CD Projekt Reds forum hackat – 1,9 miljoner konton på vift

Forum osv utsätts ofta just för att folk är dumma nog att använda samma lösenord på olika webbsidor. Tror motivationen ligger lite mer åt det hållet snarare än att man har något emot CDPR.

Sen finns det ju mängder med folk som tar sig in enbart för att dom kan och ser det som en rolig utmaning. Kevin Mitnick hackade ju allt och alla, tog sig in på Fbi och såg när dom jagade honom, han hade ett program som kördes mot telefonbolagen som varnade honom om någon av Fbi-agenterna associerade med hans utredning var kopplad till samma mast som han var, då visste han att dom var han nära på spåren. Han gjorde det för skojs skull, han gillade utmaningen ;=)

Håller med. Att inte siteägare lär sig någon gång och satsar hårdare på att säkra lösenorden innan de kommer på vift.

Dessutom kallas väl inte detta för kryptering?

Nä men att använda lite bättre metoder för att kryptera och lagra lösenord är ju knappast något som kostar mera pengar Det lär ju kosta pengar och dålig PR när denna typ av händelser sker.

Gjorde det för 15 år sen så kanske. Men nu gör man inte så. Och det är inte så tidskrävande att byte kryptering/hashmetod å ett lösenord. Vi pratar dagar inte veckor/månader. Den som har gjort det förut gör det på timmar.

Vi pratade kryptering/hash för lösenord sparade i databaser. Och 15 år var en överdrift om det inte var självklart. Och japps, 2017 borde företagen har lärt sig.

ja, md5 är så otroligt lätt att bruteforca så jag skulle gissa på att de flesta är dekrypterade redan

Då undrar man ju varför de inte var medvetna om det, eller använde de en värdelös kryptering med flit...

Eller så gör du något liknande som jag och använder alias.

Jag har köpt en Mail tjänst (mail.com) där 10 alias ingår, så du har en till forum, en till köp på internet, en till vänner, en skumma siter, en till kritiska saker osv... Allt går till samma mail konto, och allt går lätt att sortera. Du kan byta alias på 2 min om en av dem blir hackade, det som tar mer tid är att byta alla tjänster knutna, men det får man ju ta därefter.

Dock gör det skit samma om de kommer över ens e-mail, då du byter den lika enkelt som andra byter lösenord.

Om du är snål, finns gratis e-mail forwarding lite varstans på nätet. Så skapa 2-3 sådana och använd dem på forum, köp och skumma siter mm. Du plockar bort dem och gör nya om du får spam problem eller de blir hackade. Det är inte lika smidigt, men fungerar. Du måste dock själv hålla reda på alla forward tjänster själv.

@Casper_83 Hacka är som att medvetet slå på saker tills de går sönder och du hittar ett hål. Se det som att göra en telefon oförstörbar... i teorin enkelt, men i praktiken hittar alltid någon ett sätt att ta sönder den.

Huvudsaken är ju att du använder olika lösenord på alla siter.
Det är möjligen om du inte vill att folk ska få se din egentliga epostadress som det är värt att göra som du föreslår och ha olika adresser.

MD5?! *facepalm*

För någon som mig som inte är insatt...vad är det för fel på MD5? Verkar nämligen rätt vanligt.

Väldigt kort så är MD5 en hash-algoritm, så när du väljer ditt lösenord så konverteras det till ett hashvärde i databasen, vilket är mycket säkrare än att lagra lösenordet i klartext. Styrkan i en hash-algoritm ligger i hur svårt det är att konvertera tillbaks till lösenordet. Problemet med MD5 är att det är en väldigt gammal algoritm (har funnits sedan 1992) och sedan dess så har det upptäckts sårbarheter vilket gör att det är relativt lätt att konvertera från hash-värdet tillbaks till lösenordet. Nu för tiden finns det mycket starkare algoritmer, t ex SHA, där man kan vara mycket säkrare på att en angripare inte kan få tag på lösenordet även om de kommer över hashvärdet.

@Mocka: MD5 ger väldigt svagt skydd då den nu mera kan knäckas alldeles för enkelt. MD5 duger som en kontrollsumma(inte i alla fall dock), men inte för kryptografisk säkerhet.

Förstår aldrig hur man kan ha så många nördar anställda men ingen som ifrågasätter faktumet att deras lösenords lagring åt helvete. I ett bra system så ska en hackad databas enbart ge uppgifter användbara som mest till tjänsten i fråga, iaf för majoriteten utav uppgifterna i minst 10 år. Ideellt (och möjligt med genomtänkt design) inte ens det.

Skickades från m.sweclockers.com

En rimlig gissning är väl att dessa "många nördar" inte jobbar med drift/underhåll av mjukvaran som användarforumet kör på utan snarare då jobbar inom den faktiska kärnverksamheten och inte haft någon insikt i forumet bortom att det existerar och fungerar.

Jag håller helt med i sak, lösenordslagringen var uppenbart åt helvete. Däremot är min uppfattning att bara för att det finns en massa tekniskt kunniga personer i organisationen (varav iaf en viss andel säkert direkt hade kunnat direkt peka ut att den där lösningen är åt helvete) så betyder det inte att dessa personer har någon som helst insikt i hur t.ex. en forumsite, där de på sin höjd är användare, hanterar lösenord.

Någon borde ju dock ha haft det på sitt bord att se till att lösningen var acceptabel säkerhetsmässigt, oavsett om nu deras förra forumsite nu byggde på någon gratislösning, något de köpt in, eller vad det nu var.

Okej, så varför går företag inte över till SHA om nu MD5 är så lätt att knäcka?
Vissa säger väl tom i sina pressmeddelanden att "ja, vi har saltat dem med MD5 så det är okej, men för säkerhets skull borde ni byta lösenord"