men..

 

By Jaikumar Vijayan

Computerworld

May 5, 2011

 

LastPass, an online password management provider, is forcing its users

to change their master passwords after detecting what it described as a

"traffic anomaly" on one of its database servers.

 

In a blog post on Wednesday, LastPass said it first noticed a network

traffic irregularity on Tuesday morning when looking at the logs for one

of its non-critical systems. It decided to dig deeper into the problem

after it was unable to find a root cause for the problem.

 

"After delving into the anomaly we found a similar but smaller matching

traffic anomaly from one of our databases in the opposite direction

(more traffic was sent from the database compared to what was received

on the server)," the blog post noted.

 

Because LastPass has been unable to account for this anomaly, it has

decided to assume that the database has been compromised. The amount of

data that was transferred out of its system is big enough to have

contained people's email addresses, their salted password hashes and the

server salt, LastPass said.

 

Om du bruker Lastpass, bør du som nevnt ha et sterkt masterpassword, og ikke tilknytte det email og banktjenester. Disse bør ha unike og sterke passord som du kan huske. Optimalt sett bør du ikke lagre passord / krypteringsnøkler online, men heller bruke keepass eller lignende, legg databasen på en USB minne pinne, og hold masterpw / krypteringsnøkkel separat på et sted ingen finner det.

[HtotheE]

Det her er jo bare et rent helvete. Jeg bruker 3 forskjellige passord, og jeg har de på helt latterlig mange nettsteder og tjenester(jeg ser ikke bort fra at rundt 100 er umulig). Og i utgangspunktet er alle de nettstedene utrygge. Burde vel kanskje skaffe meg noen nye passord til de viktigste tjeneste da kanskje(type mail og nettbank).

 

Uansett, er jo ikke helt sikkert at det er mitt brukernavn det er snakk om siden det ikke er et veldig uvanlig navn.

 

Herre så stress.

[pong]

En ting jeg ikke forstår med hackere og cracking (hva var forskjellen igjen?) er hvorfor. Hvorfor i granskauen gjør de dette? Hva tjener de på det?

[chokke]

En ting jeg ikke forstår med hackere og cracking (hva var forskjellen igjen?) er hvorfor. Hvorfor i granskauen gjør de dette? Hva tjener de på det?

Fikk inntrykk av at agendaen for å gjøre dette var for å "vise at vi som forbrukere må kreve sikrere lagring, eller så kan dette skje" eller noe sånt. Ironisk nok.

[007CD]

Bruker selv KeePass til å holde orden på mine passord med en sterkt master passord.

I tilegg kan du slenge med en påkrevd key fil og / eller knytte den til windows kontoen din.

Noe som da betyr at skal de ha tilgang så må de ha tilgang til din maskin med hardware og alt i tilegg til passordet ditt og eller key fila di.

Relativt sikkert om du lagrer de på litt andre steder, i tilegg til 256 bit kryptering som jeg mener var AES.

[St€rk]

.........

Endret 1. juli 2011 av St€rk

[GtHoo]

Kommer ikke inn på siden, så kan ikke se om jeg ligger der...

[Paisley]

Virker som den enorme pågangen etter at dette ble slått opp på vg.no har skapt en overbelastning på serverne. En får nok bare smøre seg meg tålmodighet og vente på å se gjennom listen senere

[NeEeO]

Jeg kommer ikke inn på siden!! De som har kommet inn , kan de lagre siden og sende til oss andre som ikke kommer inn.

[Hole]

Personlig bruker jeg forskjellige passord på absolutt alle sider jeg registrerer meg på.

Bruker heller ikke noe program for å lagre passord. Det tryggeste er å kun ha det i hodet. Hva hvis tjenesten du bruker blir cracket på en eller annen måte? Eller om du blir utsatt for en keylogger? Da får de ikke bare ett passord, men alle..

 

Hvordan jeg gjør det:

Tar først en setning, som er basis for alle passordene. F.eks:

Jeg gikk en tur på stien og søkte skogens ro = Jg1tpSosSr

Så plusser vi på noe som er unikt for tjenesten du registrerer deg på. La oss si at der er Diskusjon eller Facebook. Et enkelt eksempel kan være å benytte første og tredje bokstaven i tjenesten:

Facebook = FC

Diskusjon = DS

 

Da får man passordene:

Jg1tpSosSrFC

Jg1tpSosSrDS

 

I tillegg kan man legge inn noe som har med toppnivådomenet å gjøre, f.eks. .com eller .no

Man kan lage sin egen regel om at .com = #39, og .no = %77. Man trenger ikke å ha en egen for alle TLD'ene, men de mest brukte. Resten kan dele. Med Facebook og Diskusjon får man nå passordene

#39Jg1tpSosSrFC

%77Jg1tpSosSrDS

 

Klart, om noen klarer å få tak i nok av dine passord vil det være mulig å finne ut av hvilket system du bruker for passordene, så man bør ikke lage det for enkelt.

 

Bruker også forskjellig e-postadresse på alle tjenestene. For diskusjon.no f.eks, så kan det vere [email protected]. Mittdomene.no har da en catch-all adresse som mottar all e-post til *@mittdomene.no. Dette er vel mest for å unngå spam, ettersom det er lett å blokkere adressen som mottar dette. Men det kan nok også forsvares sikkerhetsmessig. Har du en hotmail-konto vil du nok være et lettere bytte, ettersom de allerede ved hva brukernavnet ditt for å logge på er, og hvor man kan logge på. Med min løsning får man ikke logget på med [email protected], ettersom det ikke er en konto, men en adresse. I tillegg må jeg bruke en kodebrikke-lignende løsning som man finner i nettbanker dersom jeg skal logge på e-posten fra en ukjent datamaskin.

 

Paranoid? Neeei.

[amund]

Vi har hatt enorm trafikk i dag. Beklager at sidene til tider har vært utilgjengelige.

[ShadowMaster]

Da får man passordene:

Jg1tpSosSrFC

Jg1tpSosSrDS

 

Bare for å spikke litt på flisene så vil såpass korte passord være litt for enkle å bruteforce nå til dags. Selv om man tar i bruk spesial tegn.

Personlig ville jeg ikke ha brukt et passord med færre en 12 tegn, og de aller fleste passordene mine har 24 tegn.

 

Angående Lastpass så er det en grunn til at de tilbyr tofaktor pålogging samt biometrisk/smartkort pålogging i kombinasjon med passord. Med disse aktive kan man bli utsatt for så mye keylogging man bare vil

 

Gmail tilbyr også tofaktor pålogging slik at man trygt kan benytte seg av en mailkonto uten å bekymre seg for å miste denne.

Her har man i tillegg muligheten til å få noe sporing på ting i forhold til om noen gir ut mail adressen din ved å benytte [email protected]

Merk dog at ikke alle nettsteder aksepterer mail adresser med + i, selv om dette er et gyldig tegn.

 

Noen nevnte Lastpass i forbindelse med et mulig sikkerhets brudd litt tidligere, noe jeg selv nevnte tidligere. Her må det påpekes at man kun fant indikasjoner på at det kunne ha skjedd, dermed benyttet man føre var prinsippet og behandlet det som om det hadde skjedd. Det er verdt å merke at de eneste som trengte å bekymre seg er de som eventuelt hadde et svakt hoved passord, og ikke benyttet seg av tofaktor pålogging.

 

Alt er en balansegang når det gjelder sikkerhet. KeePass har jeg benyttet meg av tidligere, men det ble for lite fleksibelt for mitt bruk. Lastpass gir litt økt risiko siden dette er en nettjeneste, men oppveier risikoen ved å tilby mulighet for tofaktor pålogging samt biometrisk/smartkort basert pålogging.

 

Uansett hva slags system man velger for å holde styr på passordene sine, så er det aller viktigste uansett å sørge for at mailkonto har et sterkt passord samt lite gjettbart sikkerhets spørsmål. Samt at man ALDRI benytter samme passord på flere nettsteder.

Om man velger å lage egne passord, vil jeg personlig anbefale passordsetninger framfor systemet som Hole benytter. Først og framst fordi man får sikrere passord samtidig som man får passord som er lette å huske på.

 

Man kan ta utgangspunkt i et sitat fra en film du liker veldig godt, som f.eks "May the force be with you"

 

Her har man umiddelbart et passord med 25 tegn som ikke kan bruteforces enkelt. Dette kan man videre utvide med et system slik som Hole benytter for å få unike variasjoner for hvert enkelt nettsted.

Legg til en dato for å få numeriske tegn, legg til nettstedsnavnet i passordet. Bytt ut bokstaver med tall, o = 0, i = 1 osv.

 

Svakheten her er som Hole nevnte at om noen får tak i mer en ett av dine passord, eller bare det ene i klartekst, så vil man lett kunne pønske ut systemet. Dette krever dog at det er et målrettet angrep mot deg eller at man sitter med en keylogger i hvilket tilfelle det hjelper lite uansett hva du gjør med mindre du benytter tofaktor pålogging.

 

Til Hole vil jeg bare si, du er ikke paranoid nok