Miljoner lösenord till LinkedIn på vift

Trädvy Permalänk
Medlem
Plats
C8H10N4O2
Registrerad
Jul 2007

Miljoner lösenord till LinkedIn på vift

Stationär: i5 2500K @ 4.3 GHz / GTX570 / 8GB @ 1600MHz / P8Z68-V Pro / 120GB SSD + 320 GB HDD / HX650 / FD Define R3 / W7 64 bit
Bärbart: 13.3" MacBook Pro / iPhone 4 / Nikon D80 + 18-135/3.5-5.6 + 50/1.8D
Hemmabio: Samsung 40" UE40D6515 / Yamaha RX-V465 + Canton GLE 490 (MW)
Kaffe: Moccamaster KB741 || Planerat: Rancilio Silvia + Gaggia MDF

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Maj 2003

Jag hade aldrig hört talas om LinkedIn, men efter lite googling så tolkar jag det som en mer seriös variant av Facebook. Alltså att man har mer seriösa kontakter och inte informerar sina vänner varje gång man besöker toaletten eller liknade stora händelser i livet.

Nå annars bör såklart användare av tjänsten byta lösenord och vi andra även tänka på hur vi har våra. Detta vore faktisk ett bra reportage som de kunde ha här på sweclockers om olika sätt man kan göra för att lösenordsproblemet? Det finns flera olika system, min erfarenhet är dock att folk i allmänhet knappt funderar på säkerhet. T.ex. använder lösenordet på främmande dator utan det rädsla för att råka ut för keyloggers..

Nästan varenda tjänst idag kräver att man använder lösenord, dessutom ska man kunna x-antal pinkoder för alla olika apparater man har. Att ha olika lösenord på allt är inte praktisk möjligt för många. Ha samma lösenord på några tjänster, så är det svårt att minnas vilka ifall man skulle bli av med något.

Så jag skulle faktisk veta hur man bör hantera lösenord på ett praktisk fungerande sätt. Som det är idag så är det mer mer för mig att hoppas på det bästa och ha brister i sitt lösenordssystem, där bristerna har fördelar att jag faktisk kan minnas lösenordet för de viktigaste tjänsterna..

[Core i7-3930K med 32GB ram, 2*256GB SSD] & [Core i7 3770K med 16 GB RAM, 256GB SSD] som tillsammans har ett [HD 5850 1GB] och 3st 24".

Trädvy Permalänk
Medlem
Plats
Krillehöla
Registrerad
Jul 2001

Lösenorden är ju krypterade.
Så bara man byter lösen så borde det vara lungt.

Vad nu folk ska med ens LinkedIn konto att göra.

"Problemet med socialism är att till sist tar alla andras pengar slut" - Margaret Thatcher

Trädvy Permalänk
Medlem
Registrerad
Okt 2011
Skrivet av bud_bundy:

Så jag skulle faktisk veta hur man bör hantera lösenord på ett praktisk fungerande sätt. Som det är idag så är det mer mer för mig att hoppas på det bästa och ha brister i sitt lösenordssystem, där bristerna har fördelar att jag faktisk kan minnas lösenordet för de viktigaste tjänsterna..

Använd tex lasspass för att ha olika sjukt komplicerade lösenord till flera sidor. Du själv kommer bara ihåg ett lösenmening.
Stör mig lite på att det heter lösenord. Att använda ett ord är dumt, är mycket bättre att använda en lång mening. Alla linkedIn lösenord kommer blir knäckta. Men knappast ett enda lösenmening.

Skrivet av EyEr0n:

Lösenorden är ju krypterade.
Så bara man byter lösen så borde det vara lungt.

Vad nu folk ska med ens LinkedIn konto att göra.

...

1) Om de är krypterade och inte går att dekryptera som du antyder så behöver man inte byta lösenord.
2) Enligt nån snubbe på flashback är lösenorden krypterade med SHA-1 utan salt. Då tar det inte många sekunder att knäcka lösenordet.
3) Fråga dig själv; Har jag olika lösenord på alla hemsidor? Svar: Nej. LinkedIn kontot är inte det allra viktigaste, facebook och mail konton är det viktiga.

Programmerare -> PHP | HTML | CSS | JS | Java.

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Dec 2005
Skrivet av bud_bundy:

Jag hade aldrig hört talas om LinkedIn, men efter lite googling så tolkar jag det som en mer seriös variant av Facebook. Alltså att man har mer seriösa kontakter och inte informerar sina vänner varje gång man besöker toaletten eller liknade stora händelser i livet.

Nå annars bör såklart användare av tjänsten byta lösenord och vi andra även tänka på hur vi har våra. Detta vore faktisk ett bra reportage som de kunde ha här på sweclockers om olika sätt man kan göra för att lösenordsproblemet? Det finns flera olika system, min erfarenhet är dock att folk i allmänhet knappt funderar på säkerhet. T.ex. använder lösenordet på främmande dator utan det rädsla för att råka ut för keyloggers..

Nästan varenda tjänst idag kräver att man använder lösenord, dessutom ska man kunna x-antal pinkoder för alla olika apparater man har. Att ha olika lösenord på allt är inte praktisk möjligt för många. Ha samma lösenord på några tjänster, så är det svårt att minnas vilka ifall man skulle bli av med något.

Så jag skulle faktisk veta hur man bör hantera lösenord på ett praktisk fungerande sätt. Som det är idag så är det mer mer för mig att hoppas på det bästa och ha brister i sitt lösenordssystem, där bristerna har fördelar att jag faktisk kan minnas lösenordet för de viktigaste tjänsterna..

LinkedIn är mer än bara ett seriöst Facebook, det är till för affärskontakter och "professional networking". Tanken är att man lägger till folk man vill göra affärer med där eller arbetskamrater man vill hålla koll på. Sedan kan man lägga upp CV och grejer. Händer att folk blir headhuntade via LinkedIn.

Q9450, HD4850, 8 GB DDR2 800 MHz, 3x750 GB, Antec 300, Dell 2408WFP, U2410, Qnap TS-419p+ 4x2 TB Samsung F4, Asus UL30A-QX056V, Logitech Z-680, Sennheiser HD380pro, M-Audio FastTrack Pro, Ibanez sa160qm, Ibanez TB 15R, Zoom 505II, Ibanez GSR 200, Ibanez SW 35, Cort AC-15, Squier SD-3 BBL, Yamaha PSR 270, Røde NT1-A, Nikon D200, Nikkor 18-70/3,5-4,5, 70-300VR, 50/1,8, 28/2,8, Tamron 17-50/2,8, 90/2,8, Sigma 30/1,4, SB-800, SB-25, SB-24

Trädvy Permalänk
Medlem
Plats
London
Registrerad
Jun 2006

Jag vet inte hur mycket det används i sverige men här har alla som har ett mer kvalificerat jobb ett konto på linkedin för att kunna få bättre jobb genom kontakter etc. Mycket jobbsökande sker genom det.

Simlärare

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Dec 2005
Skrivet av Inveramsay:

Jag vet inte hur mycket det används i sverige men här har alla som har ett mer kvalificerat jobb ett konto på linkedin för att kunna få bättre jobb genom kontakter etc. Mycket jobbsökande sker genom det.

Jag vet vara att det är väldigt många civilingenjörer och liknande som använder det här i Sverige. Hur det ser ut i andra branscher har jag ingen aning om.

Q9450, HD4850, 8 GB DDR2 800 MHz, 3x750 GB, Antec 300, Dell 2408WFP, U2410, Qnap TS-419p+ 4x2 TB Samsung F4, Asus UL30A-QX056V, Logitech Z-680, Sennheiser HD380pro, M-Audio FastTrack Pro, Ibanez sa160qm, Ibanez TB 15R, Zoom 505II, Ibanez GSR 200, Ibanez SW 35, Cort AC-15, Squier SD-3 BBL, Yamaha PSR 270, Røde NT1-A, Nikon D200, Nikkor 18-70/3,5-4,5, 70-300VR, 50/1,8, 28/2,8, Tamron 17-50/2,8, 90/2,8, Sigma 30/1,4, SB-800, SB-25, SB-24

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2001

"Encrypted with SHA-1"? Vad är det för nonsens? Antingen är lösenorden hashade (gärna med salt) och inte krypterade. Eller så är de krypterade, vilket är galet.

Om hash är på vift är det ingen fara så länge som salt har används. Men det är omöjligt att veta precis vad som läckt när journalister är så n00biga.

http://www.theatlantic.com/national/archive/2012/05/how-the-p...
"If there's a simple lesson in all of this, it's that hoaxes tend to thrive in communities which exhibit high levels of trust. But on the Internet, where identities are malleable and uncertain, we all might be well advised to err on the side of skepticism."

Trädvy Permalänk
Medlem
Plats
/root
Registrerad
Jul 2001
Skrivet av MBY:

"Encrypted with SHA-1"? Vad är det för nonsens? Antingen är lösenorden hashade (gärna med salt) och inte krypterade. Eller så är de krypterade, vilket är galet.

Om hash är på vift är det ingen fara så länge som salt har används. Men det är omöjligt att veta precis vad som läckt när journalister är så n00biga.

Som jag har förstått det så var lösenorden tyvärr inte saltade.

"to conquer others is to have power, to conquer yourself is to know the way"
Blogg / Browser/OS-sniffer

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2001
Skrivet av dr slizer:

Som jag har förstått det så var lösenorden tyvärr inte saltade.

Ja, det låter tyvärr troligt. Jag kan inte begripa varför denna inkompetens existerar. Jag menar, salt är ju så basalt i dessa sammanhang att det är svårt att tänka sig en programmerare som vet vad kryptografiskt hash är utan att ha en susning om att salt ska användas.

För er alla på forumet som händelsevis inte vet vad vi talar om ska jag försöka mig på en kort förklaring:
Hash är en så kallad envägsfunktion som ger en specifikt kod för varje meddelande. Koden är alltid lika lång. Det spelar ingen roll om du hashar en bit eller en terabyte, hasen blir ändå t.ex. 128 bitar lång. Givetvis finns det, av matematisk nödvändighet, flera meddelanden som ger samma hash. Detta kallas för kollision, men ingenting som man behöver bry sig om i detta sammanhang.

Lösenord skyddas genom att aldrig lagras. Endast hashen lagras. På så sätt kan man aldrig "läsa" eller "avkryptera" ett lösenord. I stället hashas lösenordet som anges och jämförs med det lagrade hashet. Är de samma är lösenordet korrekt (eller en kollision, men det är utomordentligt osannolikt).

Nu råkar det vara så att alla identiska lösenord blir till identiska hash. Så, om någon får tag i en hashdatabas och lyckas knäcka ett enda hash (genom att generera testlösenord och se vad dessa får för hash) så kommer denna person automatiskt få lösenordet till *alla* som råkar ha samma lösenord (men olika login). Eftersom människor är taskiga slumpgeneratorer och många väljer "pwd123" eller något annat idiotisk är sannolikheten stor att ett enda knäckt hash leder till massor av exponerade lösenord. Detta löses enkelt genom att man alltid adderar extra data helt slumpmässigt till lösenordet. Denna data kallas för "salt" (man "saltar" hashet). Saltet i sig måste inte vara hemligt utan lagras i klartext i databasen. Det är bra om även saltet är hemligt, men det är inte alls nödvändigt. Så, två stolpskott som har "pwd123" som lösenord kommer få olika hash tack vare olika salt. Saltet slumpas fram helt godtyckligt när lösenordet skapas och saltet+hashet lagras i "lösenordsdatabasen". Nu, om någon knäcker "pwd123" plus saltet "lsrijhtw" så kommer det inte hjälpa denne att identifiera andra lösenord "pwd123" eftersom då hashet då t.ex. är "324lj65htkj" i stället. Så det enda en cracker kan veta är då:
? + "lsrijhtw" = 0x1ab2c3d4... (hash)
? + "324lj65htkj" = 0x3a12ef8a..."
osv. osv. Även om "?" är samma lösenord kan inte knäckningen av det första avslöja att det andra också det samma.

Salt är alltså ett snorenkelt och sketabilligt sätt att göra lösenord väldigt, väldigt mycket säkrare. Det är skillnaden mellan att brute-forca ett fåtal och vinna insikter om resten vid varje knäckning, eller att behöva börja från början vid varje enskilt lösenord/hash. Det kostar så lite i kodutrymme och utvecklingstid (även på en simpel mikrokontroller) att det bara är skamvrån som gäller. Finns inga tekniska eller ekonomiska ursäkter.

http://www.theatlantic.com/national/archive/2012/05/how-the-p...
"If there's a simple lesson in all of this, it's that hoaxes tend to thrive in communities which exhibit high levels of trust. But on the Internet, where identities are malleable and uncertain, we all might be well advised to err on the side of skepticism."

Trädvy Permalänk
Medlem
Plats
~
Registrerad
Aug 2005
Skrivet av MBY:

Ja, det låter tyvärr troligt. Jag kan inte begripa varför denna inkompetens existerar. Jag menar, salt är ju så basalt i dessa sammanhang att det är svårt att tänka sig en programmerare som vet vad kryptografiskt hash är utan att ha en susning om att salt ska användas.

För er alla på forumet som händelsevis inte vet vad vi talar om ska jag försöka mig på en kort förklaring:
Hash är en så kallad envägsfunktion som ger en specifikt kod för varje meddelande. Koden är alltid lika lång. Det spelar ingen roll om du hashar en bit eller en terabyte, hasen blir ändå t.ex. 128 bitar lång. Givetvis finns det, av matematisk nödvändighet, flera meddelanden som ger samma hash. Detta kallas för kollision, men ingenting som man behöver bry sig om i detta sammanhang.

Lösenord skyddas genom att aldrig lagras. Endast hashen lagras. På så sätt kan man aldrig "läsa" eller "avkryptera" ett lösenord. I stället hashas lösenordet som anges och jämförs med det lagrade hashet. Är de samma är lösenordet korrekt (eller en kollision, men det är utomordentligt osannolikt).

Nu råkar det vara så att alla identiska lösenord blir till identiska hash. Så, om någon får tag i en hashdatabas och lyckas knäcka ett enda hash (genom att generera testlösenord och se vad dessa får för hash) så kommer denna person automatiskt få lösenordet till *alla* som råkar ha samma lösenord (men olika login). Eftersom människor är taskiga slumpgeneratorer och många väljer "pwd123" eller något annat idiotisk är sannolikheten stor att ett enda knäckt hash leder till massor av exponerade lösenord. Detta löses enkelt genom att man alltid adderar extra data helt slumpmässigt till lösenordet. Denna data kallas för "salt" (man "saltar" hashet). Saltet i sig måste inte vara hemligt utan lagras i klartext i databasen. Det är bra om även saltet är hemligt, men det är inte alls nödvändigt. Så, två stolpskott som har "pwd123" som lösenord kommer få olika hash tack vare olika salt. Saltet slumpas fram helt godtyckligt när lösenordet skapas och saltet+hashet lagras i "lösenordsdatabasen". Nu, om någon knäcker "pwd123" plus saltet "lsrijhtw" så kommer det inte hjälpa denne att identifiera andra lösenord "pwd123" eftersom då hashet då t.ex. är "324lj65htkj" i stället. Så det enda en cracker kan veta är då:
? + "lsrijhtw" = 0x1ab2c3d4... (hash)
? + "324lj65htkj" = 0x3a12ef8a..."
osv. osv. Även om "?" är samma lösenord kan inte knäckningen av det första avslöja att det andra också det samma.

Salt är alltså ett snorenkelt och sketabilligt sätt att göra lösenord väldigt, väldigt mycket säkrare. Det är skillnaden mellan att brute-forca ett fåtal och vinna insikter om resten vid varje knäckning, eller att behöva börja från början vid varje enskilt lösenord/hash. Det kostar så lite i kodutrymme och utvecklingstid (även på en simpel mikrokontroller) att det bara är skamvrån som gäller. Finns inga tekniska eller ekonomiska ursäkter.

Tyvärr så verkar det till och med vara vanligt att lagra lösenorden i klartext. Hade glömt mitt lösenord till adlibris för några månader/år sedan. Tryckte på "glömt lösenord" och fick sedan ett mail med mitt lösenord i. Man borde nästan börja med att mejla och fråga hur de lagrar lösenord innan man registrerar sig någonstans...

Trädvy Permalänk
Medlem
Plats
Summer '79
Registrerad
Maj 2002
Skrivet av MBY:

Ja, det låter tyvärr troligt. Jag kan inte begripa varför denna inkompetens existerar. Jag menar, salt är ju så basalt i dessa sammanhang att det är svårt att tänka sig en programmerare som vet vad kryptografiskt hash är utan att ha en susning om att salt ska användas.

För er alla på forumet som händelsevis inte vet vad vi talar om ska jag försöka mig på en kort förklaring:
Hash är en så kallad envägsfunktion som ger en specifikt kod för varje meddelande. Koden är alltid lika lång. Det spelar ingen roll om du hashar en bit eller en terabyte, hasen blir ändå t.ex. 128 bitar lång. Givetvis finns det, av matematisk nödvändighet, flera meddelanden som ger samma hash. Detta kallas för kollision, men ingenting som man behöver bry sig om i detta sammanhang.

Lösenord skyddas genom att aldrig lagras. Endast hashen lagras. På så sätt kan man aldrig "läsa" eller "avkryptera" ett lösenord. I stället hashas lösenordet som anges och jämförs med det lagrade hashet. Är de samma är lösenordet korrekt (eller en kollision, men det är utomordentligt osannolikt).

Nu råkar det vara så att alla identiska lösenord blir till identiska hash. Så, om någon får tag i en hashdatabas och lyckas knäcka ett enda hash (genom att generera testlösenord och se vad dessa får för hash) så kommer denna person automatiskt få lösenordet till *alla* som råkar ha samma lösenord (men olika login). Eftersom människor är taskiga slumpgeneratorer och många väljer "pwd123" eller något annat idiotisk är sannolikheten stor att ett enda knäckt hash leder till massor av exponerade lösenord. Detta löses enkelt genom att man alltid adderar extra data helt slumpmässigt till lösenordet. Denna data kallas för "salt" (man "saltar" hashet). Saltet i sig måste inte vara hemligt utan lagras i klartext i databasen. Det är bra om även saltet är hemligt, men det är inte alls nödvändigt. Så, två stolpskott som har "pwd123" som lösenord kommer få olika hash tack vare olika salt. Saltet slumpas fram helt godtyckligt när lösenordet skapas och saltet+hashet lagras i "lösenordsdatabasen". Nu, om någon knäcker "pwd123" plus saltet "lsrijhtw" så kommer det inte hjälpa denne att identifiera andra lösenord "pwd123" eftersom då hashet då t.ex. är "324lj65htkj" i stället. Så det enda en cracker kan veta är då:
? + "lsrijhtw" = 0x1ab2c3d4... (hash)
? + "324lj65htkj" = 0x3a12ef8a..."
osv. osv. Även om "?" är samma lösenord kan inte knäckningen av det första avslöja att det andra också det samma.

Salt är alltså ett snorenkelt och sketabilligt sätt att göra lösenord väldigt, väldigt mycket säkrare. Det är skillnaden mellan att brute-forca ett fåtal och vinna insikter om resten vid varje knäckning, eller att behöva börja från början vid varje enskilt lösenord/hash. Det kostar så lite i kodutrymme och utvecklingstid (även på en simpel mikrokontroller) att det bara är skamvrån som gäller. Finns inga tekniska eller ekonomiska ursäkter.

Summan av kardemumman: Ha inte idiotiska lösenord och lita inte på sidor man tror ska vara kompetenta?

Hmm låter ganska självklart nu när jag läser vad jag har skrivit xD

CPU: Intel Core i7 4770K @ 4.2Ghz Motherboard: Asus Maximus VI Hero GPU: Zotac GeForce GTX 780 AMP Edition Memory: Kingston Beast 16GB @ 2400Mhz SSD: 240GB Intel 530 PSU: Corsair AX 860W 80+ Platinum Chassi: Corsair Obsidian 750D OS: Windows 7 x64 Professional 3Dmark11: 13739 3Dmark Vantage: 42063 Valley Benchmark 1.0 Extreme HD: 3016

Trädvy Permalänk
Medlem
Plats
London
Registrerad
Jun 2006
Skrivet av MarcusW:

Tyvärr så verkar det till och med vara vanligt att lagra lösenorden i klartext. Hade glömt mitt lösenord till adlibris för några månader/år sedan. Tryckte på "glömt lösenord" och fick sedan ett mail med mitt lösenord i. Man borde nästan börja med att mejla och fråga hur de lagrar lösenord innan man registrerar sig någonstans...

Mest förbannad blir jag när man skrivit upp sig på nån sida och får ett mail med sitt inloggningsnamn och lösenord.

Simlärare