|
http://www.polisen.se/Utsatt-for-bro...-via-Internet/
Som kungen säger , land skall med lag byggas. Citat:
|
Hej,
Förhoppningsvis utmynnar denna soppa i två läxor för framtiden: 1. Användarna skärper till sig beträffande sina lösenord 2. Sajtägare (med populära webbplatser) skärper till sig beträffande säkerheten ...och så levde alla lyckliga i alla sina dagar. |
Testade precis IDG's "sökmotor" för den hackade db'n.
http://computersweden.idg.se/2.21695 Men den hitta inte min adress som fanns med i filen, hmm. |
Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.
|
Citat:
En tank? |
Citat:
|
Citat:
|
Fredrik,
Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt. |
Citat:
@SimonP Det kommer nog bli något liknande det andra alternativet. |
Fredrik,
Bra att du agerar. Jag har precis gjort samma sak själv idag där jag såg att en sajt med ett skript som jag inte kodat själv endast använde md5 utan salt. Jag använder givetvis salt när jag själv kodar (N.nu har alltid haft salt + mycket mer). Jag rekommendera denna med det bästa svaret där: http://stackoverflow.com/questions/1...assword-hashes Precis infört det själv. |
Att vänta tills användare loggar in och sedan konvertera är en dålig idé. Det kan dröja innan alla har loggat in. Bättre att konvertera allting på studs.
|
Jim,
Applåder! |
Här är den kod jag skrev för att göra detta. Hoppas den kan hjälpa andra.
<?php echo "Startar konvertering ...<br><br>"; $sql_host = 'subdomän.domän.se'; $sql_database = 'name_of_db'; $sql_username = 'username'; $sql_password = 'password'; $sql_table_name = 'name_of_table'; // Ta en fras härifrån: https://api.wordpress.org/secret-key/1.1/salt/ $salt = "din fras kommer här"; $mysql_connect = mysql_connect($sql_host, $sql_username, $sql_password); mysql_select_db($sql_database, $mysql_connect); // Namn på kolumner nedan kan behöva korrigeras: $result = mysql_query("SELECT username, password FROM ".$sql_table_name.""); while($row = mysql_fetch_array($result)) { $new_hash = md5($salt.$row['password']); mysql_query("UPDATE ".$sql_table_name." SET password = '".$new_hash."' WHERE username = '".$row['username']."'"); } echo "Konverting klar"; ?> <pre> Ändra nu följande: ----------------------- Ändra din inloggning från: if(md5($_POST['password']) == $password) { // Inloggad } Eller liknande som du har till följande istället: $salt = "din fras kommer här"; if(md5($salt.md5($_POST['password'])) == $password) { // Inloggad } Radera sedan denna filen från servern! </pre> |
Gör backup på DBn innan man kör det här, så man kan rulla tillbaka om något går fel.
Citat:
|
Citat:
|
Visst ska man ha "bra" lösenord men är dåliga lösenord verkligen det största problemet?
Det spelar väl ingen roll om jag har XMdfpfvew :_5ghtj)KFHJFHN &%()€=#/FTY€)JFMWofe om jag har samma på alla ställen? Kommer det ut på ett ställe (vilket det kommer förr eller senare) så är jag ju rökt överallt. Att skratta åt dem som hade enkla lösenord på Bloggtoppen är väl också att skjuta fel - om de har olika på alla ställen och "säkra" på känsliga/viktiga platser, so what? Att jag reagerar är att jag fått mejl från ett par kunder som är oroliga och undrar över sina lösenord - vill att jag ändrar på alla deras platser till ett (1) säkert som de kopierat från en tidning. Visst vi kan kräva att webbplatser har en säker hantering av användaruppgifter men ska vi vara ärliga så är det väl bara en tidsfråga innan vi ser nästa databas dump. Med det inte sagt att vi ska göra vad vi kan för att skydda användare. |
Citat:
|
Citat:
2. Saltet bör läggas efter lösenordet för att försvåra bruteforce |
Tyvärr fanns man med i databasen, men jag lyckades inte dekryptera mitt lösenord. Någon som har en uppfattning om hur svårt är det att få fram lösenordet om man använder "unika" ord som inte finns med i kända databaser?
|
Citat:
(tio tecken) |
Citat:
Men ca nio timmar tar det med min Core i5 2500 att knäcka mitt eget lösenord med den mjukvara som jag använder (dvs den mjukvara som jag laddade ner för ändamålet, knacka lösenord är ingenting jag normalt ägnar mig åt). Mitt lösenord var zsv95JnX, dvs inga specialtecken. Jag kan mindre än noll om kryptering. Så nio timmar tog det för mig som inte kan ett smack om lösenord. För en hacker skulle det förmodligen gå betydligt fortare. |
Ja, med en CPU ja.. Men hur fort går det med en GPU? Nu har du ett ovanligt starkt lösenord. Men jag satt och lekte i morsen med bloggtoppen MD5 och tjänsten http://www.md5decrypter.co.uk/ , det var många lösenord som fanns..
Gratisbio skall vi inte tala om, där ligger alla lösenord i klartext.. Folket på flashback sitter och testar t.ex gratisbios användar uppgifter emot t.ex Facebook. Vad jag förstår så är det väldigt många som kommer in.. Citat:
|
Citat:
Citat:
|
Hm, ingen downloadlänk funkar för mig.
Skulle gärna vilja kolla om jag ligger i den där listan. Nån som har en fungerande länk? :) Edit: Hittade på FB nu, tack ändå :) |
Vad som är värre är ju företag som Adfair, Euroads, Adservicemedia (alla danskar verkar vara dåliga på säkerhet) där lösenord lagras i klartext och syns i ens kontrollpanel när man loggar in.
Och här har vi då ekonomisk information i form av intäkter för en affiliates verksamhet. Bloggtoppen har ingen sådan information. Trots att jag påpekat detta några gånger sedan 2008 har inget hänt. Vänta bara tills Adfair eller Euroads blir hackade. Det blir kul! |
Citat:
|
Citat:
Fredrik Pallin är specialist inom sociala medier. "Man får tänka om och göra det lite svårare", säger han om de vanligaste lösenorden. Citat:
- - - - Nyheten har nått Matt Cutts (som tydligen följer Rick Falkvinge): http://twitter.com/#!/mattcutts/stat...08526877892608 |
Citat:
|
Medias hysteri kring det här intrången är katastroft dåligt gjort.. Verka som hela Svenska journalistkåren har Aftonhoran som någon förebild, att alla skall producera lika dålig journalistisk som Aftonhoran numera.
Fick en gamla domän uthängd ( Som jag inte äger ) , det visar sej vara en kundweb som hade blevit hackad för länge sedan Har personligen ingen anknytning till den verksamheten längre, men tycker ändå dåligt av media. När det skall skyddas brottslingar, så är man jättenoga med tom vitpixlar bilder, men här behövdes ingen efterforskning alls eller faktakoll alls utan bara ut med skiten, utan nyanser.... Citat:
|
Det är massor med databaser, det är inte bara bloggtoppen och gratisbio.. Skulle vara intressant veta hur många sportfiy konto och facebook konto som har blivit kapade.
Citat:
|
Vafan håller folk på med? Gratisbio och Gratisspotify sparar lösenord i klartext? Vad är det för idiot som har programmerat skiten?
Tom folk som inte är programmerare vet att det är hash + salt som gäller. Det positiva är att folk fattar att dom måste välja starkare lösenord. "Password" är inte alla gånger det bästa valet. :P |
Snälla rara, tillbaka till ämnet!
|
Sporrad av Ciffans kommentar tog jag bort hela off-topic diskussionen. Är det så att ni verkligen vill föra den så skapa en ny tråd med en relevant frågeställning.
|
Citat:
Detta är såklart helt OK, om det inte vore för att projekt som borde kosta runt 100' görs för ~5' - 10' av någon som inte alls är kvalificerad för det. (nej man är inte fullärd webbutvecklare för att man läst webbdesajn A på gymnasiet) Ett annat alternativ är att man köper/laddar hem ett färdigt system och inte har kunskapen för att kunna granska koden och hitta potentiella säkerhetsbrister. Många hyfsat populära sidor är rena lapptäcken av klipp-o-klistra kod där det är uppenbart att den/de som byggt sidan från början hade ganska bristfälliga kunskaper. |
Citat:
:) Sorry, kunde inte hålla mig. Ha en härlig helg nu och fundera fram ett bra system för era lösenord! |
Det är väl misstag man gör i början, att man inte har några 100k att leka med. Oftast är hobby projekten som lyckas, just för det är hobby projekt, det finns arrangemang och drömmar.
Dock håller jag med ,att lagra lösenord klartext är illa, men man kanske tyckte det var enkelt från utvecklingens sida ,att kunna skicka lösenorden ingen. Citat:
|
Det är som att säga att det är tjejens fel att hon hade utmanande kläder på sig och därför blev hon våldtagen. Det är idioter som håller på med olagliga intrång som är boven, inte den som blir drabbad. Eller ni kanske menar att om ni glömmer att låsa dörren hemma så är det ok att komma in?
|
Det stora felet har naturligtvis den gjort som hackade sig in (om det nu var så det gått till) och tagit lösenordsbasen och sedan lagt ut den. Om det tror jag inte det råder någon oenighet om.
Men sedan tycker jag att man har särskilda förpliktelser när man hanterar andras tillhörigheter, speciellt om man vet att de är "stöldbegärliga". Om jag t ex förvarar någons laptop hemma hos mig och ställer den på köksbordet och går i väg utan att låsa dörren då tycker jag att även jag har en del i skulden om den stjäls. Om jag däremot förvarat den så säkert jag kan så har jag ingen skuld i det. Vad som kan ingå i "så säkert jag kan" beror på situationen. Det är detta som gör att jag anser att siteägaran kan ha del i skulden. Liksom de journalister som använt samma lösenord på sin arbetsmail där de förvarar kontakter och material de fått från andra Skuld har däremot inte de som utsatts för inbrott och stölder där deras saker försvunnit. Här handlar det snarare om vad man kan göra för att skydda sig mot att bli utsatt för brott av olika slag, brott som vi vet sker. |
Själva problemet ligger i att det råder delat ansvar, vilket innebär att ingen känner sig helt ansvarig.
Uppdragsgivaren litar på att programmeraren gör sitt jobb. Programmeraren litar på att användarna inte återanvänder viktiga lösenord. Användaren litar på att lösenordet hanteras säkert, osv. Så det går egentligen inte att peka finger mot någon. Mitt eget lösenord blev hackat i den här härvan. No big deal, eftersom jag hade använt ett unikt lösenord som jag inte använder på annat håll. Jag är alltså inte det minsta sur över att Bloggtoppen bara använde m5d. Men hade jag använt samma lösenord som jag har till min inbox eller server, så hade jag förmodligen varit rosenrasande (både på mig själv och bloggtoppen). Det krävs att flera personer ska klanta sig, för att olyckan ska vara framme. Samtidigt så är både programmerare och användare benägna att klanta sig, eftersom de utgår ifrån att den andra parten gör rätt. |
Om man som programmerare förutsätter att användare gör "rätt" eller precis som man tänkt, så är man en dålig programmerare ;)
Om man kodar någonting där det skall vara användare inblandat så måste man tyvärr utgå från att användare är idioter och sen försöka hantera det. Att folk har värdelösa lösenord, som de dessutom återanvänder, är ju ingen nyhet. (Ett av de få sätten att stoppa detta är väl att generera lösenordet åt användaren) |
| Alla tider är GMT +2. Klockan är nu 08:29. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson