Forum Övrigt Nyhetskommentarer Tråd Inlägg

SVT: "Tio miljoner svenska konton har läckt ut på webben"

1 2 3
Skriv svar
Permalänk
Medlem
Skrivet av DevilsDad:

Fast om de som får tag i det är någorlunda smarta så kommer de knäcka ditt system väldigt fort. I bästa fall behöver de få tag i ditt lösenord från två sidor.

Gå till inlägget

De handlar inte så mycket om smarthet utan om tidsåtgång. Säg att du har fått en databas med 10 miljoner lösenord och epostadresser från t.ex. Tinder.

Det man gör är att (automatiserat) testa dessa epost+pw kombinationer på en massa sidor (Facebook, Gmail o.s.v.) eftersom det är troligt att många använder samma lösenord på dessa sidor. Man går däremot inte in och analyserar lösenorden för alla 10 miljoner användare för att hitta något mönster och manuellt försöker gissa vad personen har för system. Är det däremot en riktad attack och du är en kändis t.ex., då lägger man nog ner lite mer tid och kanske lyckas räkna ut systemet.

Visa signatur

Ryzen 7 3800X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 7 TB SSD + 4 TB HDD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pepsin:

De handlar inte så mycket om smarthet utan om tidsåtgång. Säg att du har fått en databas med 10 miljoner lösenord och epostadresser från t.ex. Tinder.

Det man gör är att (automatiserat) testa dessa epost+pw kombinationer på en massa sidor (Facebook, Gmail o.s.v.) eftersom det är troligt att många använder samma lösenord på dessa sidor. Man går däremot inte in och analyserar lösenorden för alla 10 miljoner användare för att hitta något mönster och manuellt försöker gissa vad personen har för system. Är det däremot en riktad attack och du är en kändis t.ex., då lägger man nog ner lite mer tid och kanske lyckas räkna ut systemet.

Gå till inlägget

Går lite på samma filosofi. Blir man specifikt utvald så tror tror jag de flesta är körda ändå. Är mot automatiska checkar man vill skydda sig ifrån.

Sen att ha krångliga unika lösenord för alla tjänster är imo overkill, att ha systemlösenord för sidor som är skitsama om de blir hackade tycker jag funkar bra så länge bank/mail etc har unika bra lösenord.

Skickades från m.sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av kaptenperre:

Visst kan det räcka med att få tag i mitt lösenord från ett par olika sidor jag använder för att lyckas knäcka det, men då måste de göra det också. Sen har jag inte alltid samma användarnamn osv. Att använda ordattacker däremot blir svårt för jag har inte bara ord, utan jag har på alla sidor minst 12 tecken blandat bokstäver/siffror och inga ord. Maximalt 2 tecken från url så den hjälper inte allt för mycket. En extra säkerhetsaspekt är att jag har ett annat lösenord jag använder på sidor jag uppfattar som osäkra som är på 10 tecken. Sidor som kanske lagrar lösen i klartext och liknande, eller sidor jag inte bryr mig om ifall någon skulle kapa mitt konto.

Gå till inlägget

Jag tror du missförstår mig. Det är inte att någon kommer veta det är du eller knäcka ditt system, det är att om det hamnar i en "bruten" databas en gång är ditt system sårbart. Tänk dig att ditt lösenord finns med bland de miljontals som är knäckta redan (pga av klartextdatabas, dålig hash, tur, etc). En ny sidas databas blir hackad men ingen vet om det. Ditt nya hemliga lösen finns som en hash i denna databas. Hackern slår ingång sin passwordcracker med ordlista över redan brutna lösen och sina specialregler. En regel är att använda url delar på en slumpvis position i lösenordet. Den börjar med 2 tecken på första platsen, 2 tecken på andra platsen osv tills ordet är slut. Det krävs ganska få gissningar att gissa rätt, under 100 stycken att testa ditt med 2,3,4 och 5 bokstäver från URL oavsett var i lösenordet den är placerad. Med de flesta databaserna som finns ute är det kanske 1 miljard unika lösen (många använder samma). Så det är 100 miljarder gissningar. Låter mycket? Har du en crackerdator (kostar ca 40 000 kr) kan du göra det på 2-3 sekunder för dåliga hashalgoritmer.

Lägg på detta att en människa knappt kan skapa en slumpvis siffer/bokstavsföljd. Dem är ganska förutsägbara tyvärr. Tex väljer 18% "17" om de får välja ett tal 1-20. Du kan ha lite roligt med det, säg åt en kompis att tänka på ett tal mellan 1-50. Gissa sedan på 37, du kommer ha rätt OFTA.

Detta gör det mycket enklare att bruteforca första gången. Människor väljer gärna ojämna siffror, inte i mitten (dvs 5) samt ovanliga bokstäver, som x och z för att de "känns" slumpmässiga

Redigera
Citera flera Citera
Permalänk
Avstängd
Skrivet av vaedehäfömupp:

Oerhört dåligt av SVT att låta tio miljoner lösenord fara på vift, trots att de valde att ha dem under "SVT Dold"..

Gå till inlägget

dom kanske även säljer adresser tänk va många dom fått ihop idag

Visa signatur

i3 6100 - MSI b150m pro-vd - 8gb 2133 ddr4 - GTX 950 GAMING 2G - z400s 120gb ssd - 1tb WD blue - Corsair 500w

Redigera
Citera flera Citera
Permalänk
Medlem

Vet att jag har mitt primära lösenord som jag använder till flertal sidor som fanns på dropbox när "hacket" skedde, fick även mailet att jag var en av de 31 miljoner dropbox konton som åkt på flykt.

Men om jag inte har fel, är inte lösenorden krypterade hos deras databaser. Eller är det fullt synliga?

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har möjlighet till runt 10 000 olika mailadresser som alla slutligen landar i samma inbox. Mailadressen har använts i runt 20 år ..
Använder 30-40 st av dem med olika pw.
EN var hackad med ursprung i två siter där den använts, båda är nerlagda sen länge. (åratal!)
Tycks vara mycket av gammal information i "databasen" ??

Redigera
Citera flera Citera
Permalänk
Medlem

Använde ett lösenord på linkedin när de blev hackade 2012. Lösenordet bestod av stora och små bokstäver, siffror samt specialtecken. Runt 10 tecken sammanlagt. De krypterades med SHA1 utan salt. Bör jag vara orolig?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av astrberg:

Vet att jag har mitt primära lösenord som jag använder till flertal sidor som fanns på dropbox när "hacket" skedde, fick även mailet att jag var en av de 31 miljoner dropbox konton som åkt på flykt.

Men om jag inte har fel, är inte lösenorden krypterade hos deras databaser. Eller är det fullt synliga?

Gå till inlägget

Dem är hashade (en envägs "kryptering"), att kryptera lösenord anses vara dåligt då databasen blir läsbar om kryptonyckeln läcker med, vilket är troligt vid ett hack. Men det går att ta sig runt hashande genom att bokstavligen testa kombinationer tills du hittar en som ger samma hashvärde. Då vet du den användarens lösenord. Sen finns det olika sätt att göra det, tyvärr är många av dem läckta databaserna dåligt gjorda (dvs svaga algoritmer, inget individuellt salt)

Skrivet av kangarooster:

Använde ett lösenord på linkedin när de blev hackade 2012. Lösenordet bestod av stora och små bokstäver, siffror samt specialtecken. Runt 10 tecken sammanlagt. De krypterades med SHA1 utan salt. Bör jag vara orolig?

Gå till inlägget

SHA1 utan salt får anses brutet. Är det ord som du skrivit om? specialtecknet pålagt i slutet? Ej helt slumpmässigt? Om svaret på någon av dem är "Ja" borde du byta.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av cheben:

Jag tror du missförstår mig. Det är inte att någon kommer veta det är du eller knäcka ditt system, det är att om det hamnar i en "bruten" databas en gång är ditt system sårbart.
....

Gå till inlägget

Jag har i och för sig "bara" 10-11 stycken egna tecken i mina två lösenord jag använder, slumpade bokstäver, siffror och specialtecken. Alltså inga ord eller liknande. Sen även 2 tecken från url i ett system som gör att jag får unika lösenord, så totalt 12-13 tecken även om två av dem som du säger inte hjälper allt för mycket då de är från url'en.

Nu har jag inte alls hängt med i utvecklingen, men för kanske 10 år sedan testade jag att få fram lösenord ur en textfil med ett gäng hashade rader som någon lagt upp på TPB, bara för att testa. Jag fick då endast fram enklare lösenord med upp till 8 tecken tycks jag minnas, och utan specialtecken inblandat. Använde rainbow tables och ordlistor och brutforcade. Ord gick förstås snabbt eftersom de som använder det i sina lösenord gör att det blir väldigt få kombinationer att testa.

Är det för kort tror du, det jag använder? Jag tror att risken är liten att någon skulle börja kolla efter system av liknande lösenord på användare med samma/liknande namn och crosschecka mellan olika läckta sidor om nu två eller fler sidor jag är på blir hackade. Jag är bara en vanlig svensson, så det är främst längden/komplexiteten på mitt lösenord jag vill hålla nog bra, samt unikt på alla sidor.

Visa signatur

| i5 10600k@4,7 Ghz | AMD 6800 | 4Ghz RAM | 1 TB m.2 |

Redigera
Citera flera Citera
Permalänk
Medlem

Lite roligt att många lösenord från Imesh (Nostalgi) är hackade när det inte finns mer

Redigera
Citera flera Citera
Permalänk
Avstängd

Det er mye rart blant aktørene.

Ta paypal f.eks, de sender gjerne en epost og ber deg logge inn. Bare tull å legge lenke i epost på denne måten, for hvis jeg har skjønt det riktig så skal det være enkelt å fiske etter slik personlig informasjon med falsk epost.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av mir0:

"IT-säkerhetsexperten Dan Egerstad" IT-säkerhetsexperter är vi nog alla om han kan googla fram databaser Länkar till er alla om ni vill se om era information är läckta
https://haveibeenpwned.com/
https://www.leakedsource.com/
Förövrigt så ligger det en 26GB txt fil med email:pw på thepiratebay om ni också vill bli experter

pajas kallar sig expert

Gå till inlägget

Hur vet man om de sidorna du listade inte själva använder sig av informationen man skrev in?

Redigera
Citera flera Citera
1 2 3
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara