Gå til innhold

Privat innhold fra tusenvis av nettsteder kan ha blitt lekket

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
myhken

myhken

Skrevet
Skrevet

Hvor gjennomskubart er det å f.eks. bruke:

 

snip

 

osv...?

 

Skulle jo fungere greit det der. Når ting som dette skjer, så prøver jo ev. folk passordet på den siden det ble lekket fra. Så kanskje de prøver på noen andre store steder. Men at de bruker tid på å ta for seg hver enkelt person, og teste passord kombinasjoner på en rekke andre steder...ja tenk hvor lang tid det tar om hundretusner eller millioner av brukernavn/passord er lekket.

Lenke til kommentar
Horst Tappert

Horst Tappert

Skrevet
Skrevet

sånn er det når man skal ha dataen sin i "skya" .. uten å mene det er det verste,, det verste er når folk er teit nok til å bruke verktøy som 1password,, DET er teit det..

idiot : "Hei fremmede på internett, ta alle passordene mine, all min mulighet for id og send det rundt forbi på internett til plasser jeg ikke har NOE kunskap om"

  • Liker 2
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet (endret)

Hvor gjennomskubart er det å f.eks. bruke:

 

Dis&Et3ller4nnetPass0rd for Diskusjon

Out&Et3ller4nnetPass0rd for Outlook

Kom&Et3ller4nnetPass0rd for Komplett

Fac&Et3ller4nnetPass0rd for Facebook

 

osv...?

Hvis du bruker samme epost/brukernavn og to tjenester er knekt med lesbare passord vil jeg si at det enkelt å se dersom noen bruker menneske og ikke bare maskin til å sjekke passordene. Med utgangspunkt i å sammenligne flere kjente passord per bruker tror jeg resten er knekt også av en maskin om man klarer identifisere at 20 tegn er like og kun tre varierer.

 

Har de bare hashene eller klart å få klartekst på kun 1 kilde, har de nok ikke nok info til å avdekke mønsteret.

Endret av tommyb
  • Liker 1
Lenke til kommentar
frohmage

frohmage

Skrevet
Skrevet

Hvor gjennomskubart er det å f.eks. bruke:

 

Dis&Et3ller4nnetPass0rd for Diskusjon

Out&Et3ller4nnetPass0rd for Outlook

Kom&Et3ller4nnetPass0rd for Komplett

Fac&Et3ller4nnetPass0rd for Facebook

 

osv...?

 

Jeg bruker en variant av det der, men ikke konsekvent tre bokstaver fra domenet. Tror det skal være vanskelig å gjette for en maskin, men enkelt for et menneske, om de fikk se noen av passordene mine.

Lenke til kommentar
1Dr.E

1Dr.E

Skrevet
Skrevet

Hvis det er det menneskelige øye som skal til for å få misbrukt et slikt passordmønster brukt på sider med samme e-post-registrering, så kunne man jo gjort det hakket værre ved å putte den variable stringen et sted midt inne i den faste.

 

Et3ller4nnet&FacPass0rd

 

Finner man en fast tekststreng som man lærer til det sitter i fingrene uten at det har noe med setninger/ord/mønster på keyboard-layout å gjøre blir det desto værre.

 

Lekkes mitt passord på Diskusjon (%TidP93MkDisX&q) så skal det godt gjøres å resonnere seg frem til at passordet mitt på facebook er %TidP93MkFacX&q

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Jeg er rimelig sikker på de ikke har "goto" i koden, det er nok bare for å forenkle eksempelet. Feilen ligger uansett ikke der heller, men i forutsetningen sammenligningen krever;

 

p må alltid være mindre enn pe når sammenligningen starter.

 

Så dersom noe et annet sted i koden gjør

p = pe + x

(p større enn pe) eller

p = pe

(p lik pe)

 

vil sammenligningen aldri kunne bli sann.

 

Dette b.la fordi sammenligningen selv legger 1 til p

++p

før selve testen. (Inline increment/decrement kan være skummelt.)

 

Noe mer "normalt" å benytte hadde vært;

while (p<pe) {do_stuff_here;p++;}

(forutsetter at pe er størrelsen på minnet du behandler siden adressering er "zero based" i c)

...men det blir jo litt smak og behag.

Endret av Slettet-Pqy3rC
Lenke til kommentar
myhken

myhken

Skrevet
Skrevet

 

Jeg vet ikke om dette var en spøk, men 1Password er jo en av programvarene som kan ha blitt utnyttet.

 

 

De var faktisk ikke berørt, les her og på listen over steder står det "Not affected" på akkurat den siden: https://discussions.agilebits.com/discussion/comment/356869/#Comment_356869 men er enig at slike passord managere er en liten risk i seg selv, om de blir hacket. Det er ett sted man trenger å hacke for å få alle passordene dine. Ingen ting er umulig.

Da er det bedre at de får tilgang til ett av mine passord, enn alle mine passord.

  • Liker 1
Lenke til kommentar
5PLHZMJQ

5PLHZMJQ

Skrevet
Skrevet

 

 Jeg vet ikke om dette var en spøk, men 1Password er jo en av programvarene som kan ha blitt utnyttet.

 

 

De var faktisk ikke berørt, les her og på listen over steder står det "Not affected" på akkurat den siden: https://discussions.agilebits.com/discussion/comment/356869/#Comment_356869 men er enig at slike passord managere er en liten risk i seg selv, om de blir hacket. Det er ett sted man trenger å hacke for å få alle passordene dine. Ingen ting er umulig.

Da er det bedre at de får tilgang til ett av mine passord, enn alle mine passord.

 

Det stemmer ikke. 1password er berørt. Poenget er ikke om et passord i klartekst er lekket. De fleste bruker hasher, men en må fortsatt bytte passord.

Poenget er nemlig at dine krypterte 1password passord kan være lekket. De kan dekrypteres med master passordet ditt via cracking uten at du vet om det har skjedd eller ikke. Derfor bør du bytte alle passord uansett om det gikk via cloudflare i klartekst, hashet eller kryptert.

Lenke til kommentar
RHP7ZBT7

RHP7ZBT7

Skrevet
Skrevet

 

Jeg er rimelig sikker på de ikke har "goto" i koden, det er nok bare for å forenkle eksempelet. Feilen ligger uansett ikke der heller, men i forutsetningen sammenligningen krever;

Jeg tullet bare, men takk likevel for et godt svar! Det jeg lurer på, er om hvorfor man bruker C/C++ i slike applikasjoner. Hvor stor er egentlig ytelsesforskjellen mellom disse språkene og optimalisert C#/Java? Man kan selvsagt lage sikkerhetshull der også, men man slipper ihvertfall slike pekerfeil, buffer overruns o.l.

Lenke til kommentar
Gavekort

Gavekort

Skrevet
Skrevet

 

 

Jeg er rimelig sikker på de ikke har "goto" i koden, det er nok bare for å forenkle eksempelet. Feilen ligger uansett ikke der heller, men i forutsetningen sammenligningen krever;

Jeg tullet bare, men takk likevel for et godt svar! Det jeg lurer på, er om hvorfor man bruker C/C++ i slike applikasjoner. Hvor stor er egentlig ytelsesforskjellen mellom disse språkene og optimalisert C#/Java? Man kan selvsagt lage sikkerhetshull der også, men man slipper ihvertfall slike pekerfeil, buffer overruns o.l.

 

 

Det er ganske mye ytelse å hente i native kode skrevet med C/C++, og mye av dette er forårsaket av at du gir mer kontroll til utviklerne, noe som igjen gir sikkerheten over til 80kg tunge apekatter, fortsatt hangover fra gårsdagens fyllekule.

 

Java eller C# kan erstatte C/C++, men er egentlig ikke et fullverdig alternativ, da det har en rekke tekniske og praktiske begrensninger. Å ta toget er ikke det samme som å sykle, bare fordi de begge tar deg fra A til B.

  • Liker 1
Lenke til kommentar
Woods

Woods

Skrevet
Skrevet

sånn er det når man skal ha dataen sin i "skya" .. uten å mene det er det verste,, det verste er når folk er teit nok til å bruke verktøy som 1password,, DET er teit det..

idiot : "Hei fremmede på internett, ta alle passordene mine, all min mulighet for id og send det rundt forbi på internett til plasser jeg ikke har NOE kunskap om"

Det verste er nok når folk er teite nok til å åpne kjeften uten å vite hva de snakker om. 1Password kan fint brukes offline.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...