LinkedIn sagsøgt efter kodeords-læk

Så mangler der vel bare, at man skynder sig at slette sin profil - husk, hvis du ikke betaler for en service så er du en del af produktet !!

"Anklagen går på, at LinkedIn brugte en svag kryptering, "

Ingen tvivl om at det kunne være mindre optimalt, men er sagsøger nu også sikker på at hun (og IT-verdenen i det hele taget) ønsker en dom med præcedens for hvilke tekniske løsninger der kan laves uden at risikere sagsanlæg?
Der er massere af systemer rundt omkring med betydelig bedre sikkerhed end LinkedIn, som opbevarer passwords i klartekst. Det er simpelthen et teknisk krav, hvis man ønsker at lave anden authentikering end med plaintext passwords. En dom, der udelukkende tager stilling som om "krypteringen" svar svag er meningsløs.

Det var ikke krypteret, men hashed. Det er ikke det samme :)

Her er lidt om det:
http://blog.akaconsult.dk/post/2012/06/13/Password-hashing-101-(Don180;t-forget-the-salt).aspx

Burde man ikke overveje et alternativ til simple(hurtigt beregnelige) hash-funktioner og bruge mere egnede teknikker?

Som de så fint siger: 'use bcrypt': http://codahale.com/how-to-safely-store-a-password/

(som alternativ til 'bcrypt' kan man overveje 'scrypt')

LinkedIn gemte ikke passwords forsvarligt, da der eksisterer bedre teknikker der ikke "koster" ekstra. Meget længere er den vel ikke.

Havde de faktisk haft brug for plaintext ville det selvfølgelig ikke påvirke dem at de gjorde.. men så må man nok også forvente at beskyttelsen er det bedre. F.eks. med isolering af services osv.