Dreamhack och Rakaka hackade – lösenord sprids på nätet

Även om det inte var plain text så har dom brutforcat ca 3000 lösenord senaste gången jag tittade.

$salt = "";
$password = md5($password);
$hash = $password . $salt;

flashback.org, där inne under IT säkerhet så håller dom på och leker med dumpen.

Hackare hackar hackare . . . eller nåt

Gj!

Birdie däremot... Ohackbart

Hur tänker du nu? :S

Om folk bara lärde sig att ha ordentliga lösenord och olika på varje sida...

Slår vad om att hälften har lösenord som Sommar, badboll91, augusti och liknande klena lösenord som vilken standarddator i dag knäcker på några minuter

Jag tycker dödsstraff på avsiktligt dataintrång skulle vara mycket mer tidssparande och användareffektivt

förvisso.. Dock är det svårt att spåra var personerna befunnit sig och sen är det framförallt svårt att bevisa vem som gjort vad. bara för man lyckas spåra ägaren så kan det lika gärna vara hunden som gjort det.

Är inte sweclockers lite sena ute med den här "nyheten"?

Bättre sent än aldrig som jag brukar säga till lärarna på morgonen xd

Det hjälper dock inte i längden sålänge man kommer åt databasen, utan det handlar bara om tidsskillnaden och hur intressant det är för den som vill komma över lösenordet.

Har man inte saltat databasen är det inte ens en match. Har man ett lösenord som Sommar och kör en Wordlist emot MD5-hashen så kommer även det gå snabbare. Men oavsett vilket så går det fortfarande att bruteforca MD5-hashen för lösenord som exempelvis S4yMyNam3# bara att det tar längre tid.

Så är man bara intresserad av att knäcka den är det fullt möjligt. Jag blir istället upprörd hur relativt enkelt det är att få tag på dessa databaser idag och hur dåligt saltade hashen är. Vissa webbadmins lägger ingen tid alls på detta eller har inte kunskapen. Visst, det är väl lite av en oskriven regel att man har ett unikt lösenord till mailen och framför allt inte frugans födelsedag eller ett enkelt ord som hittas i alla lexikon. Men jag riktar även fingret mot webbsidans ansvariga, de har också ett ansvar i detta. Oavsett mitt lösenord så ska det ligga säkert hos dem. Se till att lägga lite krut på saltandet och säkerheten. Tvinga användarna till lösenord med specialtecken. Många spar dessvärre in pengar på detta och tänker "nä, det händer inte vår sida, den är inte intressant".

Är ju inte användarna som ha för klena lösen osv, utan DH som kanske ska se över sitt skit, hoppas dom inte kommit åt nått av mitt iaf...

Byt lösenord som inte liknar ditt förra så blir du kanske säker

hade jag gärna gjort om jag kom ihåg mitt gammla

Trist för dem drabbade är själv inte reggad på nån av dem sajterna

Givetvis vet jag det. har själv sysslat med att knäcka lösenord.

Det jag mer ställer mig till är att skulle en databas bli hackad. tex Swec's och de kommer över databasen. har man då olika lösenord på sina ställen så är det rätt så meningslös information.

1. Man kommer inte åt mailen som kan öppna upp till mängder med sätt att lura folk och få tag i andra lösenord osv.
2. Man förlorar på sin höjd ett acc.

För kommer man inte åt något så är ett acc med pass rätt så värdelöst (visst man kan förstöra för den riktiga användaren på sidan) Men man har inte så stor nytta till det om man inte kan ta sig vidare. sen så kan de ju samla mailadresser men känns med meningslöst då man lika gärna kan skriva ihop ett script som kör allt från A till B (alla kombinationer) @hotmail.com tex och sen skicka lite spam.

Sen så är många av dagens sidor lätta mål som vilken snorunge som hälst som tar sig tid att lära sig program och hur sidorna är uppbyggda. det gäller bara att hitta en alternativ väg in. Det som är lite roligt i det hela är att så fort någon sida blir hackad (som iofs brukar mörkas vilket är det bästa i många fall) så näms det alltid över hur svagt lösenorden och databasen är till tillgå. Finns ju sidor som sparat lösen i klartext vilket är mindre lyckat.

Även med bra säkerhet så går det komma in så länge man vet var man ska attakera och sen är det bara en fråga om tid tills man är inne. lite pusselbitar här och var.

En papperslapp hemma?

Det är inte så svårt.

Utgå från ett starkt lösenord. Det gör inget att det är svårt lösenord - du kommer inte att glömma det eftersom du kommer använda det flera gånger varje dag.

För varje tjänst som behöver ett lösenord så behöver du någon form av information som du vet att du alltid kommer att komma fram till om du tänker på den tjänsten. Ett exempel på detta är domännamnet eller namnet på tjänsten.

Sedan har du någon form av algoritm för att modifiera ditt starka lösenord utgående från ex. tjänstens namn.

Resultatet?
Unikt och starkt lösenord på alla tjänster som du alltid kommer ihåg.

Jag har sidor som jag inte besökt på 5 år och kan utan problem logga in på första försöket med ett unikt och starkt lösenord...

Det är inte perfekt, om någon är ute efter jusst dig och lyckas få tag på flertalet av dina lösenord kan de givetvis luska ut hur du gör men sannolikheten för det är rätt minimal och man får se till alternativen - om man i dagsläget inte har ork för mer än kanske ett par lösenord så är ju detta bra mycket bättre.

Bara som ex.
Säg att man har "abc" som sitt "starka" lösenord och ska skapa ett konto på sweclockers. Så kan du ta tredje bokstaven i sweclockers och lägga in det på näst sista platsen i lösenordet => abec.
Tänk på att det inte ska vara uppenbart hur du går till väga (och bör göra lite större ändringar än kanske bara en bokstav) för då försvinner ju poängen med det. Skulle man bara lägga till namnet i början av lösenordet (dvs. sweclockersabc) så kommer ju folk bara testa med hotmailabc osv. iställlet).

Fördelen med detta är också att du kan ha ett riktigt starkt lösenord som du utgår ifrån - och du kommer aldrig att glömma det med tanke på att du kommer använda det dagligen. Lösenordet till sidor man besöker ofta kommer man komma ihåg den modiferade versionen direkt men för sidor man inte besöker så ofta och ifall skulle man glömma kan man alltid 'räkna ut' vad lösenordet är.

Lösenordshanterare rekommenderar jag inte. Även med syncmöjligheter så begränsar man möjligheten att använda sidor ganska drastiskt och eftersom man aldrig skriver lösenordet kommer man glömma bort det och så är man helt i händerna på lösenordshanteraren. Sen så är lösenordshanteraren ett väldigt utsatt mål (särskilt eftersom lösenorden måste finnas i plain-text).

Det är väl rätt vanligt att folk har ett fåtal lösenord som man rankar olika högt (efter säkerhet och hur seriösa sidorna man använder dem på), något liknande kan man givetvis göra med systemet ovan om man känner för det.

Nej det står på bokning.dreamhack.se att de inte fick några lösenord dårifrån.

Precis, finns flera bra addons som du bara har ett huvudlösenord till som automatiskt kommer ihåg och loggar in när du går in på sidan.

Finns det någon motsvarighet till chrome? Har gått över till det nästan helt ok har inte fixat nåt sånt till chrome än, det kanske är dags nu.

Ahh, lastpass fanns ju såg jag nu när jag kollade.

Det största problemet som finns med att ha allt sparat i Firefox är om du skulle bli av med din dator, risken är ju rätt stor med en laptop, så har personen ifråga alla dina lösenord.

Äh, kryptering av hårddisk är lösning på det problemet. Men tyvärr långtifrån alla som orkar/kan det.

Ja om han lyckas ta reda på huvudlösenordet(bra att ha ett starkt sådant). Lastpass tex. använder ett webbgränssnitt, krypterat osv. Så du kan bara installera pluginen i chrome/FF och logga in från vilken dator som helst.