Battle.net hackat, krypterade lösenord på vift

Bytte för att vara på den säkra sidan. Man bör väl byta lite då och då oavsett

Jag brukar skriva en mening t ex:
Just nu skriver jag 1 inlägg på SweClockers forum!

Sen tar man första tecknet i varje ord:

Jnsj1ipSCf!


Ett svårt lösen som är lätt att komma ihåg.

En dictionary attack hade dock kunnat ta det (hade iofs tagit sin lilla tid det också)

Tur att jag använder en unik epost för mitt b-netkonto och endast b-netkontot. Blev hackad en gång förut efter att jag lirat på ett internetcafé, så jag bytte mail och skaffade ett unikt lösenord plus mobile authenticator.

Självklart är det bättre, men man orkar ju inte skriva en uppsats varje gång man ska logga in

Dessutom så har en del tjänster max antal tecken.

Jag rekommenderar lösenord som tex Iama3foot5longmetamorph. Enklare att komma ihåg än 4@dVR9druS dessutom svårare att bryta sig in i pga sin längd.

Skickades från m.sweclockers.com

Ett bra tips är att ha ett e-mailkonto enbart för lösenordshantering av dina konton, sätt en authenticator/ett eget lösenord för eposten, gå aldrig in på det utanför din hemdator och via ditt eget nätverk. Radera alltid breven i det efter du läst dem. Ett laddat konto med alla brev och kontakter är godis för en hacker, tyvärr.

Det går inte automatiskt snabbare bara för att man har ord istället. I detta fallet var varje bokstav (Jnsj1ipSCf!) utbytt mot ett ord som börjar med den bokstaven.

I det korta lösenordet (Jnsj1ipSCf!) används stora och små bokstäver, siffror och andra tecken. Låt oss dra till med 100 olika tecken. Det blir 100^11 (10^22) kombinationer (väldigt mycket). I det längre lösenordet (Justnuskriverjag1inläggpåSweClockersforum!) är varje tecken utbytt mot ett ord. Låt oss ignorera det faktum att stora/små bokstäver, siffror och specialtecken används. Då är det en ihopsättning av 9 svenska ord. Låt oss säga att det finns ~50000 ord i svenskan, då blir det en 50000^9 (~2*10^42) kombinationer ifall man gör en ordboksattack. Ja, en ordboksattack minskar antalet drastiskt, men faktumet kvarstår att den måste sätta ihop lika många ord som den vanliga bruteforcen måste sätta ihop tecken, och antalet ord är mycket större än antalet tecken.

Inte inom det närmaste 100åren med dagens datorkraft. Ta alla ord som finns i svenska ordlistan+alla tecken(1an)+specialtecken(!)+namn(SweClockers), sedan upphöjt med antalet "ord" (10st). GLHF.

Det schyssta med att spela spel här är att man enkelt kan använda sig av ett totalt random lösenord.
Du spelar oftast vid en dator, en eller två och kan då enkelt använda en tjänst såsom lastpass eller keypass för att generera extremt svåra lösenord.

Problemen är inte lösenorden i sig själv utan att Hashningen brukar vara extremt dålig. För att tydliggöra ett exempel.
MD5 som används av många än idag knäcks extremt lätt. Ett Radeon 7970 trycker på uppemot 8Miljarder hashningar per sekund i brute-force läge.
Det innebär att ett 8 ords lösenord som blivit hashat utan salt knäcks på ingen tid alls.

Nyare och bättre algoritmer står givetvis pall bättre, SHA-1, SHA-256/512 får ner antalet attacker per sekund avsevärt.
Men koppla då på en liga som verkligen vill åt ditt lösenord och använder sig av workstations eller ett bladrack med GPU:er som attackerar och ja, ni ser själva hur löjligt det blir om man inte har ett långt slumpmässigt lösenord eller använder sig av en bra algoritm ( > SHA-1).

Tänkte bara säga två ord: Mobile Authenticator.

Blir bara gladare och gladare över att jag skippade DIII.

Det var väll bara en tidsfråga, BattleNet måste ju vara en våt dröm för hackers.

Intressant diskussion om lösenord. Men hur står sig den kryptering Blizzard använder (Secure Remote Password protocol (SRP))? Som jag förstår det efter att ha tittat lite på Wikipedia så är det en väldigt stark kryptering med salt och grejjer, men hur lätt är den att knäcka?

Fast, de verkar ju ha kommit åt information från den också, så Blizzard rekommenderar en uppdatering till den.

Jag skrev lite om det i min blogg.

Meh "hardware" authenticator, annat pass på min mail som är bunden på mitt b.net konto osv, känner mig rätt safe.

Dock en stor dröm för goldnissar att komma åt massa konto såhär ;>

Aj då Blizzard!

Lite märkligt att 'alla' pekar finger åt Blizzard men ingen (nästan) verkar fördömma det otyget med hacking/cracking?
Nej visst ja...hackare gör ju en välgärning...suck!

Hellre 4 ord t.ex. "correcthorsebatterystaple" än 10 random tecken, oavsett Dictionary attack eller inte.

Alla mina lösenord är en blandning av slumpvis utvalda engelska/svenska ord. t.ex. "fönsterpaperhorsehatt". Säkrare och lättare att komma ihåg än 8 slumpvis tecken. Kör ett dedikerat lösenord till varje site så jag inte har samma på två sidor, förutom mina forumlösenord som alla är samma då det inte är någon känslig information man kommer åt då.

Har också börjat med långa lösenord enligt xkcd, men när man på blizzard varken får ha mellanslag eller åäö, och dessutom måste ha med en siffra, blir man ju bara trött. Och lösenordet får max vara 16 tecken... Varför i hela friden har man i modern tid en maxgräns på längden för ett lösenord?! Är lagringskostnaden för hög eller??

För er som är oroliga för authenticators så verkar man va säker om man har Europeiskt konto, men har man NA konto så står det såhär:
"With regard to Mobile Authenticators, information was taken that could potentially compromise the integrity of North American Mobile Authenticators. We have no evidence that other regions were affected. We are working quickly to provide software updates to users."
Och Blizzard är ännu inte säkra om fysiska authenticators är drabbade. Ni kan läsa mer på http://eu.battle.net/support/en/arti...ity-update-faq

Bytte pw för att vara på säkra sidan

humdidum...får hoppas att dom kommit ut med hela sanningen så att dom inte ändrar sitt statement sen till "oh yes alla eu konton också, o vi har lösenorden i passwordsEUservers.txt i klartext" :/

Har kvar skyddsplasten på min Authenticator, det är den värd

Was the physical authenticator compromised?
We believe the integrity of the physical authenticators remains intact.

Nja, eftersom supportpersonal över t.ex. telefon använder svaren på SQ så är det en nödvändighet att inte ha dem krypterade. Eller man kunde haft dem krypterade, men då måste man ju spara nycken någonstans också. Visst att man kan ha det på samma sätt som ett lösenord. Men då måste du kunna ange exakt hur det är skrivet över telefon OCH den som tar emot samtalet får inte skriva ngt fel för då är DU körd.

Återigen är lösenord och användaruppgifter på vift. Har inte dessa företag brandväggar och grejer? Är inte så insatt men det borde väl inte vara omöjligt att göra ett helt säkert system eller ?

Jag är optimistisk

Sen har jag haft samma lösenord i 8 år så det känns lite tråkigt att behöva byta

Men nu får de väll ändå ge sig?

Rota fram dessa hackers från sina hålor och ställ dom inför rätta!

Fast kombinerar en dictionary attack fraser? Har alltid fått för mig att den kör ordlistan från toppen till botten.