Där har vi problemet. kollar man på de dumpar som dykt upp senaste tiden så är det här med starka lösenord inte användarnas starka(!) sida.. Rätt vanligt med kalle:hej123, johanna:annahoj. Det räcker alltså inte med att bara kryptera sina användares lösenord, man måste dessutom "tvinga" dem att välja ett starkt lösenord .

De flesta användare använder inte ett starkt lösenord, därför måste man hjälpa till lite.

Ja men det har inget med MD5 att göra, det går även att minimera med en striktare lösenordspolicy. Lösenord som hej123 knäcks blixtsnabbt även om man kört med SHA512. Det krävs en riktig KDF om man verkligen ska försvåra dictionary/bruteforce attacker för de enklare lösenorden.

Att tillåta alltför enkla lösenord är inte bra och oftast ett mycket större hot än okrypterade databaser skulle jag tro...

Tramset om att MD5 är osäkert får en att baxna, det är inget fel på MD5, det är bara fel på hur man implementerar det (tvinga fram stor och liten bokstav, en siffra och ett specialtecken och 8 tecken i längd minimum så får vi se om du lyckas knäcka det, skulle inte tro det...).

Det går, handlar bara om tid.

Egentligen borde man väl börja med online-id som standard för allt! :) edit.. bank id heter det kanske

Till de som säger att enbart MD5 är säkert:

Googla:
Cain & Abel
MD5 rainbow table
MD5 database

Man undrar hur många utvecklare som sitter på sina md5 lösenord på 8 tecken o tror de på något sätt är säkra. Ja, du är säker mot inkompetenta kids, har du ett bra byggt system och nån tar sig in så långt att de får tag på dina md5 värden är chansen rätt stor att de faktiskt tillhör nån av de mer seriösa crackergrupperna som har tillgång till nätverk med flera tusen gflops och tabeller på flera tusen terrabyte. Tror ni era sketna md5 krypterade lösenord klarar sig länge då?
Argumenteringen att man har täppt ett säkerhetshål till 99% är rent idiotisk, det är den sista 1% som är viktigt och den som många blir körda på.
Det finns bara 2 möjligheter när det gäller säkerhet: säkert och osäkert, punkt. Vad kommer ni säga när en av dina kunder får sin databas tömd och de får tag på lösenordet fast det var MD5'at? Ska ni hänvisa de till den här tråden och säga "men folk sa att ren MD5 var säkert, det är inte mitt fel", snälla, ert tänk är inte bättre än geniet som i början postade att det var hackerns fel.

Ja du, attityd har du så det blir över, men du har uppenbarligen inte så bra koll.

Du aldrig hört talas om salt heller?
Salt gör att RT:s blir värdelösa. RT:s är ett fenomen som börjar dö ut, just pga salt.

Att någon hackargrupp sitter på någon RT som består av flera tusen TB är bara komiskt...kan du ge en enda referens på detta? :)

Sen blir det ännu mera lustigt när de verktyg som du vill att man ska Googla är de som är sämst :) Skall man knäcka hashar i dagsläget är det GPU programvaror som gäller, t.ex:
-oclHashCat
-IGHashGPU
-Extreme GPU Bruteforcer

Återigen, MD5 är tillräckligt säkert om man har ett starkt lösenord (+salt i databasen naturligtvis). Exempel: MD5:a av ett lösenord bestående av 12 tecken med teckenuppsättning a-ö,A-Ö,0-9 ger 58^12, detta är inget som man ens med GPU bruteforcar inom rimlig tid.

Vill man inte kräva en så hård lösenordspolicy av sina användare kan man stärka upp lösenordshanteringen på många olika sätt, men det är inte MD5:an som är största svagheten det är lösenordet.

SHA1 är inte speciellt mkt bättre än MD5 (i lösenordsystem).

En av de sakerna jag direkt tänker på när webbmasters har lösenorden helt okrypterat är att webbmastern då utan problem själv kan se alla lösenord klartext vilket jag tycker är ett problem.
Det är inget man ska kunna se som administratör över en sida tycker jag.

Ang. md5 så är det ju i PHP(och säkert de flesta språk) precis lika enkelt att kryptera med sha1. Så länge man har någon vettig salt någon variant med dubbelkryptering eller likande så är man ju ganska säker mot rainbow-, dictionary-attacker och likande så länge de inte har saltet och hur man ska sätta ihop det.
Hur gömmer man undan saltet på bästa sätt föresten?

Alltså Eyeon, det är väl lovvärt att propagera för säkerhet, men det får ett löjets skimmer över sig när man läser dina argument.

Det finns såvitt jag vet inte ett enda exempel på någon som knäckt MD5 om lösenordet varit vettigt (och ja, 12 är klart mycket bättre än 8 tecken, men blandar man specialtecken, siffror och stora och små bokstöver får man miljarders miljarder med kombiantioner och hur gärna du än vill så är det inte möjligt att knäcka det i dagsläget). Du får gärna motbevisa mig.

Jag tror mina MD5-lösenord klarar sig utmärkt, till och med utan salt...

För övrigt suger din attityd och ja, geniet har helt rätt, det ÄR hackerns fel och vi borde verkligen ha betydligt strängare straff på dataintrång (typ 10 år, motsvarande grov stöld, för allvarligare fall, det skulle ge helt andra befogenheter ooch möjligheter att agera).

"det ÄR hackerns fel och vi borde verkligen ha betydligt strängare straff på dataintrång (typ 10 år, motsvarande grov stöld, för allvarligare fall, det skulle ge helt andra befogenheter ooch möjligheter att agera)." Straff bör vara i proportion till utfört brott kontra jämförbart allvarliga brott på straffskalan anser ju jag. Mord och mordförsök(vilket ju i många fall ger runt 10 år) anser jag är värre än att komma åt och dumpa en db. Men helt klart bör det bestraffas på ett vettigt sätt.

Sen anser jag för övrigt att om en site har funktionalitet som behandlar användares uppgifter så tar man på sig ett visst ansvar att hantera uppgifter på ett vettigt sätt. Alla kan bli hackade men i detta fall låter det på inget sätt som man behandlat användarnas uppgifter på ett vettigt sätt eller valt att skydda dom på en rimlig grundläggande nivå.

Håller för övrigt med ITisGood.se om man pratar nya implementationer. Finns egentligen ingen som helst anledning fortsätta rulla på md5(oavsett tid det tar bruteforcea vid rätt implementation). Men jag antar att få gör det?

Ja, men då bör man gå upp till SHA256 (eller större), eller någon riktig KDF.
Men SHA1 är bara lite bättre än MD5, och ingen bra framtidslösning..

Ja... Det går, om du har ett par hundra servrar att tillgå och en miljon år på dig, typ... Och då har du knäckt ETT lösenord... Sedan finns det ju andra svagheter med MD5 och SHA1 med för den delen, men det är ju inte vad det talas om här uta möjligheten att få fram lösenordet ur en MD5:a och det är så in i helvete svårt om man inte har väldigt simpla lösenord.

Nu sa ju inte jag att varje dataintrång skall straffas med lagens strängaste straff. Däremot anser jag att dagens maximala straff på två år är skrattretande.

Bara senaste månadera har vi haft exempel på skador för många (sannolikt långt över hundra) miljoner hos flera svenska företag (däribland webbhotell) på grund av dataintrång och överbelastningsattacker (vilka också faller under brottet dataintrång) och skadorna är mycket mer omfattande än de allra största stöldbrotten som någonsin inträffat (och ja, det är gripet ur luften eftersom jag inte har någon direkt statistik över stöldbrotts "värde", men har svårt att tro att det finns något som passerar mer än något fåtal miljoner).

Det är dessutom i det brott jag nämner ovan SAMMA gärningsmän och de kan inte dömas till mer än 2 års fängelse...

Att ta någons liv är naturligtvis värre än stöldbrott och dataintrång, men skadorna man orsakar med avancerade dataintrång (i direkta överbelastningsattacker och intrång) kan mycket väl orsaka såväl fysiska skador som otroligt kännbara ekonomiska skador.

För mord är straffet tio år eller livstid... Där är alltså lägsta straffet 10 år. Jag vill ha ett maxstraff på 10 år för dataintrång (kalla det grovt dataintrång).

Jag tycker själv att hackers som attackerar andras datorer platsar på samma nivå som andra av samhällets absoluta bottennivåpatrask.

Ja, men nu pratade vi om enbart MD5 utan salter. Du kanske borde läsa den absolut första raden i mitt inlägg innan du säger att jag inte vet vad salter är. Jag personligen använder minst 2 servar vid lösenordshantering, en med salter som genereras med antigen ljud eller strålning och man hittar aldrig både lösenordet och saltet på samma masking(skrev även om detta tidigare i tråden).
Anledningen till att jag länka C & A är för att den har andra verktyg och ger en bra överblick för nybörjare. Vill man bli riktigt seriös sö kör man bara NetTools... Det är knappist praktiskt att bruteforca med enbart sin egna dator, om man inte planerar att leva i ett par tusen år.
Det hittades kollisioner i MD5 för över 14 år sen, och på senaste år har man lyckats använda kollisioner för att knäcka även de mest avancerade MD5 lösenorden, speciellt de senaste 2 åren. Och redan innan år 2000 varnade RSA för att inte använda MD5.
Jag vet inte var du kommer ifrån när du säger att jag inte har koll på säkerhet, jag har väldigt svårt att hitta nån som har lika mycket koll. Jag åker på konferenser ofta och håller mig uppdaterad med allt inom säkerhet.


Ja, jag står fast vid att ren MD5 inte är 100% säkert och att det inte var hackerns fel. Skulle samma hacker gått in i den databasen och lösenorden varit ordentligt skyddade så skulle denna skitstorm aldrig hänt. Man kan dra det här resonemengat(men om hackern aldrig skulle brytit sig in så skulle det inte heller hänt, etc,etc..) hur långt som helst, men faktum är att det har funnits hackers innan det här hände, och då har det blivit utvecklarens ansvar att göra det säkert.

MD5 är ett bra säkerhetslager ensamt. Det är säkert i många lägen, men det är knappast tillräckligt säkert att ta på sig alla möjligheter, och då det enligt mig inte är det så kan det ej betraktas som säkert som ensam åtgärd. Säkerhet är helt svartvitt.

Jag tycker det är lustigt att man utgår ifrån att lösenord som sina användare skriver in är starka på något sätt, ja man kan sätta speciella regler som längd och speciella tecken osv, men då är det ju inte längre enbart MD5 som skyddar, utan då har man 2 säkerhetslager för lösenorden.

Eftersom du pratade så stort om RT:s så fick jag uppfattningen att du inte visste vad saltet var till för...RT:s är som sagt utdöende. Sen väntar jag på en referens på dessa RT:s som var flera tusen TB stor?

Strålning? Du menar en TRNG som räknar nedbrytningen av de radioaktiva isotoperna?
Bra, då hoppas jag att du kan posta en länk till en laglig sådan? :)
Jag har själv letat efter en men fastnat på att det är importförbud på dessa...

Seriös med NetTools? Inte då för MD5 hacking. Även medelsvåra lösenord går utmärkt att bruteforca med en kraftfull GPU, och relativt många av de databaser som läckt kan man knäcka typ 90% av lösenorden helt själv med en GPU-bruteforcer, inom några dagar, och de sista 10% är det många hackers som inte bryr sig om.

Detta är helt fel, det finns ingen som i dagsläget har lyckats hitta en preimage-kollision i MD5, detta vet nog de flesta som jobbar med IT-säkerhet på en högre nivå. En chosen-prefix-kollision är _inte_ samma sak som en preimage-kollision.

Jag utgår bara från vad du skriver, inget annat, och jag håller inte med dig. Men allting är iofs relativt, vi har nog olika kriterier bara.

Okej... I teorin stämmer mycket av det du säger om MD5. Dock är det dramatisk skillnad på att kunna påvisa möjliga kollisioner och att utifrån kollisionerna KNÄCKA (och med 100% säkerhet återge) lösenordet.

Det har, så vitt jag vet, aldrig skett.

Dessutom måste jag dra en parallell till "verkliga världen" när du säger att detta inte är hackerns fel...

Du anser alltså inte att det är inbrottstjuvens fel att han efter att ha brutit sig in kommer över t.ex. kortuppgifter och värdeföremål hemma hos någon? Det är alltså brottsoffrets fel? Brottsoffret skulle ha förvarat dessa i ett kassavalv så klart, men det förändrar väl inte skuldfrågan?

Det är så klart inte heller våldtäktsmannens fel, offret skulle ju så klart inte gått klädd som hon gjorde och definitivt inte varit ensam ute en mörk kväll... Man baxnar...

Visst, jämförelserna haltar lite, men principen måste ju ändå vara att hackerna skall hängas i första hand...

Det ni glömmer är vem som det skadar, har du dålig säkerhet hemma och blir av med saker så får du bara problem privat.

Driver man företag/tjänster med flera tusental eller miljontals användare så ställer du till skada för 3part genom ha dålig säkerhet.

Så tycker även man ska kunna hållas ansvarig för dålig säkerhet och inte klarar av stå emot attacker. Då man tar betalt för tjänsten eller indirekt tjänar pengar genom reklam.

Lite som att om man skulle sälja säkerhets dörrar som går öppna på 1 minut, skulle inte dom som levererar dörrarna hållas ansvarig för dålig levererar tjänst/produkt?

I första hand är det hackarens/inbrottstjuven fel, men jag håller med dig att det finns gränser. Tjänsteleverantören har också ett ansvar. Att spara lösenord i klartext ska bara inte förekomma år 2010. Alla server-side språk har ju stöd för hashar.
Borde blir nån sorts lag på hash + salt ;)

Och igår släpptes alla 210000 e-postadresser och lösenord publikt.

Vart kan man kolla om de har lyckats knäcka mitt lösenord?

Offtopic: Intressant tråd.

Jag gillar det där med lösenord i klartext...

Byt lösenord..Har du haft lösenord på gratisbio, så har det INTE knäckt lösenordet ens, utan programmeraren bakom sajten har lagrat lösenordet i klartext i databasen.

Ett tips att se över sin digital egendom typ som spotify konto . Mer läser du lämpligen på http://flashback.org, det är där sånt här bus bruka komma ifrån.

Det mikrovågungs tillverknas fel att det inte har varningstext för att man inte skall torka hunden i ungen heller. :-) Innan man börja skrika på högre straff för dataintrång bör man få upp straffskalan för brott där vanliga människor drabbas hårt istället, vi bör får riktiga fängelse i Sverige som har mer avskräckande verkan till och början med.

Sedan tycker att man inte kan lägga skulden på "Hackers" utan mer på sajtägare och även på användaren. Som i övriga case i samhället, så har man också ett eget ansvar för sin handlingar.

Så om du inte har larm på ditt hem/kontor så ska man inte lägga skulden på tjuven utan på ägaren? Förstår hur du tänker men håller inte med. Enligt mig så ska skulden läggas på "Hackern" men ansvaret på att inte ha skyddat sig på sajtägaren och användarna.

Man har fortfarande ett eget ansvar. Bor man i ett brottsutsatt områden, då har man rimligen en Magnum 45 i handsfacket, så man kan utöva självförsvar.

Självklart har brottslingen ett ansvar, men har man en databas på 210k uppgifter och man lagra lösenord i klartext, då har något blivit ordentligt fel, lite som att byggas hus på sank mark.

Det är inte som bloggtoppen ens, att man måste göra något aktivt för att komma åt lösenordet, utan gratisbio lösen ligger KLARTEXT..

Är det inte så våldtäktsmän tänker?. Oj, hon är lätt klädd och går själv, alltså är det inte mitt fel jag våldtar henne. Helt och hållet hennes ansvar och skuld?

Att bygga hus på sankmark är som att köpa en vanlig billig dator och göra till en server som ska ha massor av besökare. Här ligger skuld och ansvar på den som fattade beslutet.

Sen är det är det idiotiskt att lagra lösen i klartext. Håller jag fullständigt med om. Dock ligger skulden på att lösen etc sprids på "hackaren" men ansvar för att det gick så lätt på sajtägaren/programmeraren. "Hackaren" går inte fri bara för att det är lätt.

Att våldtäckmannen tänker så, är fel. Man att lagra password i klartext är försumlighet, dvs gratisbios har inte tänkt sej för. Brottsoffren i gratisbios fall är dess användare och inte sajten, eftersom man har ändå ett visst ansvar att försvåra att komma över uppgifterna, särskilt när det rör sej om 210k konto. Bloggtoppen vars lösenorden är hashade ,dvs krävs ytterligare en handling att få ut dem i klartext.

Men i gratisbio fall kan vilken 14 åring som helst leka runt på facebook. Bloggtoppen har åtminstone haft både vanligt lås, medan gratisbios har haft ett sådant där lås som finns på dagböcker för fjortisar som man pillar upp med ett gem.

Man bör alltid tänka, om någon kommer över databasen, vad kan göra skada då?

Självklart kan man inte försvara hackaren handlingar, men å andra sidan så kan de föra något gott med sej, allt folk börja tänka sej för, nackdelen är att folk kanske bli rädda signa upp sej i framtiden på olika sajter.

Sedan tycker man att facebook / MSN / Google både ha agerat, då eposadresserna är kända, så bör man ha några extra spärr på dem.

Du säger emot dig själv. Först ska man lägga skulden även på användarna och sen är det hux flux brottsoffer.

Tror i grund och botten att vi tänker någorlunda lika. Dock anser jag att skulden för att lösenord etc sprids ligger hos "hackarna". Ansvaret för att det gick att komma åt lösenorden etc så lätt ligger hos sajtägarna. Användarna har ett visst ansvar men går enligt mig fria eftersom jag tycker att sajtägarna ska "tvinga" användarna till svårare lösenord genom att tex kräva versaler, gemener, tecken och siffror i lösenordet.

Vad är det för korkade resonemang? Bara för att du har glömt låsa, har trasigt lås, inte vill låsa eller någon annan anledning så är det inte fritt fram för tjuven att tycka att han skall gå in och ta vad han vill ha. Det kan ALDRIG bli rätt att ta någon annans egendom oavsett om man har skyddat sig korrekt enligt konstens alla regler eller inte skyddat sig alls.

Börjar man hålla på som i ert resonemang att idag är det okay att sno lösenord om de är i klartext men inte okay att sno lösenord om de är hashade så hur ser det ut i morgon. Är det okay att sno lösenorden som är krypterade då men inte på ett annat sätt. Det är ALDRIG okay att sno något som inte tillhör en själv.

Urbota korkat resonemang och man förstår varför det finns så mycket internetbedrägerier om man har åsikten att 'man får skylla sig själv om man inte skyddar sig tillräckligt bra'.

Absolut, håller med dig helt och hållet. Det resonemanget är helt orimligt. Naturligtvis vill alla sajtägare skydda sig, att anta något annat är rent ut sagt korkat. Det behövs ingen förändring i lagstiftningen där men det behövs kanske lite bättre säkerhetsutbildning för programmerare rent generellt. Däremot måste man vidta ytterligare åtgärder för att det ska bli lättare att sätta dit de som står bakom alla dessa dataintrång. Visst kanske man ska kunna göra ett angreppstest mot en sajt utan att åka dit men sprider man användaruppgifter eller gör skada på annat vis så har man gått alldeles för långt.

Håller fullständigt med dig, dock måste sajtägaren skydda ditt lösenorden liksom en bank ska skydda dina pengar annars får de stå där med hundhuvud.

Nu kan och ska man väl dock ställa lite högre krav på säkerheten hos en bank eller sjukhus än hos gratisbio :) Annars är vi helt inne på samma spår, det gynnar ju inte alls sajtägaren att man råkar ut för sådana här missöden utan det kostar mycket tid, svett och pengar. Det blir i slutändan självreglerande.

Tyvärr tror jag du har fel där. Användarna generellt frågar inte i första hand hur lösenord sparas.

Däremot kan vi hoppas att medvetenheten bland webbentreprenörer ökar och förhoppningsvis ger en ökad spridning av standardiserade cms en högre säkerhet kring lösenord.

Det är inte ok att spara lösenorden i klartext och inte heller på något sätt som går att dekryptera. Även om ingen utomstående skulle komma över databasen så är det inte ok att de som har legal tillgång till databasen kan se lösenorden.

Sajtägare måste ha ett visst mått av säkerhetstänk (känna till SQL injection, XSS, lösenordshantering), och om de inte kan något om säkerhet, anlita någon som kan. Tyvärr är det nog många som saknar säkerhetstänk till sådan grad att de inte inser att det är ett problem.

Men det handlar också om olika ansvar. Om du ansvara för din dörr är olåst eller inte är en sak, men om du ansvara för 200 000 dörrar skall vara låsta, så bör kraven vara högre.

Självklart är de oansvarigt av en sajtägare att lagra lösenord i klartext, man kan inte bara skylla på den som hacka i den här fallet, sajtägare har en ansvar att så långt som möjligt försvara att användar uppgifter inte sprids, de innefatta även att tänka vad som händer vid ett eventuellt intrång också. En grundtanke man bör ha, att allting går att hacka, och större en sajt är desto större risk löper man att bli utsatt för intrång.

Självklart har hacker en ansvar att inte sprida innehållet, i det här fallet har man haft ont uppsått genom att sprida innehållet för orsaka så mycket skada som möjligt på gratisbio

Men det är som du säger , att det är utbildning som gäller. Här bör t.ex. .SE kunna göra en insats, det delar ut en massa pengar varje år till olika projekt, varför inte sponsra ett öka säkerhetstänkande projekt för? Där de via skrift och video, ge bort utbildning hur man kan skydda sin webbplats.

Spännande
Jag fick nyss ett mail från gratisbio om att deras nya site är lanserad.. Kan dock inte påminna mig att jag någonsin varit reggad där. Hittar iaf inga tidigare mail från dem