Dota 2-forum hackat – två miljoner lösenord på vift

Permalänk
Skrivet av rektor:

MD5, vilka pajaser. Man måste använda SHA-3!

Vad hände med SHA 256?

Skickades från m.sweclockers.com

Permalänk
Medlem

Kanske värt att nämna att det är ett utvecklarforum, ett simpelt forum för att rapportera buggar o.dyl. Ett stort misstag, visst, men det berör ändå bara en liten del av spelarna.

Permalänk
Medlem
Skrivet av Gtoxed:

Niice! jag gillar att detta hänt då jag är stor motståndare till DOTA2 och MOBA spel. de känns som när moba kom ut så förlorade jag så många av mina LAN kompisar till detta fasansfulla drog till spel, de slutade även komma ut o hänga för "de skulle bara spela en match till". vet inte hur många lan ja dragit till hos vänner med mina datorer i tron att vi ska lira BF, CS, Red alert 3, (ja du vet som ett lan ska vara, massa olika spel under maraton) för att sen bara komma dit och alla bara ska köra MOBA spel

hoppas dom hackar mer sånt här! Death to MOBA!

Herregud, dina kompisar föredrar ett spel dom inte du gillar. Dags att hitta nya "LAN kompisar" då kanske om dom inte vill spela dina spel och du inte vill spela deras?

Permalänk
Avstängd
Skrivet av rektor:

Det finns även PBKDF2.
Argon2 vann Password Hashing Competition i juli 2015.

Inte hört talats om kcrypt. Men det finns PBKDF2.

Förlåt mig nu kom jag ihåg det den heter Bcrypt https://en.wikipedia.org/wiki/Bcrypt

Visa signatur

Man är inte dum för att man har stavproblem.
Läs mer om min synfel Visual Snow
Om mig ----> #16970666

Permalänk
Medlem
Skrivet av HerrNilsson:

Ganska enkelt egentligen :).

1. Använd aldrig samma lösenord någonstans.
2. Använd Lastpass eller någon annan vettig lösenordshanterare.
3. Använd långa och komplexa lösenord, dvs inte ditt personnummer/telefonner eller liknande. Låt lösenordshanteraren generera lösenordet åt dig.
4. Byt lösenord på siterna någon gång per år.

Tips: Generera även svaren till de så kallade "Hemliga frågorna". Din hund hette inte Sparky. Den hette O2nK9u33apx55451vIOF1xmX. Spara det som en anteckning i t.ex Lastpass.

1. svårt då allt och allting kräver konton nuförtiden, har säkert konton på 100 olika siter
2. lastpass har nog blivit hackat ett parggr http://www.macworld.com/article/2936663/lastpass-was-hacked-h...
3. se 2
4. se 1

Tror det kommer någon förording från EU att företag får betala böter på sin omsättning om man inte skyddar uppgifter på ett bra sätt. Sen är frågan om det krävs personuppgifter för att det ska falla in under det. Kommer att kräva kunskap för företagen att anpassa sig, alla kommer säkert inte att klara av det, dom som inte försvinner blir förhoppningsvis säkrare.
Detta borde gälla inom europa

Detta borde gälla inom europa i alla fall

Permalänk
Medlem

1. Se 2
2. I artikeln du själv länkat framgår att Lastpass har utmärkt säkerhet. Varje gång nån är på dom, får jag bara mer förtroende för dom, för hur dom hanterar det och inte minst för hur deras system är upplagt. Lastpass (eller liknande) är enda lösningen på lösenordsproblematiken.
3. Se 2
4. Se 2

Skrivet av lappen81:

1. svårt då allt och allting kräver konton nuförtiden, har säkert konton på 100 olika siter
2. lastpass har nog blivit hackat ett parggr http://www.macworld.com/article/2936663/lastpass-was-hacked-h...
3. se 2
4. se 1

Tror det kommer någon förording från EU att företag får betala böter på sin omsättning om man inte skyddar uppgifter på ett bra sätt. Sen är frågan om det krävs personuppgifter för att det ska falla in under det. Kommer att kräva kunskap för företagen att anpassa sig, alla kommer säkert inte att klara av det, dom som inte försvinner blir förhoppningsvis säkrare.
Detta borde gälla inom europa

Detta borde gälla inom europa i alla fall

Visa signatur

Fractal Design Define R3 | HP ZR24w & Hyundai L90D+ | Corsair HX520W | Asus P8P67 Pro | i5 2500k @ 4,0 | Samsung 850 Evo 500GiB | GTX960 | 16 GB

Permalänk
Medlem
Skrivet av lappen81:

1. svårt då allt och allting kräver konton nuförtiden, har säkert konton på 100 olika siter
2. lastpass har nog blivit hackat ett parggr http://www.macworld.com/article/2936663/lastpass-was-hacked-h...
3. se 2
4. se 1

Tror det kommer någon förording från EU att företag får betala böter på sin omsättning om man inte skyddar uppgifter på ett bra sätt. Sen är frågan om det krävs personuppgifter för att det ska falla in under det. Kommer att kräva kunskap för företagen att anpassa sig, alla kommer säkert inte att klara av det, dom som inte försvinner blir förhoppningsvis säkrare.
Detta borde gälla inom europa

Detta borde gälla inom europa i alla fall

1. Det är därför du genererar ett lösenord för varje site som du slipper komma ihåg.
2. Lastpass täppte igen hålen på en dag, vilket jag tycker är bra. Det visar att de bryr sig om sin produkt och sin säkerhet. Det finns fler lösenordshanteraren än Lastpass om du nu är anti dem. Det är som @nME skriver, det är den enda lösningen på lösenordsproblematiken.
3. Se 2.
4. Se 2.

Permalänk
Avstängd
Skrivet av Patrik356b:

Vad hände med SHA 256?

Skickades från m.sweclockers.com

SHA-256 finns givetvis fortfarande och används väldigt brett.
SHA-256, SHA-384 och SHA-512 tillhör SHA-2 familjen.
Nu har SHA-3 kommit ut.

SHA-2 är förhållandevis säker vissa teoretiska attacker har upptäcks för hash collisions och sånt som gör det något mindre säkert än vad det först trodde varas.

Så det hölls en tävling för att ta fram en ny SHA algoritm, så kryptoexperter skickade in bidrag, Bruce Schneir skickade in algoritmen Skein, i slutändan vann Keccak och är nu känd under namnet SHA-3.

MD5 och SHA-1 bör inte användas. SHA-2 kan man använda om man har en befintlig applikation. Men bygger man en ny applikation så är det nog bättre med SHA-3.

Permalänk
Medlem
Skrivet av nME:

1. Se 2
2. I artikeln du själv länkat framgår att Lastpass har utmärkt säkerhet. Varje gång nån är på dom, får jag bara mer förtroende för dom, för hur dom hanterar det och inte minst för hur deras system är upplagt. Lastpass (eller liknande) är enda lösningen på lösenordsproblematiken.
3. Se 2
4. Se 2

Skrivet av HerrNilsson:

1. Det är därför du genererar ett lösenord för varje site som du slipper komma ihåg.
2. Lastpass täppte igen hålen på en dag, vilket jag tycker är bra. Det visar att de bryr sig om sin produkt och sin säkerhet. Det finns fler lösenordshanteraren än Lastpass om du nu är anti dem. Det är som @nME skriver, det är den enda lösningen på lösenordsproblematiken.
3. Se 2.
4. Se 2.

Har aldrig skrivit att jag är emot lastpass, allting blir hackat och jag skrev också att det kommer ett nytt direktiv som ställer krav på företag. Jag använder lastpass själv men hade hoppats att jag inte skulle behöva det.
Jag är alltså emot företag som kräver onödiga konton, och företag som behöver konton men har bristfällande säkerhet (en liten bit av det ordnas säkert genom eu). Allt detta fanns i mitt tidigare inlägg.

Ska jag förtydliga ytterligare så anser jag också att det är naivt/trångsynt att försvara företag och dåliga lösningar, och motivera det genom att man ska behöva ytterliggare en lösning för att använda deras produkter (exvis lastpass). Lösenordsproblematiken löses sig alltså inte genom en tredjepartslösning men genom att företagen skärper sig / krav ställs och stora bötesbelopp utfärdas om dom inte följer regelverket

Permalänk
Medlem

Vad du än gör, se till att ha ett unikt lösenord för din mail.

Permalänk
Skrivet av rektor:

SHA-256 finns givetvis fortfarande och används väldigt brett.
SHA-256, SHA-384 och SHA-512 tillhör SHA-2 familjen.
Nu har SHA-3 kommit ut.

SHA-2 är förhållandevis säker vissa teoretiska attacker har upptäcks för hash collisions och sånt som gör det något mindre säkert än vad det först trodde varas.

Så det hölls en tävling för att ta fram en ny SHA algoritm, så kryptoexperter skickade in bidrag, Bruce Schneir skickade in algoritmen Skein, i slutändan vann Keccak och är nu känd under namnet SHA-3.

MD5 och SHA-1 bör inte användas. SHA-2 kan man använda om man har en befintlig applikation. Men bygger man en ny applikation så är det nog bättre med SHA-3.

Aha. MD5 använder man väl oftast till att verifiera filer annars?

Skickades från m.sweclockers.com

Permalänk
Avstängd
Skrivet av Patrik356b:

Aha. MD5 använder man väl oftast till att verifiera filer annars?

Skickades från m.sweclockers.com

Enkla verifieringar för att kolla om datan inte av misstag blivit korrupt kan man göra med CRC-32.
Vill man göra en säker verifiering av filer så kan man använda en kryptografisk hash algoritm som MD5, men numera är den gammal och det finns nyare alternativ som SHA-familjen.

CRC är en checksum algoritm men är inte en kryptografik algoritm, det gör att den är väldigt snabb, men inte ämnad för skydd mot manipulering av data.

MD5 är en kryptografik hashalgoritm ämnad för skydd mot manipulering av data, således är den tyngre än MD5 och Adler32. Men MD5 är gammal och man har funnit sätt knäcka den via kryptoattacker pga svagheter i algoritmen.