Bytt passord på LinkedIn nå

[Nilsen]

Flere millioner passord fra den sosiale tjenesten er lekket på nett.

 

Bytt passord på LinkedIn nå

 

[Nator]

Antar at Rød telefon fra 70-80-tallet og grå hettegenser er standard items i Hacker's Toolkit på eBay?

[medlem-68510]

Jeg vil ha en slik rød telefon. Hadde jeg hatt en ville jeg tegnet abonement for fasttelefon igjen =P

[hernil]

Noen som vet hva slags hash dette er lagret i? De er hvertfall ikke like tette som en del andre som lagrer passord i klartekst, men et sted som linkedin burde jo selvfølgelig både hashe og salte og generelt være så sikkerhetsbevisste som mulig. Denne typen saker er jo pinlige!

Endret 6. juni 2012 av hernil

[Gjest Gjest slettet-ld9eg7s96q]

Antar at Rød telefon fra 70-80-tallet og grå hettegenser er standard items i Hacker's Toolkit på eBay?

 

Haha, den røde telefonen. "Hr. Partisekretær, vi har Bresjnev på linje to"

[bikubedronning]

>.<

Endret 6. juni 2012 av Tecfan

[raWrz]

Noen som vet hva slags hash dette er lagret i? De er hvertfall ikke like tette som en del andre som lagrer passord i klartekst, men et sted som linkedin burde jo selvfølgelig både hashe og salte og generelt være så sikkerhetsbevisste som mulig. Denne typen saker er jo pinlige!

 

Dem var lagret som SHA-1 usalta, av alle ting...

[efikkan]

Latterlige greier. Hvis det stemmer at de ikke bruker unike uforutsigbare salt for hvert passord så er det så drålig sikkerhet at selskapet bør holdes ansvarlige. Det forundrer meg hvorfor ikke flere av passordene har blitt knekt.

[raWrz]

Latterlige greier. Hvis det stemmer at de ikke bruker unike uforutsigbare salt for hvert passord så er det så drålig sikkerhet at selskapet bør holdes ansvarlige. Det forundrer meg hvorfor ikke flere av passordene har blitt knekt.

 

Sist jeg sjekket så var rundt 500k + passord knekt, og det var for 3-4 timer siden. Nå har saken fått internasjonal interesse så du skal ikke se bort ifra at langt flere passord har blitt knekt.

Og det stemmer at det ikke har blitt brukt salt.

 

Men husk, linkedin har ikke bekreftet noe som helst;

https://twitter.com/...#!/LinkedInNews

 

Edit: Men det betyr ikke at folk ikke burde ta dette seriøst

 

~ Submit

Endret 6. juni 2012 av Submit

[medlem-68510]

Dem var lagret som SHA-1 usalta, av alle ting...

Jeg trode SHA-1 ikke var knekt enda. Forskjellige styrker kanskje?

[raWrz]

Dem var lagret som SHA-1 usalta, av alle ting...

Jeg trode SHA-1 ikke var knekt enda. Forskjellige styrker kanskje?

 

Jeg er dessverre ikke så kompetent på forskjellige hash algoritmer.

 

Men du kan lese mer om den her;

http://en.wikipedia.org/wiki/SHA1

 

Hvor ene kilden;

http://eprint.iacr.org/2008/469.pdf

kanskje kan svare på det du lurer på.

 

~ Submit

 

Edit:

 

I forbindelse med saken så ble linken her tweeta med grei teknisk info for de spesielt interesserte;

https://news.ycombinator.com/item?id=4073309

Endret 6. juni 2012 av Submit

[efikkan]

SHA-1 er ikke "knekt" i den forstand, men det er funnet svakheter i algoritmen som reduserer entropien til en brøkdel, ned til 2³³ i følge wikipedia. Dette har stor betydning ved bruteforceing. For de som ikke kjenner til entropi, et passord med 2^33 har dobbelt så mange mulige kombinasjoner kombinasjoner som et med 2^32. Entropien dobles altså for hver bit.

 

Hvis jeg har forstått det riktig så er det ikke duplikater i denne passordlisten, så koblingen mellom bruker og passord ligger nok i en annen tabell. Likevel er det svært urovekkende at administratorene ikke vet bedre enn å hashe uten ordentlig salting. De vanlige passordene ble "knekt" med direkteoppslag mot en database, derfor har såpass mange blitt oppdaget. De øvrige passordene må altså brutforces, og det skal ikke ta lang tid.

[tommyb]

Det er kanskje på sin plass å påpeke et par ting om passord:

 

1) Uansett hvor vanskelig passord du har, er det ikke lengre sikkert når noen andre kjenner det. Bruk aldri samme passord på to forskjellige tjenester med mindre du synes det er er like "greit" at to blir hacka som at én blir. Har du LinkedIn-passordet på en annen site også, bytt umiddelbart på begge.

 

2) Hvis du benytter et passordmønster der du har en vanskelig del og en enkel del, typisk navnet på nettstedet, så står du igjen med en kjent del og en enkel del når noen har lest passordet ditt ut fra en hacka site. Det er ikke veldig trygt å bruke enkle mønster.

 

3) Aldri tiltro dine viktige passord til

- playstation network

- blizzard

- linkedin

eller andre som beviselig ikke bryr seg om/får til å beskytte din sikkerhet og tillater hackere å hente data. Og siden du ikke kan vite hvem andre som bare ikke er blitt tatt ennå - det vil si, ikke tiltro dine viktige passord til noen. Med andre ord - ikke gjenbruk passord.

[efikkan]

Jeg skulle ønske at HW hadde minst én sikkerhetsekspert i sin stab av journalister, som kunne skrive artikler med inngånde kunnskap for å få frem kjernen i sakene, sile ut "skremselspropaganda" og ha en god refleksjon rundt saken. Avskrift av andres pressemeldinger er faktisk ikke spesielt interessant, spesielt når enkelte firma pakker slike saker inn i typisk "cybertrusselbullshit". Det er overraskende mange saker som egentlig handler om at systemadministratorer ikke har hatt peiling på hva de gjør, og det er de samme feilene som gjentar seg gang på gang: manglende/dårlig hashing av passord, latterlig enkle passord og manglende sikkerhetsoppdateringer. HW hadde kunne skilt seg ut fra mengden nettsider som publiserer slike "halvautomatiserte" artikler ved å skrive gode tekniske artikler som gir leserne innsikt.

[Spirre]

er det en liste over nettsteder som bruker denne passordtjenesten? Greit å vite om jeg må bytte noen passord.

[Bolson]

LinkedIn har sitt eget passordsystem.

 

Problemet er om du bruker samme passord på flere tjenester og ditt passord var av de som er på avveie, kan kobles mot din epostadresse (eller brukernavn) så kan de som har fått tak i denne informasjonen bruke den til å komme seg inn på de andre tjenestene hvor du har en konto. Så fort de har klart å finne passordet. I utgangspunktet vet de ikke hvor du har andre kontoer, men her kan man bruke prøve og feile eller informasjon de klarer å "få ut" fra ulike steder.

 

Hvilket system de andre nettstedene bruker for å "kryptere" passord spiller ingen rolle, så lenge selve passordet er komprimert sammen med epost/brukernavn klarer de å komme seg inn. Selv de systemene jeg administrerer hvor salted MD5,/Blowfish + RSA brukes er ikke trygge når passordene er er knekt og på avveie.

 

Derfor er anbefalingen at er det risiko for at passord + brukernavn/epost er kompromittert så skifter man passord alle steder der dette er brukt. Man kan eventuelt argumentere at det er liten sannsynlighet for at de finner ut hvor du har brukt samme epos/brukernavn og passord - men det tar ikke lengre tid å rette opp dette enn at det er en god sikring.

 

Anbefaler ellers å bruke KeePass, LastPass eller lignende for sikker lagring av egne passord.

[Spirre]

Men jeg har ikke noe passord fra linkedin. Betyr det da at jeg "trygg" denne gangen?

[ATWindsor]

 

Derfor er anbefalingen at er det risiko for at passord + brukernavn/epost er kompromittert så skifter man passord alle steder der dette er brukt. Man kan eventuelt argumentere at det er liten sannsynlighet for at de finner ut hvor du har brukt samme epos/brukernavn og passord - men det tar ikke lengre tid å rette opp dette enn at det er en god sikring.

 

Anbefaler ellers å bruke KeePass, LastPass eller lignende for sikker lagring av egne passord.

 

Er ikke helt enig i det, om man ikke generer random passord selv, og tar vare på det med ett master-password, så er det antakelig snakk om mange sier. Hvor mange sider har jeg passord på? Jeg tipper 100+

 

AtW

[*F*]

Jaja, Linkedin har desverre mitt mest hemmeligste passord.

 

Det er ikke barebare å bruke forskjellige passord på alle tjenester, Jeg vet ikke hvor mange titals, eller kanskje hundrevis av tjenester jeg har brukertilgang.

 

Velvel, får vel bare starte passord-endring, ikke vet jeg hvordan jeg skal huske 100 forskjellige passord men..

[Bolson]

Men jeg har ikke noe passord fra linkedin. Betyr det da at jeg "trygg" denne gangen?

 

Da er det ingen fare "denne" gangen.

 

@ATWindsor og @Dj_Evelen

 

Det er da ikke direkte fornuftig å bruke samme passord på alle tjenester (100+) - det er nemlig garantert at et av disse stedene vil ha elendig sikkerhet. Jeg synes det er uproblematisk å bruke "ulike" passord, det finnes gode verktøy for å "huske" passord samt "regler" for passordnivåer man kan bruke. Verktøyene har også den fordel at man får oversikt over hvor man har kontoer. Det er faktisk et større problem for meg enn å holde orden på en god del passord.