Kom ihåg mig?

Familjeliv.se hackad - 120 000 "krypterade" lösenord på vift

 
Ämnesverktyg Visningsalternativ
Oläst 2012-01-24, 10:58 #1
coredevs avatar
coredev coredev är inte uppkopplad
Bara ett inlägg till!
 
Reg.datum: Sep 2007
Inlägg: 1 554
coredev coredev är inte uppkopplad
Bara ett inlägg till!
coredevs avatar
 
Reg.datum: Sep 2007
Inlägg: 1 554
Citat:
Ursprungligen postat av tartareandesire Visa inlägg
Det står i artikeln att lösenorden är krypterade.
Att de är krypterade gör tyvärr inte saken mycket bättre. Dels kan man med en stor mängd krypterad information (listan med lösenord) ihop med en ordlista (en lista på de vanligaste svenska lösenorden, t.ex. "sommar", "mamma", etc) för flera symmetriska krypton få fram den ursprungliga nyckeln. Dels så kan man få tag i nyckeln på annat sätt, i värsta fall lagras den i en stored procedure i databasen.

Citat:
Ursprungligen postat av oskarh Visa inlägg
Var skulle man annars spara lösenorden?
Citat:
Ursprungligen postat av Danski Visa inlägg
Om man inte har någon openID, bankgiro eller liknande lösning så är det väl ändå tvunget att ha lösenorden sparade i databasen? Tror trådskaparen missuppfattat att det var sparat i klartext, eller? Familjeliv har haft användarnas lösenord sparat som en hash.
Man skall icke spara dem alls i någon form som går att härleda till det ursprungliga lösenordet. En hash är alltså OK men att ha det krypterat är ej OK. Att spara lösenord i databasen i en form som går att härleda till det ursprungliga lösenordet år 2012 är helt klart skamligt.

Att det i detta fallet skulle handla om en hash var ny information för mig. I Aftonbladets artikel står det tydligt att lösenorden var "krypterade", men å andra sidan är väl AB inte känd för att vara direkt tillförlitliga. Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.
coredev är inte uppkopplad   Svara med citatSvara med citat
Oläst 2012-01-24, 13:27 #2
rhdf rhdf är inte uppkopplad
Flitig postare
 
Reg.datum: Mar 2006
Inlägg: 359
rhdf rhdf är inte uppkopplad
Flitig postare
 
Reg.datum: Mar 2006
Inlägg: 359
Citat:
Ursprungligen postat av coredev Visa inlägg
Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.
Gissningsvis för att de vet att de kanske bara hade lösenorden hashade med MD5 utan salt
Eller så är det något skumt sätt att lugna sina användare.
Lite som "Joo det brinner inne hos din granne, det är ingen fara men du gör nog bäst i att gå ut på gatan en stund"
rhdf är inte uppkopplad   Svara med citatSvara med citat
Oläst 2012-01-28, 16:45 #3
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
Citat:
Ursprungligen postat av coredev Visa inlägg
Att det i detta fallet skulle handla om en hash var ny information för mig. I Aftonbladets artikel står det tydligt att lösenorden var "krypterade", men å andra sidan är väl AB inte känd för att vara direkt tillförlitliga. Frågan är dock varför VD:n går ut och rekommenderar att alla byter lösenord om de var ordentligt hashade.
Jag utgår från att krypterade här innebär just hashade lösenord. Något annat vore betydligt mindre sannolikt.
__________________
Full-stack developer, free for smaller assignments
tartareandesire är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 
Ämnesverktyg
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 02:10.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017