Linkedinlösenord ute!
 

Aftonbladet har inte riktigt hela bilden klar för sig, lösenorden var alltså hashade: http://www.zdnet.com/blog/btl/646-mi...d-online/79290

Byt ändå, men inte lika illa som man kunde tro :)

Ingen salt.

Dafuq. Det är skrämmande hur dålig säkerhet stora som små sajter har. Skäms!

Däremot är inte epostadresserna släppta ännu. Lär väl spammas av hackarna själva först.

Var kan man ladda hem hasharna?

Finns lite länkar här: https://www.flashback.org/t1888259

Verkar bara vara en liten delmängd, 6.5M av 150M användare. Mitt fanns exempelvis inte med, testa här:

http://leakedin.org/

För det mesta har stora sajter börjat smått med oerfarna unga personer bakom spakarna. Man skyndar då fram och slarvar ofta här och där. När man sedan blir stor och kanske köps upp av större bolag så är sällan förbättring av säkerheten något som prioriteras, det är inget man tjänar pengar på helt enkelt.

Sen är även problemet att byta lösenordsalgoritm inte går att göra i en handsvepning. Det man kan göra är att uppdatera allt eftersom användare loggar in och autentiserar sig. Troligtvis är nuvarande systemet som LinkedIn använder utvecklat för många år sedan.

Men man kan sannerligen tappa pengar på det så det är ju fortfarande pengar att tjäna över tid men ja, de är inga snabba pengar och man har otur om man tappar pengar pga sånt här men risken finns ju alltid.

De verkar inte ha förlorat något alls på det här om man kollar deras börsvärde. Jag hade trott ett litet tapp i alla fall.

Det som inte får hända hände. Och bolaget verksamhet rullar på som vanligt.

Katastrofer kan i vissa fall till och med ha en positiv effekt på börsvärdet. Förutsatt att krishanteringen fungerar över förväntan. Tex så kan en serverkrasch skapa förtroende på marknaden, om alla backup-lösningar fungerade.

Men, ja. Som du säger så borde ju rimligen ett intrång påverka börsvärdet i negativ bemärkelse.

Det som stör mig i det hela är att LinkedIn inte heller skickar ut någon information om detta, jag hade förväntat mig ett mail från en tjänst om dom blev hackade.

Eller åtminstone nån liten nåtis på sin webbplats, jag ser iaf inget där när jag tittar på förstasidan!

Och nu såg jag detta: http://blog.linkedin.com/2012/06/07/...t-our-members/

Så jag får backa på mitt förra inlägg

Fick detta mailet nyss:

Dear Andreas,

We recently became aware that some LinkedIn passwords were compromised and posted on a hacker website. We immediately launched an investigation and we have reason to believe that your password was included in the post. To the best of our knowledge, no email logins associated with the passwords have been published, nor have we received any verified reports of unauthorized access to any member’s account as a result of this event. While a small subset of the passwords was decoded and published, we do not believe yours was among them. The security of your account is very important to us at LinkedIn. As a precaution, we disabled your password, and advise you to take the following steps to reset it. If you reset your password in the last two days, there is no need for further action. 1. Type www.linkedin.com/settings directly into your browser 2. Type in your email address and press Sign In, no password necessary 3. Follow the on-screen directions to reset your password Note: Do not reuse your old password when creating your new password. If you have been using your old LinkedIn password on other sites, we recommend that you change those passwords too. We appreciate your immediate attention to resetting your password and apologize for the inconvenience. Thank you,
The LinkedIn Team

Kul att de känns som de lägger allt på användaren hur man ser till att man har säkert lösenord, och att man skall byta var annan månad mer eller mindre.

Apropå det... Är det bara jag som rent mentalt inte klarar av att följa råden för säkra lösenord? Jag har ca 200 lösenord. Det är omöjligt för mig att skapa unika lösenord med bokstäver, siffror och specialtecken varje gång. Jag kan inte hålla det i huvudet.

Jag använder lösenord i stil med Wi7Ä^w/e3&, men sparar dem i en krypterad fil med ett master-lösenord. Att spara alla sina lösenord på ett ställe, är ju nästan en lika stor säkerhetsrisk, som att återanvända samma.

Jag försöker att använda mig av lösenord i stil med hästendrickerkaffepålandsväg38 (hästen dricker kaffe på landsväg 38). Dvs lösenord som är lätta att komma ihåg, men som är svåra att knäcka. Men inte ens det fungerar när det rör sig om 200 lösenord, varav några jag bara använder någon gång om året. Ska jag dessutom byta lösenord några gånger i månaden, så blir det ännu mer omöjligt att hålla reda på dem.

Att tvinga användaren att byta lösenord med jämna mellanrum, eller att tvinga användaren att använda säkra lösenord, tror jag kan ge motsatt effekt. Tex så tvingar DIBS oss att byta lösenord några gånger varje år. Det gör att DIBS lösenord cirkulerar via mail, telefon, msn messenger, postit-lappar, mm över hela kontoret. Och ändå så är det alltid någon som inte har fått det nya lösenordet och som råkar spärra inloggningen efter tre misslyckade försök. Det kan knappast öka säkerheten.

Håller helt med dig, jag VET själv att jag använder relativt osäkra lösenord på många inloggningar men det gör jag med flit eftersom jag inte ser ett intrång på dessa som något särskilt allvarligt. Sedan finns det naturligtvis andra inloggningar där jag använder betydligt säkrare lösenord. Än så länge har jag inte råkat ut för några problem.

Men det behöver inte vara ett krångligt lösenord med siffror, stora bokstäver.
Om du har lösenordet "123" och "abc"; vilket är enklast att bruteforcea?
Det beror ju på hur tablen ser ut, men antagligen provar den första 0-9, a-z i varje.
så
1
2
3
osv.
a
b
c
osv.

det finns fler bokstäver än siffror, alltså tar det längre tid att knäcka 29 ^ 4 än 10^4, sedan så är det klart bra med stora bokstäver, då blir ju (29 ^ 2)
^4

Bygg meningar, använd struktur och bygg meningar.
Och bygg meningar.

mittWN.seLösenord123 är t.ex. jättesäkert och uppfyller alla krav som finns.

Använd liknande struktur i alla "osäkra" lösenord, för att sedan bryta mönstret då och då, i slutändan kommer du ha sajt-unika lösenord, starka som attan och allt du behöver komma ihåg är mönstret på lösenordet.

mittWN.seLösenord123
mittSwedbankLösenord234
mittHamsterpajLösen666
annatWN.seLösenord123
tredjeHemligaWN.seLösenordet123

Etc. 97.8% av sajterna tillåter även whitespace i lösenorden eftersom dom hashas direkt - vilket gör det möjligt att faktiskt använda "Det här är mitt WN.se lösenord" - som lösenord.

Alla dessa lösenord är förövrigt tiotals gånger starkare än t.ex. "Wi7Ä^w/e3&" - främst pga. att dom är flera gånger längre.


EDIT: En annan bra lösning är att köra 1Pass eller Lastpass (eller liknande tjänst) - gärna med 2-factor auth påslaget, som t.ex. lastpass + yubikeys

:)

http://imgs.xkcd.com/comics/password_strength.png

Hehe, det stämmer väl till viss del förutsatt att man verkligen låter datorn gissa hej vilt. Det går ju dock utmärkt att köra med en orddatabas och då stämmer inte riktigt jämförelsen :) Ansvarsfulla webbplatsägare kan förbättra säkerheten för användarna enormt genom att bara lägga in en spärr på fem försök eller dylikt.

Fast en orddatabas hjälper väl ändå inte om det är flera olika ord som satts ihop? Blir inte det bara som ett enda långt, konstigt ord?

Sätta ihop ord kräver mindre än att slumpa bokstäver. Det finns betydligt färre ord än vad det finns bokstavskombinationer :) Dessutom börjar man lämpligtvis med de vanligaste orden. Nu kanske jag överskattar ligisterna men det finns nog några som är lite smartare.

Den sätter ju ihop flera ord och testar...

Aha, men då kommer nästa fråga (jag är inte så jättehaj på krypteringsalgoritmer/hashning/lösenordsknäckning); det lär finnas väldigt många fler ord än det finns tecken och om man sätter ihop 8 tecken vs. 4 - 5 ord, blir ordvarianten mer svårknäckt än teckenvarianten?

Ja.

"Det var en gång en liten fisk!"
är mycket mer svårknäckt, både med ordlistor och (omöjligt med) bruteforce än
"Dvegelf!" - till att börja med så vet ju personen som sitter med en hash i handen inte att det är en mening.

Mer entropi == bättre lösenord, alltid.

Absolut, även om alla ord utom ett i den meningen hör till de 150 vanligaste svenska orden så är det en hel del permutationer att gå igenom. Använder man en större uppsättning specialtecken, siffror samt små / stora bokstäver så går det att öka säkerheten i den andra varianten rejält också dock (inte alltid alla tecken tillåts i lösenord visserligen).

Att bara sätta något tecken runt ordvarianten, t.ex. "# [ord] [ord] [ord] #" gör ju också vanliga ordlisteförsök ganska fruktlösa. Finns många olika trick man kan ta till för att göra lösenord säkra OCH enkla. Det är svårt för sabotörerna att täcka upp alla möjligheter, då kan de lika gärna bara bruteforca de mindre säkra lösenorden istället.

OBS! Jag fick ett spammeddelande från "LinkedIn©" idag. Det var ett phishingförsök att få tag i mitt lösenord. Det kom förbi gmails spamfilter!

Jag gissar på att de fick tag i mitt email eftersom mitt konto hade blivit hackat, men jag hann ändra lösenordet i tid.

Här kommer headers: