Över 20 miljoner lösenord hittar ut på webben efter rekordstor läcka

Trädvy Permalänk
Medlem
Registrerad
Apr 2008
Skrivet av Baxtex:

Grymt men varför inte använda Keepass egna lösenords genering?

Tror du missförstod min post. Pluginen genererar inte lösenord, den kollar om de lösenord du redan använder har läckt och låter dig byta. Exakt samma som om du manuellt skulle kolla varje lösenord genom att knappa in dem på troyhunt.com men du slipper webbläsaren.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2010

Enda som fanns med för mig var att sweclockers blev hackat 2015 på e-postadress och lösenord jag inte använder.

Intel Core i9 7900X | Asus Prime X299 Deluxe | Corsair 128GB DDR4 Dominator Platinum 3200Mhz | Zotac RTX 2080 Ti Amp Extreme | Acer XB321HK 32" 4K | Asus Xonar U7 MkII | Samsung 960 EVO Series 250GB M.2 SSD | 4 SSD | 4 4TB HD | Corsair AX1200i | Corsair Graphite 760T White | OS Windows 10 Pro 64bit

Trädvy Permalänk
Medlem
Plats
stockholm
Registrerad
Okt 2007

@tethir: om din adress finns med är det dags att byta lösen. Läckta lösenord är oftast hashade och saltade så jag tvivlar på att du är säker bara för att den inte hittade ditt lösenord över en handvändning.

Trädvy Permalänk
Medlem
Registrerad
Aug 2015
Skrivet av Roger W:

Jo!
Tr0ub4ador - inte pwned, får kapa till 3 tecken innan pwned.
Tr0 - pwned 12 gånger.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Feb 2005
Skrivet av Awakeruad:

@xxargs:
Varför har man inte en räknare som ökar tiden mellan varje inloggningsförsök istället? Lycka till att knäcka ett 8 teckens lösenord när varje försök dubblar tiden till du kan försöka igen.

Tråden handlar ju om en läcka av lösenord, inte om att försöka ta sig in i ett system via login sidan....

Det första går _mycket_ snabbare att göra än det andra.

Man gör det första långsammare genom att välja krypteringsfunktioner som tar tid och krypterar om lösenordet ett antal gånger. Och lägger till ett salt.

Är nog bara i Hollywoodfilmer där man ägnar sig åt att ta sig in genom att lyckas gissa ett loginlösenord...

Trädvy Permalänk
Medlem
Plats
Sverige
Registrerad
Jul 2001

password har bara 3 645 804 hits 😄

Skickades från m.sweclockers.com

WS: AMD Ryzen 7 1700 | 16 GB DDR4 | Geforce GTX 1060 OC 6GB | 480 + 256 + 240 + 240 GB SSD | Win10 x64 Professional + Antergos Linux (Arch-derivat)
Bärbar: Macbook Pro Retina 13" | Intel Core I5 2,4Ghz | 16GB RAM | 256GB Flash
Server: 3x HP Proliant microserver Gen8 | 16 GB DDR3 ECC ram | Sammanlagt 26TB HDD | Esxi

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Feb 2005
Skrivet av mangethegamer:

För er som kör Keepass som lösenordshanterare finns det en plugin som kan göra kollen av lösenorden mot haveibeenpwned databas. Lösenorden kollas mot Troy Hunt med det APIet, så inga lösenord skickas utan det är del av hashet som skickas.

https://github.com/andrew-schofield/keepass2-haveibeenpwned

Medans jag gillar idéen som sådan, kan ju lära vissa att inte använda hur enkla lösenord som helst, så installerar jag inte några plugin till keepass som vill komma åt nätet. Även om jag uppenbart kan (och delvis har) kollat på koden.

Kör man keepass, så är det bara att ha en tillräckligt långt huvudlösenord (ett antal ord, kanske något felstavat, eller en siffra), och sen generera långa slumpmässiga lösenord med deras lösenordsfunktion, chansen att ett 15 tecken långt slumpmässigt lösenord skall vara knäckt är ju rätt så minimal... Tror nog att det var det som @Baxtex menade.

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Jan 2011
Skrivet av mangethegamer:

Tror du missförstod min post. Pluginen genererar inte lösenord, den kollar om de lösenord du redan använder har läckt och låter dig byta. Exakt samma som om du manuellt skulle kolla varje lösenord genom att knappa in dem på troyhunt.com men du slipper webbläsaren.

Aha, smart.

Stationär:Asrock P67 Extreme 4 | i5 2500K@4.5Ghz | Asus GTX 970 black Överklockad | Samsung Evo 960 1TB, 2x WD blue 5TB | 8GB Corsair XMS3 + 8GB Hyper x Fury | EVGA Supernova G2 750W Gold | Silverstone FT02
Laptop: Dell XPS 15 2017
Mobil: Oneplus 6 128GB

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av filbunke:

Medans jag gillar idéen som sådan, kan ju lära vissa att inte använda hur enkla lösenord som helst, så installerar jag inte några plugin till keepass som vill komma åt nätet. Även om jag uppenbart kan (och delvis har) kollat på koden.

Kör man keepass, så är det bara att ha en tillräckligt långt huvudlösenord (ett antal ord, kanske något felstavat, eller en siffra), och sen generera långa slumpmässiga lösenord med deras lösenordsfunktion, chansen att ett 15 tecken långt slumpmässigt lösenord skall vara knäckt är ju rätt så minimal... Tror nog att det var det som @Baxtex menade.

Håller med, man vet inte om de kommer i orätta händer. Även att testa sina lösenord manuellt på haveibeenpwned känns inte bra, har bara kontrollerat min e-post

Trädvy Permalänk
Medlem
Registrerad
Apr 2008
Skrivet av filbunke:

Medans jag gillar idéen som sådan, kan ju lära vissa att inte använda hur enkla lösenord som helst, så installerar jag inte några plugin till keepass som vill komma åt nätet. Även om jag uppenbart kan (och delvis har) kollat på koden.

Kör man keepass, så är det bara att ha en tillräckligt långt huvudlösenord (ett antal ord, kanske något felstavat, eller en siffra), och sen generera långa slumpmässiga lösenord med deras lösenordsfunktion, chansen att ett 15 tecken långt slumpmässigt lösenord skall vara knäckt är ju rätt så minimal... Tror nog att det var det som @Baxtex menade.

Det spelar ju ingen roll vad du har för lösenord om det nu har läckt. Du måste ändå på något sätt veta vilket av dem som läckt så du kan byta det, om du nu inte vill leva med ovissheten att någon kanske kan komma åt ditt konto. Det är en bättre lösning än att manuellt knappa in det i en webbläsaren eller att använda andra lösenordshanterare med stängd kodbas med samma funktionalitet. Alternativet är väl annars att ha unika användarnamn/mejladresser på varje sida och söka manuellt på dem istället.

Ska man vara 100% paranoid så finns det helt enkelt ingen bra lösning för att kontrollera vad som läckt eller ej.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Jan 2007

@FiskFisk33: ska gå igenom alla mina sparade lösenord i lastpass och byta alla mot random created etc

|Dator: |NZXT Source 340 | Intel i5 6600K @4.6Ghz : Asus Z170 Pro Gaming Aura : HyperX Fury DDR4 2x4Gb @ 2133Mhz : Asus 1060 Strix OC : OCZ TL100 240GB |

Trädvy Permalänk
Medlem
Plats
Upplands väsby
Registrerad
Maj 2017

Ja då e man väl körd då.
Dags att stoppa madrassen.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Apr 2013

Det är ju ganska otroligt att det är 2019 och vi vet hur vi ska bete oss för att skydda oss och ändå sitter det folk med sina barns namn eller favoritlag som lösenord. Kunskapen finns, men tyvärr inte hos folk där den gör mest nytta.

Unika lösenord. Använd inte samma lösenord på mailen som hos en webbutik med hela sidan full av comic sans och blinkande knappar.
Password manager om den används rätt. Samma sak med att skriva upp lösenorden, det är ok så länge de förvaras korrekt. Lokala attacker är extremt ovanliga och ingen i Kina eller Ryssland kan läsa lappen som ligger i ditt skrivbord.
Långa lösenord eller passphrases.
Framförallt: randomiserade lösenord. Diceware exempelvis.
Avsaknad av policy för lösenord. "Minst en stor bokstav och minst en siffra" ökar inte säkerheten, det gör att man vet att lösenordet är på ett visst sätt men framförallt irriterar det användarna som då väljer dåliga lösenord som uppfyller kraven istället.

Själva lösenordet ska inte vara den svaga länken, det är som att ha ståldörrar och skottsäkra fönster men man har ett dagbokslås på dörren.

Låt folk attackera krypteringen istället, den är välkänd, välstuderad och "säker". Vanligtvis.

Intel Core i5 3570K @ 4.2GHz | Hyper 212 EVO | 12 GB DDR3 |GTX 1070 8GB ROG STRIX DC3 | Fractal Design Tesla R2 650W | Fractal Design Define R4 Titanium | 370 GB SSD totalt | ~2TB HDD totalt
+ Acer Predator Helios 300 GTX 1060
Båda kör MS Röj i minst 50 FPS.

Trädvy Permalänk
Medlem
Plats
Växjö
Registrerad
Nov 2011

Kör lastpass med minst 14 tecken i mina lösenord. Tog en stund att byta på alla ställen man var reggad på men nu är det bättre är skivat bröd! Särskilt nu när det är bra integrerat i iOS. 🙂

Skickades från m.sweclockers.com

Intel core i7 6700K, MSI Radeon R9 390X GAMING 8G, ASUS Z170i Pro Gaming, Corsair Vengeance DDR4 2666MHz 8GB, OCZ Trion 100 240GB, Samsung SSD EVO Basic 840-Series 250GB, Fractal Design Define Nano S, Be Quiet Pure Rock, Corsair SF 600, Windows 10 Pro N 64-bits

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Sep 2009

Det borde standard att nollställa sina användares lösenord då ett säkerhetsintrång upptäcks och inte låta användare göra detta själv. På så sätt så hinner inte lika många konton utsättas för intrång och inaktiva användare har större chans att ha sitt konto skyddat. Jag minns att vissa hemsidor har gjort detta förut då de har upptäckt ett intrång. De bör även skicka ut mail dagligen i en månad som rekommenderar användare att byta lösenord på andra tjänster om de delade lösenord med den drabbade hemsidan.

Kanske vore något om det också var standard att 'tvinga' sina användare att byta lösenord regelbundet för att öka säkerheten ytterligare, låt oss säga var tredje månad. Det skulle förmodligen motivera fler att använda lösenordshanterare och därmed även använda mer komplexa lösenord då de inte behöver komma ihåg dem; utöver sitt master pass.

Kollade haveibeenpwnd och tyvärr hade jag blivit det, men det var ett par år sedan det hände. Dock dök min e-mail upp på listan som släpptes nyligen. Och så fanns min e-mail på några sidor jag inte är medlem på... så vet inte vad det handlar om. Kollade ett par lösenord också och det var väl ett eller två stycken, dock var de inte så pass komplexa så inte direkt oväntat. Som tur så använder jag inte dem i stor utbredning. Har laddat hem lösenordsarkivet och kollat, dock inget som går att avläsa. Var även något i linje med ett par dussin miljoner rader också så det kommer ta tid att 'decoda' dem eller vad man nu säger. Så det vore trevligt att se exakt vilka sidor som man behöver byta lösenord på innan användarinformation och lösenord finns i klartext.

P67A-UD4-B3 λ i5 2500K λ Freezer 7 Pro Rev. 2 λ Gigabyte GeForce GTX 670 OC 2GB λ Corsair 4GB XMS3+HyperX 8GB x2 λ Samsung 750GB λ Maxtor 250GB λ Intel 330 180GB λ Asus Xonar DS λ Fractal Design R2 λ LG 23" W2363D 120HZ λ Logitech G500 λ Steelseries 6Gv2 λ Qpad QH-90 Pro λ Steelseries QcK+ SK Gaming Limited Edition Mouspad

Trädvy Permalänk
Medlem
Registrerad
Aug 2016
Skrivet av jocke92:

Håller med, man vet inte om de kommer i orätta händer. Även att testa sina lösenord manuellt på haveibeenpwned känns inte bra, har bara kontrollerat min e-post

Du kan ladda ned hela sammanställda publikt kända lösenordsfilen med alla passord i form av SHA1-summor och testa och jämför din SHA1-summa av din passord själv hemma i en helt isolerad och disklös dator och uppstartad på en live-skiva/USB-sticka av en lämplig linux.

torrent för passordsfilerna i sha1-format filerna hittar du i https://haveibeenpwned.com/Passwords

filen är runt 11 GB stor i sin komprimerade form (7zip-arkiv) och uppackad 23 GB

filen med passord är stor då det är SHA1-summor av över 500 miljoner unika läckta eller framhackade passord i klartext.

kommandot för att generera sha1-summa av det egna passordet (i linux)

"echo -n *passordet* | sha1sum "

vid passordet "abc123" ger det sha1sum av 6367c48dd193d56ea7b0baad25b19455e529f5ee

Sekvensen som kommer ur denna så kan du använda 'grep -i 6367c48dd193d56ea7b0baad25b19455e529f5ee lösenordsfilen' för att söka om ovanstående sekvens finns i den stora filen och ger svar liknande (flaggan "-i" gör att den inte bryr sig om det är stora eller små bokstäver)

6367C48DD193D56EA7B0BAAD25B19455E529F5EE:2834058 ;värdet efter kolon anger antalet förekomster

dvs. lösenordet "abc123" har förekommit i 2834058 ggr i olika kända hackningar och databas-läckage - det är nästa 1/3-del av Sveriges befolkning som skulle ha abc123 som passord för sin användare...

Vinnaren i antal användare med samma passord under 2018 är passordet '123456' med 23174662 förekomster - dvs. mer än dubbelt så många som Sveriges befolkning.

(i serverburken för ett passord som inte finns i listan så tog sökningen ca 50 sekunder när hela passordsfilen på runt 23 GB storlek redan ligger inladdad i RAM-minne och då var den sorterad i efter antal förekomster, och går troligen fortare om listan var sorterad efter sha1-nummer)

och kom ihåg en sak till - får du träff där så har passordet i klartext och kanske kopplad till en användarnamn och en email-adress cirkulerat på darknet och darkweb en tid - kanske flera år innan den dök upp hos Troy Hunt och av folk som skickar tips till honom om läckor.

Somliga läckor har varit under ytan i flera år innan det sedan säljes och/eller sammanställs hos någon aktör (tex. spam-mailutskickare)