Reddit drabbat av dataintrång – användardata från 2007 på vift

Dags for Yubikeys och sedan göra sina egna Reddit security keys

Men vänta här nu, om källkoden läckts borde väl formeln för saltet också vara läckt?

Så? Saltet är inte hemligt och sparas i klartext i databasen.

Automatiskt leta upp rätt post: dela sidan med KeePass2Android
Slippa kopiera (clipboarden är inte säker heller): använd KeePass2Androids egna tangentbord
Byta tangentbord automatiskt: Secure Settings System+-integrationen eller KeyboardSwap for Keepass2Android
Det finns även en autofylltjänst som kan aktiveras, men senast jag testade den var den rätt tungdriven och jag kör hellre utan. Man verkar dessutom behöva Oreo eller högre för att använda den eftersom Google.

Om man vet hur krypteringen utförs och vad saltet är bör det väl gå att få fram lösenorden i klartext, eller vad missar jag?

Hashning, inte kryptering.
Och syftet med saltet är att man då måste bruteforcea varje lösenord individuellt istället för att kunna göra en enda körning som fungerar på alla.

Håller med. Åh nej, nån tog min reddit. Boo hoo nu kan nån posta i mitt nick!!!!!!11111

Skulle säga att det är absolut max 5% av alla ”konton” jag har, där det skulle ställa till med problem om jag blev av med login. Och på dessa ställen ser man till att skydda sig med minimum 2-faktor.

Den stora frågan i detta hack är alltså hur den anställde lyckades både bli av med lösenord och sms token?!

@anon246659 skylla nog säga att mer eller mindre alla som knegar kontor idag har remote-access.
Håller med om att det är rätt galet, men uppenbarligen så är många beredda att tumma på säkerhet för att låta anställda kunna jobba remote.

Beror lite på hur man ser det, Med keepass och liknande så får dom tillgång till ALLA dina sidor om du åker på en trojan/keylogger eller liknande.

Ska man ha ett "samlings" verktyg så rekommenderar jag en med 2vägs verifiering. Även om någon knäcker ditt lösenord så behöver dom fortfarande en nyckel via din mobil eller liknande, Samt använder man då 2vägs verifiering så är den engångskoden en keylogger fångar upp redan är förbrukad.

Det gör inget om både formel och salt kommit ut
Det anses redan vara "publik" information. Publik som i att säkerheten är bibehållen även om det är känt. Det är egentligen på nivå att komma över hashen. Visst, det går lite lättare att få fram lösenorden om du känner till allt, men det är fortfarande många timmar jobb per lösenord. Givetvis förutsatt att de använt starka algoritmer, vilket inte nödvändigtvis behöver vara fallet om det var 2007. Men även något sämre som md5 är jobbigt att knäcka om det är unika salt per användare.

Skickades från m.sweclockers.com

Troy Hunt är dock ett välkänt namn i sammanhanget, och Haveibeenpwned-projektet är likaså välkänt vid det här laget.
Högst osannolikt att någon inmatad data missbrukas även om en sida som frågar om sådan information absolut skulle kunna göra det.

Finns många dock som inte byter sin E-post var 10:e år. Och den är inte skyddad... och lär väl nu vara spam-öst inom nån månad.

Lösenord i all ära, men om någon kommer åt ett lösenord, för ett visst konto, är det skit samma imho.
Om de dock kommer åt e-post adresser som man måste byta, är det större problem, för den finns på rätt många siter.