[klein]

http://www.polisen.se/Utsatt-for-bro...-via-Internet/

Som kungen säger , land skall med lag byggas.

Citat:

Ursprungligen postat av Timofey

Ni skulle ha skickat till alla era medlemmar istället för att joina på en (stulen) databas från en konkurrerande verksamhet.

Ni har skickat detta obeställda e-postmeddelande (spam) till mig i egenskap av enskild firma. Det är förbjudet att skicka obeställd e-postreklam till privatpersoner och enskilda firmor enligt http://www.konsumentverket.se/sv/int.../Anmala-spam1/
Jag betraktar ert utskick enbart som spam. Ni bryter alltså mot lagen.

Hur många är några tusen (som matchades felaktigt)? Tror det är många!

[Captain Thailand]

Hej,

Förhoppningsvis utmynnar denna soppa i två läxor för framtiden:

1. Användarna skärper till sig beträffande sina lösenord

2. Sajtägare (med populära webbplatser) skärper till sig beträffande säkerheten

...och så levde alla lyckliga i alla sina dagar.

[BarateaU]

Testade precis IDG's "sökmotor" för den hackade db'n.
http://computersweden.idg.se/2.21695

Men den hitta inte min adress som fanns med i filen, hmm.

[FredrikMH]

Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

[Jan Eriksson]

Citat:

Ursprungligen postat av FredrikMH

Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

För att inte störa användarna så är en tanke att när de loggar in nästa gång, kontrollera lösenordet och stämmer det så skapa en nya hash-tagg med salt och radera det gamla. Efter en viss tid så tvingar du de användare som ännu inte har loggat in.

En tank?

[FredrikMH]

Citat:

Ursprungligen postat av Jan Eriksson

För att inte störa användarna så är en tanke att när de loggar in nästa gång, kontrollera lösenordet och stämmer det så skapa en nya hash-tagg med salt och radera det gamla. Efter en viss tid så tvingar du de användare som ännu inte har loggat in.

En tank?

Ja fungerar fast inaktiva medlemmar måste man då sortera ut Men jag har nog en lösning att köra på så dumt av mig att gå OT här

[SimonP]

Citat:

Ursprungligen postat av FredrikMH

Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

Det bästa är att konvertera när de loggar in, vid korrekt inloggning konverterar du till det "nyare" formatet. Ett enkel lösning är att lägga till salt och ev. byta hashalgoritm, tex. SHA256(Md5hash + salt). Genom att kolla på längden på hashen i databasen så ser man om användaren är konverterad eller ej

[Captain Thailand]

Fredrik,

Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt.

[FredrikMH]

Citat:

Ursprungligen postat av Captain Thailand

Fredrik,

Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt.

Tack. Men jag borde gjort detta tidigare Det är inte först nu som jag insett att MD5 är dåligt, jag har bara varit för lat för att ändra det.

@SimonP Det kommer nog bli något liknande det andra alternativet.

[Jim_Westergren]

Fredrik,

Bra att du agerar. Jag har precis gjort samma sak själv idag där jag såg att en sajt med ett skript som jag inte kodat själv endast använde md5 utan salt. Jag använder givetvis salt när jag själv kodar (N.nu har alltid haft salt + mycket mer).

Jag rekommendera denna med det bästa svaret där:
http://stackoverflow.com/questions/1...assword-hashes

Precis infört det själv.