Apple bekräftar intrång i kändisars användarkonton på molntjänsten Icloud

Klassiker!
Nu är jag inte helt säker, men finns det inte något som kallas ordboksattacker eller ordlisteattacker?

Själv lider jag alltid av problemet att olika platser inte låter mig ha tillräckligt långa lösenord som jag vill ha.

bilderna på kändisarna var ju inte direkt något chokerande.. Var ju bara lite vanliga foton och något bröst här och där.

Det gör det, man kan exempelvis använda sig av flera TB stora ordlistor. Diverse hash-funktioner som ska (och är) omöjliga att köras baklänges kan på så vis ex knäckas lättare. Man kör helt enkelt password123 genom hash-funktionen och får en sträng. Denna sträng går ej att omvandla tillbaka till password123 men man får alltid samma sträng när man kör "password123" genom funktionen. Dvs, man skapar en lång tabell med ord/fraser/lösenord där kolumn ett är lösenordet och kolumn två är dess hash.

Nu verkar det dock handla om en attack direkt mot inloggningssystemet vilket betyder att man sannolikt inte behövt bry sig om att lösenorden är hashade överhuvudtaget.

Säkert någon från NSA som har läckt bilderna

Ja, det är väldigt snabbt och lätt att lösa vanliga ord med hjälp av ordböcker. Kommer ihåg att vi i gymnasiet hade ett prov att ta oss in i en server, varav en del av provet gick ut på att använda sig av verktyg likt 'John the Ripper' för att få fram lösenordet till ett konto på servern. Man laddar helt enkelt ner en ordlista med de vanligaste lösenorden plus alla andra ord/slang i ett specifikt språk, sedan låter man programmet knäcka lösenordet själv.

Jag skulle hellre uppmana folk till att ta en ett citat de kan utantill, exempelvis "If you only read the books that everyone else is reading, you can only think what everyone else is thinking." och sedan plocka ut den första bokstäverna i varje ord och alla specialtecken (kapitalisering av varannan bokstav kan även hjälpa). Detta ger: "IyORtBtEeIr,YcOtWeEiT.". Man kan även byta ut vissa bokstäver mot nummer om man har minnet att komma ihåg det. Saker är att det inte ska gå att lösa lösenordet med en ordlista, samtidigt som det är lätt att komma ihåg. Nackdelen är att det kan vara jobbigt att skriva.

´
Fast saken är den att oftast verkar hackers få tag i lösenorden i krypterad form. De knäcker sedan dem lokalt och efter det loggar de in på det hackade kontot. Jag tror ingen hacker är dum nog att försöka bruteforca en login-sida.

I detta fallet snackas det dock om att man har kört bruteforce och lyckats.
Bruteforce går ju om man är dum nog att inte ens ha simpelt skydd mot sånt.

Bruteforce gör man även ofta lokalt på sin egen dator mot en fil med de krypterade lösenorden. Låter korkat att köra bruteforce-attacker mot en login-sida som oftast har funktioner som hindrar för många felaktiga försök. Möjligtvis om de redan vet ungefär vilka lösenord/användarnamn/säkerhetsfågor användarna har. Anyways, läste inte någonstans i denna artikel att det ens handlade om bruteforce (eftersom Apple själva säger att det inte gjorde det), så länka gärna till dina källor så jag kan läsa dem.

Det känns mer som att de utnyttjat systemet för att få tillgång att göra någon 'password recovery' eller liknande, eftersom att Apple nämnde att användarna hade enkla svar på säkerhetsfrågorna. "Istället antyder Apple om att ansvaret hamnar hos användarna själva, som med svaga lösenord och enkla säkerhetsfrågor öppnat upp för angreppet.". Men vad vet jag, detta är bara vilda spekulationer eftersom jag själv inte använder några av Apples produkter eller tjänster.

Varför inte?

Fast Apples hitta min telefon-funktion hade ju just en sådan lucka och det låg ett enkelt script uppe som gjorde just precis det. Därav min kommentera att det mista man kan förvänta sig år 2014 är ett skydd mot det då det är så enkelt att implementera. Att få tag på krypterade lösenord kräver ju att någon hackar sig in och kommer över en databas. Något som i och för sig händer alltför ofta.