WN - Intrång på spray.se

WN (https://www.wn.se/forum/index.php)

- Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)

- - Intrång på spray.se (https://www.wn.se/forum/showthread.php?t=28779)

Lumax

2008-04-20 17:48

IDG - Intrång på Spray.se - lösenord låg ute i klartext

Erik Stenman

2008-04-20 17:56

Det var väl på tiden. Har mailat dem några gånger om deras usla "glömt bort lösenord"-funktion men inte fått något svar. Det har gått att få ut lösenord från användare som registrerade sig för cirka ett år sedan genom den utan att veta något om dem. Ska inte gå in närmare hur man gör men helt ofattbart att de lagrar lösenord i klartext.

RickardP

2008-04-20 19:09

Efter alla tragedier med lösenord och grejer, vad är det för kryptering man ska sattsa på?

Några förslag?

Har inget stor site själv ännu men har planer ;-)

htiawe

2008-04-20 19:24

MD5 + salt brukar väl rekommenderas.
Det diskuterades väl ungefär när Proinet hackades, har jag för mig.

gsoc	2008-04-20 19:28

sha256 och salt brukar räcka...

KarlRoos

2008-04-20 19:50

Jag tänker implementera något liknande den här

Kod:

$salt0 = 'K"J8iewu89re7")=4890¤2304ioeuf98dufi4yu58rtysadifh489ytisd';

$salt1 = 'kdajrkehr8747623w4uijhds125ÖÄÖÅ|<>1228djvhdtshc**^^¨¨14kd9';

$salt2 = 'ok9s8dj!!¤%&==#)¤(83940+909Xlkxlkl-lö8)(KJ!)u3ih(!Y"#uyw83';

$salt3 = 'oakdoU"(9u3897)=#8294789¤YU89324y84789<se<893y483749<8syue';

$salt4 = 'I!OU#(/¤"6¤"/")%¤("=%"?!%&)!#(%)#8493i<jd<9234ijf593ufidh5';

$salt5 = '--._:-:-:Pdlkwke§294i9)"3013o32irofkjl<sfk?++0<><kljwkr535';

$salt6 = '&!"/"y4udhsjadhJDMNsxnmnmNXiwiu93419i49odiolwdko  1i3o23';

$salt7 = '!)("/¤("/RISjdskcm,scm="64968598e390rio<kfl<jf9ir90i594ire';

$salt8 = '½!"½!2§13klfjSKfjkjtej9fdjvin4köl0(/(#7539589%=3958989siuf';

$salt9 = 'OKS9ri294u8)=(935+0+osdsokd035i0isoadfosjf0324OJSIhriS=?=)';



$pass = sha1(sha1(sha1(md5(sha1(sha1(sha1(md5(sha1(md5($salt0 . $pass) . $salt1 . $pass) . $salt2 . $pass) . $salt3 . $pass) . $salt4 . $pass) . $salt5 . $pass) . $salt6 . $pass) . $salt7 . $pass) . $salt8 . $pass) . $salt9 . $pass);

då lär man ligga på den säkra sidan...

Timofey

2008-04-20 20:00

KarlRoos, detta är väl ändå lite onödigt... kommer att belasta servern en del

Edit: Tänk hur många operationer som kommer behöva göras varje gång någon loggar in

KarlRoos

2008-04-20 20:20

Citat:

Originally posted by alltinggratis@Apr 20 2008, 20:00
KarlRoos, detta är väl ändå lite onödigt... kommer att belasta servern en del
Edit: Tänk hur många operationer som kommer behöva göras varje gång någon loggar in

Yep, jag vet.
Men hellre ligga på en totalt överdriven säker sida och sova gott om natten.

Julian

2008-04-20 20:41

varför lär dom sig inte? ...suck

Timofey

2008-04-20 21:04

Undrar vad "Vuxna Förbannade Hackare" tjänar på det hela?

SimonP

2008-04-20 22:17

Citat:

Originally posted by alltinggratis@Apr 20 2008, 20:04
Undrar vad "Vuxna Förbannade Hackare" tjänar på det hela?

Dom är attention whores, dom verkar ta första bästa större sida som har något hål.
Jag hade nästan kunnat acceptera deras hyss om dom varit yngre tonåringar, men när en av dom är 30+ så blir det hela ännu mer patetiskt.

Kristofer

2008-04-21 01:03

Dom kanske jobbar på att fylla ut sina CVn inför en jobbansökan inom IT-säkerhet? Gissningsvis har de inte desto mer akademisk utbildning utan de är snarare självlärda.

Neo	2008-04-22 07:30

En dynamisk, och en statisk salt, vardera på en MD5a, lagra i SHA1.

Kod:

$statisk_salt = '6c1f9ccc6b04fd3c66c671576a227a50';

$dynamisk_salt = md5(uniqid(rand(), true));

$krypterat_lösenord = sha1($statisk_salt . $lösenord . $dynamisk_salt) . ':' . $dynamisk_salt;

Som Joomlas dynamiska saltning, men med en extra statisk salt.

Ps; Nej, jag kodar inte med svenska variabler.

Gazunk

2008-04-22 22:03

Citat:

Enligt Spray.se fanns det i november 2007 600 000 medlemmar på Spraydate

Wow, två miljarder medlemmar ;)

Rapidfiles

2008-04-23 00:53

Citat:

Originally posted by Gazunk@Apr 22 2008, 22:03

Citat:

Enligt Spray.se fanns det i november 2007 600 000 medlemmar på Spraydate

Wow, två miljarder medlemmar ;)

Du märkte att det var 600 000st november 2007? :)

För övrigt så funderade jag faktiskt på spray som host, men som tur var skaffade jag en annan, även fast en del tycker spray är bra för någon anledning.

autosvar

2008-04-23 23:06

Citat:

Ursprungligen postat av SimonP

Citat:

Ursprungligen postat av alltinggratis

Undrar vad "Vuxna Förbannade Hackare" tjänar på det hela?

Eftersom du vet vilka de är - varför använder dem inte sina kunskaper till att tjäna pengar genom kodanalyser och penetrationstester? Eller sitter de på dubbla stolar?

elitasson

2008-04-24 12:53

Även dustin.se har allas lösenord sparade i klartext såg jag nu =/

JonathanS

2008-04-24 13:09

Citat:

Originally posted by elitasson@Apr 24 2008, 11:53
Även dustin.se har allas lösenord sparade i klartext såg jag nu =/

Listan på leverantörer som sparar lösenord i klartext är väldigt lång. Känner till ett flertal större aktörer i vår bransch (och relaterade branscher) som gör det. Ett enkelt sätt att avgöra om en leverantör sparar lösenorden i klartext är att begära ut sitt lösenord via e-post. Om samma lösenord skickas ut/genereras så är det sannolikt inte ordentligt krypterat.

Cykelpedal

2008-04-24 13:23

Blev lite förvånad då LunarStorm skickar ut samma lösenord man har...
Men de har väl hög säkerhet, iallafall har dom fått mig att tro det.

gummianka

2008-04-25 04:17

Sen tycker jag kanske man ska fråga sig vilken relation ts (Fredrik S) har till VFH. Det blir såklart underordnat vad man tycker om dom, men för mig, som tycker det är förkastligt (jag menar, schysst, vill man hjälpa till att förbättra säkerheten hos Spray, gör det, men påtala det FÖR dom då) så tycker jag såna samband ska klargöras.

När man hackade Aftonbladet så var det mycket snack om "stort mediabolag", "en del av makteliten" (inga direkta citat) men här är det ju bara enskilda människor, om någon, som drabbas...tarvligt..

Alla tider är GMT +2. Klockan är nu 20:15.