Epic Games råkar ut för dataintrång – 800 000 kontouppgifter på vift

Trädvy Permalänk
Inhibitor
Registrerad
Dec 1999

Epic Games råkar ut för dataintrång – 800 000 kontouppgifter på vift

Återigen hamnar känsliga uppgifter i fel hand. Denna gång är det forum under Epic Games fana som råkar ut för en attack på servrarna.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2011

Skönt att dom lagrar lösenord på en annan server och förhoppnings vis i något vettigt hashat format.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009

på tiden att ett hackat företag har vettig lösenordssäkerhet. vissa har sådan pinsam säkerhet att man kunde trott att de är gjort av en 5 åring

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2004

[Intel 6700K @ 4500MHz]--[MSI Core Frozr L]--[MSI Z170 Gaming M5]--[Corsair 16GB 2666MHz DDR4]--[MSI 1080Ti Gaming X @ 2038/12006MHz]--[EVGA Supernova G2 850W]--[Fractal Design Define S]--[Windows 10 x64]--[Acer X34A]--[Corsair Strafe RGB MX Silent]--[Mionix Naos 7000]--[HyperX Cloud II]--[Creative Gigaworks T20]

Trädvy Permalänk
Medlem
Registrerad
Jun 2016

Det är bra att ha olika lösenord på olika platser och olika kreditkort men en omöjlighet att komma ihåg. Till webbläsare finns passwordmanagers men inte alltid att de fungerar till allt. Synd att det inte går att lösa att man loggade in med fingeravtryckläsare överallt. Då menar jag överallt.

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009

Använder en s.k. pwd manager till i stort sett allt och den fungerar alltid så till vida att du kan lagra anteckningar om lösenord till siter där den inte skulle funka. Men det är ytterst få ställen som ger direkta problem.

Norton har dessutom en gratisvariant... https://identitysafe.norton.com/sv

Finns liksom ingen anledning att sitta och kombinera ihop genomsnittet av 4 personnummer, favoritfärg och nästkusinens barnbarn längre. Bara stenålder.

Däremot så hamnar man ibland i den sitsen att man vill generera ett säkert lösen på 39 tecken med allt möjligt, men INTE FÅR? på grund av att stället ifråga inte stöder det. Då blir jag sur. Känenr till några webhotell som vägrar uppa sina system till att ta över 12 tecken och de har stora företag som kunder.

Ryzen + Nvidia. Nuff said.

Trädvy Permalänk
Medlem
Plats
Moon
Registrerad
Aug 2007

Det står ju klart och tydligt att vissa gamla forum kan ha hashade lösenord på vift. Så att säga att inge lösenord är på vift är ju inte helt sant.

Citat:

Also, we believe a compromise of our legacy forums covering Infinity Blade, UDK, previous Unreal Tournament games, and archived Gears of War forums revealed email addresses, salted hashed passwords and other data entered into the forums

https://www.unrealengine.com/news/information-regarding-recen...

Trädvy Permalänk
Medlem
Plats
#Archlinux
Registrerad
Jun 2007
Skrivet av delete_home_end:

Det är bra att ha olika lösenord på olika platser och olika kreditkort men en omöjlighet att komma ihåg. Till webbläsare finns passwordmanagers men inte alltid att de fungerar till allt. Synd att det inte går att lösa att man loggade in med fingeravtryckläsare överallt. Då menar jag överallt.

Känns säkert att alla skall ha tillgång på ens fingeravtryck...

Sedan så ger password managers single point of failure.

Bara att skapa nog randomiserade lösenord men enkla nog att komma ihåg. Följer man sitt system så blir det lätt nog.

Skickades från m.sweclockers.com

Arch - Makepkg, not war -||- Asus Crosshair Hero VI -||- GSkill 16GiB DDR4 15-15-15-35-1T 3600Mhz -||- AMD 1600x @ 4.1GHz -||- nVidia MSI 970 Gaming -||- Samsung 850 Pro -||- EVEGA G2 750W -||- Corsair 570x -||- Asus Xonar Essence STX -||- Sennheiser HD-650 -||
Arch Linux, one hell of a distribution.

Trädvy Permalänk
Medlem
Registrerad
Dec 2010
Skrivet av delete_home_end:

Det är bra att ha olika lösenord på olika platser och olika kreditkort men en omöjlighet att komma ihåg. Till webbläsare finns passwordmanagers men inte alltid att de fungerar till allt. Synd att det inte går att lösa att man loggade in med fingeravtryckläsare överallt. Då menar jag överallt.

Ett fingeravtryck är mer som ett användarnamn i mina ögon. Fingeravtryck + lösenord är nog den ultimata kombinationen.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Maj 2007

@delete_home_end:
Passwordmanagers är generellt osäkra, de måste spara lösenord på ett sådant sätt att de går att återskapa till klartext + de andra brister som redan nämnts ovan. (Att spara lösenord i en webbläsare är särskilt osäkert - de inbyggda säkerheterna där är tämligen bristfälliga.)

SweClockers Dark Pearl tema: http://www.sweclockers.com/forum/trad/1484891
(Rek. Stylus)

Trädvy Permalänk
Medlem
Plats
Gotland
Registrerad
Jan 2008
Skrivet av dpom86:

@delete_home_end:
Passwordmanagers är generellt osäkra, de måste spara lösenord på ett sådant sätt att de går att återskapa till klartext + de andra brister som redan nämnts ovan. (Att spara lösenord i en webbläsare är särskilt osäkert - de inbyggda säkerheterna där är tämligen bristfälliga.)

Finns det en bättre lösning? Hur ligger de i klartext? Genuint nyfiken och vill inte vara dryg. Blev av med ett välanvänt lösen i somras och vill ha bättre säkerhet.

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009
Skrivet av dpom86:

@delete_home_end:
Passwordmanagers är generellt osäkra, de måste spara lösenord på ett sådant sätt att de går att återskapa till klartext + de andra brister som redan nämnts ovan. (Att spara lösenord i en webbläsare är särskilt osäkert - de inbyggda säkerheterna där är tämligen bristfälliga.)

Nu får du hålla isär det som är delar av Windows, Chrome och Firefox, bland andra, med det som finns på marknaden. Självklart är inte alla lika säkra, men den jag använder krypterar rubbet och jag kan ange högre eller lägre säkerhet genom att blanda in telefonnummer och så vidare. Dual Auth (Två stegs bekräftelse). Plus att det finns en funktion som gär att jag kan välja antalet Hashningar, som sker genom PBKDF2

Jag skall inte påstå att mitt val är säkrast på klotet, men det är definitivt säkrare än inget alls.

Du ser här vilka som använder det bland andra...´

Dessutom, inget återskapas till klartext., varför det? Så du får tillbaka ditt gamla lösenord? DET är osäkert och om du använder något system som låter dig få tillbaka ditt gamla lösen, så DUMPA det. Man skall få ut en möjlighet att sätta ett nytt lösen och inget annat, då raderas det gamla värdet för tidigare lösenord.. Utöver allt det skall det givetvis krav på lösenordets komplexitet.

Ryzen + Nvidia. Nuff said.

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jul 2015
Skrivet av delete_home_end:

Det är bra att ha olika lösenord på olika platser och olika kreditkort men en omöjlighet att komma ihåg. Till webbläsare finns passwordmanagers men inte alltid att de fungerar till allt. Synd att det inte går att lösa att man loggade in med fingeravtryckläsare överallt. Då menar jag överallt.

Och dessa så kallade "lösenordshanterare" ska man inte förlita sig för mycket på heller.

Skulle någon mot förmodan få åtkomst till det kontot så ger man då åtkomst till alla uppgifter man har sparade där.

Som vanlig privatperson är det oftast säkrast att ha alla kontouppgifter nedskrivna på papper hemma, givetvis inte i ren klartext precis vid datorn.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004
Skrivet av Exxovion:

Och dessa så kallade "lösenordshanterare" ska man inte förlita sig för mycket på heller.

Skulle någon mot förmodan få åtkomst till det kontot så ger man då åtkomst till alla uppgifter man har sparade där.

Som vanlig privatperson är det oftast säkrast att ha alla kontouppgifter nedskrivna på papper hemma, givetvis inte i ren klartext precis vid datorn.

Jag kör keepass som sparar lösenorden i en krypterad databas lokalt, sen får man själv dela den via exempelvis google drive eller liknande. Visst har databasen i sig dom flesta av mina lösenord men den är ju som sagt krypterad. Känner att det ska mycket till för att det ska bli värt besväret att först sikta in sig på just mig och mina 10-20 konton och efter man lyckats komma åt min databas försöka knäcka den krypteringen. I gengäld för den risken har alla min konton betydligt starkare unika lösenord än vad jag någonsin skulle klara av att memorera eller skriva.

Jag tycker därför att det är ett klart bättre alternativ. Sen är det ju alltid bra att byta lösenord emellanåt

| i5 6500 | asus z170-k | asus 970 strix | 16gb ddr4 | asus mg279Q | FD Define r4

Trädvy Permalänk
Medlem
Plats
Falkenberg
Registrerad
Jun 2004
Skrivet av delete_home_end:

Det är bra att ha olika lösenord på olika platser och olika kreditkort men en omöjlighet att komma ihåg. Till webbläsare finns passwordmanagers men inte alltid att de fungerar till allt. Synd att det inte går att lösa att man loggade in med fingeravtryckläsare överallt. Då menar jag överallt.

Det är ingen god idé.
Ett fingeravtryck är inte så lätt att byta när det väl är på vift.

Asus ROG Strix Z370-H Gaming | Intel Core i7-8700K | Nvidia GeForce GTX 1080Ti | Corsair Vengeance LPX Black 3000 MHz 16 GB | 1 st Samsung 960 EVO 256 GB, 1 st 850 PRO 1 TB, 1 st 850 EVO 1 TB, 1 st 840 Basic 250 GB, 1 st WD Black 6 TB | Fractal Design - Define R5 | Corsair RM1000x

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jul 2015
Skrivet av Ragin Pig:

Jag kör keepass som sparar lösenorden i en krypterad databas lokalt, sen får man själv dela den via exempelvis google drive eller liknande. Visst har databasen i sig dom flesta av mina lösenord men den är ju som sagt krypterad. Känner att det ska mycket till för att det ska bli värt besväret att först sikta in sig på just mig och mina 10-20 konton och efter man lyckats komma åt min databas försöka knäcka den krypteringen. I gengäld för den risken har alla min konton betydligt starkare unika lösenord än vad jag någonsin skulle klara av att memorera eller skriva.

Jag tycker därför att det är ett klart bättre alternativ. Sen är det ju alltid bra att byta lösenord emellanåt

Jag tänkte främst på dessa olika lösenordshanterare som finns online, missade såklart att skriva det.

KeePass har jag provat tidigare och det programmet kan man väl likställa med en nyckelring ungefär. Väldigt smidigt är det iallafall.

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jan 2011
Skrivet av Homdax:

Däremot så hamnar man ibland i den sitsen att man vill generera ett säkert lösen på 39 tecken med allt möjligt, men INTE FÅR? på grund av att stället ifråga inte stöder det. Då blir jag sur. Känenr till några webhotell som vägrar uppa sina system till att ta över 12 tecken och de har stora företag som kunder.

Det kan vara jobbigt att byta från att lagra lösenord i klartext till att hasha dem

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009

@dlq84
Jobbigt? Det är grundläggande. Varje enskilt system som är exponerat utåt på något sätt eller med fler än en användare, eller som inte är inlåst i en 40 tals bunker utan någon form av nätverk, trådat eller ej, bara skall ha det. Det finns liksom inga alternativ om man tänker en millisekund på säkerhet.

Men, det skall också sägas att komplicerade lösenord är faktiskt enklare än vad många tror, om man använder antal tecken som en viktig faktor.

Vilket tror du är säkrast:

K4lle-4ank4

eller

K4lle-4nka's....Farbr0r_Joak1m

Svaret är självklart och jag vill inte kalla det komplicerat.

Läsvärt: https://www.grc.com/haystack.htm

Ryzen + Nvidia. Nuff said.

Trädvy Permalänk
Medlem
Plats
Numera Malmö (igen)
Registrerad
Jan 2009

@Homdax:

Denna seriestrip är bra att ha i åtanke när det gäller att skapa säkra lösenord som även är rimliga att komma ihåg:

https://xkcd.com/936/

Så det där tipset med att inte använda ord som finns i ordlistor behöver inte nödvändigtvis stämma så länge ens lösenord består av flera osammanhängande ord som finns i ordlistor.

Mac Pro (Mid 2010) | 3,33 GHz 6-Core Intel Xeon ”Westmere” | 32 GB RAM | GeForce GTX 970, 4 GB | macOS 10.13: Samsung 850 Pro, 512 GB | Windows 10: Samsung 850 Evo, 256 GB | WD Green, 2 TB | Samsung Spinpoint, 1 TB | LG DVD bränn/Blu-ray läs | 2x USB 3.1 Gen 2 via Sonnet Technologies Allegro USB-C PCIe

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2015
Skrivet av star-affinity:

@Homdax:

Denna seriestrip är bra att ha i åtanke när det gäller att skapa säkra lösenord som även är rimliga att komma ihåg:

https://xkcd.com/936/

Så det där tipset med att inte använda ord som finns i ordlistor behöver inte nödvändigtvis stämma så länge ens lösenord består av flera osammanhängande ord som finns i ordlistor.

Låter ju bra för mig som vanlig användare, men hur många gissningar / sekund kan en stark dator eller nätverk av datorer utföra? 1000 för en dator låter ju rätt klent om man tänker hur starka processorer det finns.

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av KaffeMedKotlett:

Låter ju bra för mig som vanlig användare, men hur många gissningar / sekund kan en stark dator eller nätverk av datorer utföra? 1000 för en dator låter ju rätt klent om man tänker hur starka processorer det finns.

Vet inte om du sett denna sidan och den säger ingenting om hur lång tid det tagit en stark dator, men alltid något.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Feb 2010

Fingeravtryck är nog inge vidare då dom inte är unika: https://en.wikipedia.org/wiki/Fingerprint#Brandon_Mayfield_an...

Password managers så som lastpass och keepass sparar lösenord i krypterade databaser, alltså inte i klartext, är långt mycket säkrare än vad folks system, papperslappar och annat som folk rekommenderar.

Trädvy Permalänk
Medlem
Plats
Skövde
Registrerad
Maj 2007

@Homdax: Vad jag menar med "till klartext" är att alla password managers, t.ex. de i webbläsare som nämndes, måste lagra lösenord så de kan återskapas till klartext, spelar ingen roll om det finns ett sätt att se dem i GUI eller inte, för annars kan inte lösenordet skickas vidare till t.ex. en webbsida, för det är så generaliserad hantering. Det verkar som att du är ganska försiktig, även om jag personligen gillar att hålla allt i huvudet (eller säkert offline), men det är många som inte vet hur dåliga de vanliga lösenordshanterarna är.

SweClockers Dark Pearl tema: http://www.sweclockers.com/forum/trad/1484891
(Rek. Stylus)

Trädvy Permalänk
Medlem
Plats
Norrköping
Registrerad
Jul 2015
Skrivet av Nr42:

Fingeravtryck är nog inge vidare då dom inte är unika: https://en.wikipedia.org/wiki/Fingerprint#Brandon_Mayfield_an...

Det står inget om att fingeravtryck inte är unika?

No two fingerprints have ever been found identical in many billions of human and automated computer comparisons.

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009
Skrivet av KaffeMedKotlett:

Låter ju bra för mig som vanlig användare, men hur många gissningar / sekund kan en stark dator eller nätverk av datorer utföra? 1000 för en dator låter ju rätt klent om man tänker hur starka processorer det finns.

Tja, det är inte riktigt så enkelt... Om du skall köra en brute force attack mot en webserver som skall svara "fel lösen" för varje försök så tar det låååång tid. Är det programvara som finns lokalt (på samma dator) så går det mycket fortare, det går också fortare om du kör mot lokala databas server eller lokalt nätverk, men fortfarande är det så att varje fråga måste få ett svar. Skicka lösenförsök > få svar > bearbeta, skicka nytt. Sen blir det ju mer komplicerat för du skall ju rimligen spara det försök du har gjort också, så du inte upprepar samma fråga. Det kan som sagt, gå ruskigt fort om du bara blandar in en lokal dator, men skall det ske över nätverk eller internet tar det genast så mycket längre tid att det riskerar att bli ogenomförbart.

Skrivet av dpom86:

@Homdax: Vad jag menar med "till klartext" är att alla password managers, t.ex. de i webbläsare som nämndes, måste lagra lösenord så de kan återskapas till klartext, spelar ingen roll om det finns ett sätt att se dem i GUI eller inte, för annars kan inte lösenordet skickas vidare till t.ex. en webbsida, för det är så generaliserad hantering. Det verkar som att du är ganska försiktig, även om jag personligen gillar att hålla allt i huvudet (eller säkert offline), men det är många som inte vet hur dåliga de vanliga lösenordshanterarna är.

Ah, jag det är försås sant, men för det krävs dels att du har själva programmet dels att du har nyckeln som dekrypterar lösenorden och en stor del av den nyckeln är ju Master lösen som man sätter och den bör ju inte vara K4lle-4nk4 om vi säger så...
Sedan kan man sätta andra spärrar, till exempel bara vissa IP adresser, vissa datorer. Det är fullt möjligt. Jag sitter nu hemma och är inloggad i min lösenhanterare för att kunna logga på SweClockers med mitt långa säkra lösenord, det betyder automatiskt att om jag har det installerad på en annan dator som inte är på mitt nätverk eller har min nuvarande publika IP, så måste jag genomföra en ny inloggning på den. Tillåter bara en session per publik IP.

Ryzen + Nvidia. Nuff said.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Maj 2009
Skrivet av Nr42:

Fingeravtryck är nog inge vidare då dom inte är unika: https://en.wikipedia.org/wiki/Fingerprint#Brandon_Mayfield_an...

Password managers så som lastpass och keepass sparar lösenord i krypterade databaser, alltså inte i klartext, är långt mycket säkrare än vad folks system, papperslappar och annat som folk rekommenderar.

dom sparas inte i klartext nej, men dom går att få till klartext, vilket gör krypteringen direkt sämre än tex sha256. kommer dom databasen för dessa krypterade lösenord så har dom troligen tillgång till formeln som används för att kryptera lösenorden. annars kan du försöka lista ut formeln för att få de till klartext. när man lyckats med det är det busenkelt att få 100% match till databasen

Min dator: Silent Base 600 | 1700X @ 3.9Ghz | MSI Gaming X 1080TI | RM750X | 512Gb M2 | 16Gb 3200mhz Ram | S34E790C @ 3440x1440
Tjejens dator: Define r4 | i5 3570k @ 4.2ghz | GTX Titan | 750w Supernova | 240gb SSD | 32gb ram
Citera/Tagga för svar!

Trädvy Permalänk
Medlem
Registrerad
Apr 2014

Jag har vissa lösenord sparade i webläsaren, vissa i en hanterare och vissa på papper, men de viktigaste har jag memorerat och finns bara i min skalle. Kan endast återfinnas genom att tortera mig.

Trädvy Permalänk
Medlem
Registrerad
Nov 2008
Skrivet av Barak:

Det är ingen god idé.
Ett fingeravtryck är inte så lätt att byta när det väl är på vift.

Fingeravtryck borde dock kunna vara ett komplement. I stället för att exempelvis trycka Enter efter att man har skrivit in användarnamn och lösenord så skannar man fingeravtryck. På så sätt så måste hackaren ha tillgång till både lösenord och fingeravtryck. Och man har ju dessutom oftast 10 fingeravtryck att välja mellan.

Förstår inte varför fler sidor inte börjar använda tvåstegsverifiering? Det finns flera lösningar som är simpla att sätta upp på nolltid. T.ex. Google Authenticator. Visst, det är inte 100% säkert, men betydligt säkrare än att inte ha det. Dock lär vi inte få se det inom en snar framtid eftersom att 99% av internet inte verkar ta säkerhet på högsta allvar. Utan istället så kommer de med ursäkter som "Vi vill inte göra det krångligt för våra användare (eftersom att vi vill ha pengar och krånglighet kan skrämma bort användarna)".

Intel i7 6700K | ASUS Z170 Pro Gaming | Palit Geforce GTX 1080 GameRock | 16GB DDR4 | Fractal Design Define R5 | EVGA Supernova G2 750W

Trädvy Permalänk
Medlem
Registrerad
Jun 2016
Skrivet av Nr42:

Password managers så som lastpass och keepass sparar lösenord i krypterade databaser, alltså inte i klartext, är långt mycket säkrare än vad folks system, papperslappar och annat som folk rekommenderar.

Har själv använt Laspass sedan urminnestider och betalar så jag kan använda systemet även på Android. Men vågar inte ha några kontokort sparade där. Men, men, 2015 köpte LogMeIn upp Lastpass (http://www.zdnet.com/article/lastpass-bought-by-logmein-for-1...) så vet inte om det är lika säkert som förr när nästan alla säkerhets saiter starkt rekomenderade LastPass. Kommer ihåg att innan kunde lösenordet aldrig återställas om man glömt bort det men det går numera.

Trädvy Permalänk
Medlem
Plats
M-Skåne
Registrerad
Aug 2009

Lastpass köpte också Xmarks 2010. LogMeIn köpte Lastpass för att de behövde bättre teknik, åtminstonde spekuleras det om det.

Att lösenordet kunde ÅTERställas är bara nys. Det kan de inte och vill inte göra även om det, hypotetiskt sett, vore tekniskt möjligt..

https://lastpass.com/support.php?cmd=showfaq&id=375

Ryzen + Nvidia. Nuff said.