LinkedIn: SKIFT PASSWORD!
Forleden holdt jeg et foredrag på GOTO2012 om den tabte generation i IT verdenen.
I den sidste halvdel af 1990'erne exploderede IT-branchen fordi enhver gymnasieelev der kunne læse en HOWTO pludselig var Web og Perl programmør, helt uden nogen som helst faglig eller håndværksmæssig ballast.
Et på mange måder interessant sociologisk og programerings-psykologisk forsøg men gud i himlen hvor har det dog kostet os IT-kvalitet.
Mit posterboy eksempel er at Linus Torvalds først begyndte at bruge et versionstyringsværktøj for få år siden, til trods for at han rent nominelt har en Master i CS.
Der er skrevet gode artikler og kapitler i bøger om at beskytte folks passwords på computere, men desværre er der ingen der har læst dem, for de blev skrevet i 1980erne.
Bruce Schneier berører dårligt nok emnet i sine bøger, så trivielt et problem anser kryptografer det for.
Og derfor har kriminelle nu adgang til samtlige LinkedIn's brugeres password, alt hvad de behøver er at bruteforce en SHA1, hvilket kan gøres med millioner af forsøg i sekundet på helt almindelige computere.
Gæt hvad diverse Bot-Nets allerede er igang med.
Du skal skifte dit LinkedIn password NU og du skal skifte det til noget du ikke bruger nogen andre steder.
Overvej:
strings -14 < /dev/random | head -1
Har du brugt det samme password andre steder, skal du også skifte password der, NU
phk
Om Poul-Henning KampPoul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.
Follow @bsdphkKommentarer (20)
Der skulle være et udbredt api til ændring af passwords. Så kunne lastpass o.l. selv skifte ens password til en ny tilfældig streng hver morgen.
-
2 -
0
Er muligt jeg har været uden for radiodækning, men hvordan har kriminelle adgang til samtlige LinkedIn's brugeres password?
-
1
-
0
de ved det ikke , de har disablet alle brugerne der er leaket , og alle andre ser ud til at være sha1+salt
-
0
-
0
Problemet er jo ikke dårlige/usikre passwords men at Linkedin under en update har været blottet. Ifølge Linkedin har de identificeret hvilke konti der har været kompromitteret, resat deres password og sendt dem en mail med en uddybning af problemet. Alligevel er det naturligvis en uacceptabel og dårlig practice. se mere her;
We want to provide you with an update on this morning’s reports of stolen passwords. We can confirm that some of the passwords that were compromised correspond to LinkedIn accounts. We are continuing to investigate this situation and here is what we are pursuing as far as next steps for the compromised accounts: Members that have accounts associated with the compromised passwords will notice that their LinkedIn account password is no longer valid. These members will also receive an email from LinkedIn with instructions on how to reset their passwords. There will not be any links in these emails. For security reasons, you should never change your password on any website by following a link in an email. These affected members will receive a second email from our Customer Support team providing a bit more context on this situation and why they are being asked to change their passwords.
-
0
-
2
Fra deres nyeste blog entry (egen fremhævning):
It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes *hashing* and *salting* of our current password databases.
Skræmmende hvis de ikke i forvejen havde hashet kodeordene i databasene (med et associeret salt)
-
1
-
0
Problemet er jo ikke dårlige/usikre passwords men at Linkedin under en update har været blottet.
Problemet er langt større end det, for alt for mange mennesker bruger samme password på flere/mange sites.
Der er ingen undskyldning for at hashe passwords uden salt og når man har 150 mio brugere er man totalt inkompetent hvis man gør det.
-
10
-
0
http://bits.blogs.nytimes.com/2012/06/05/linkedins-leaky-mobile-app-has-...
NB !!
Så et sted en kommentar fra ekspert, som betonede at kun folk der
benyttede LinkedIN via trådløse forbindelser - ville være ramt af
det russiske angreb.
...Glemte desværre at bogmærke sitet med denne info.
-
0
-
0
Nu bruger jeg ikke selv LinkedIn meget, men så vidt jeg kan forstå, så blander du to ting sammen. LinkedIn havde en affære med at deres mobile app "stjal" din kalender (privacy issue), og nu er de (måske?) blevet hacket (security issue). Men de to ting har ikke noget med hinanden at gøre.
Jeg går ud fra at man kun var berørt af deres "privacy issue" hvis man var på et "usikkert" net (hvad du refererer til). Men et "sikkert" net hjælper intet hvis hackere får adgang til deres database.
-
0
-
0
Nej jeg blander ikke de to ting sammen - selv om jeg berører
to emner i et indlæg.
-
0
-
0
"kun folk der benyttede LinkedIN via trådløse forbindelser - ville være ramt af det russiske angreb."
Jeg kan bare ikke se hvordan ens internetforbindelsestype (trådløs eller ej) har noget at gøre med et potentielt hack af LinkedIn's database (det russiske angreb)?
-
0
-
0
LinkedIn's password-anbefalinger (fra deres blog):
In order for passwords to be effective, you should aim to update your online account passwords every few months or at least once a quarter.
Ja, for der går jo altid mindst et par måneder før kompromitterede adgangskoder bliver forsøgt misbrugt.
Think of a meaningful phrase, song or quote and turn it into a complex password using the first letter of each word.
Pas nu på... http://blogs.cio.com/security/16628/google-ad-accidentally-shows-whats-w...
Substitute numbers for letters that look similar (for example, substitute “0″ for “o” or “3″ for “E”.
Idioter.
-
1
-
4
Der var faktisk et ret langt, og godt kapitel om salts, key stretching, informationsentropi, passphrases m.m., i Cryptography Engineering. Men der er jo tydeligvis nogen, der gør noget forkert, når så mange store virksomheder stadig tror at kryptografiske hashfunktioner == password-hashfunktioner.
Jeg tror også (synlige) sikkerhedsfolk står til skylde. De malker ofte pressekoen når der er digestlækage uden at sætte fokus på, at der har fundets KDFs/stretching i flere årtier. (Preaching to the choir? md5crypt :)
-
2
-
0
I skal ikke taste jeres password ind i en eller anden tilfældig webside for at se om det var lækket, med mindre I er helt sikre på at i ikke bruger det som password nogen steder på nettet mere.
-
8
-
1
Hej PHK,
Jeg tror, at det er på tide, at du får en ny plakat med Torvalds. ;-)
Git er fra 2005, og kernefolket tog BitKeeper i brug for 10 år siden.
(Hvordan de kunne holde de første ti+ år ud, er over min fatteevne.)
Tak for notitsen om linkedin.
Mvh.
Martin
-
3
-
0
Når man skifter password i linkedin, så kan man stadig komme på fra mobilen via linkedin app'en uden at teste det nye password ind.
Hvad siger det om sikkerheden??? Hjælp!!!
-
0
-
0
Det kommer meget an på hvordan de har bygget deres app op. Som der er skrevet flere steder, så virker det sikkert på den måde at du logger ind via password én gang, og så får du en token som kan bruges i en hvis tidsperiode. Da denne token er uafhængig af dit kodeord, så virker den stadig, selvom du skrifter password.
Problemet er nok at de ikke gemmer tidspunktet hvornår du skrifter password, så de kan ikke teste om "password age > token age". Personligt ville jeg mene at det var smartere at token var genereret på en måde ud fra ens kodeord (så et skift af kodeordet = automatisk invalid token), men som vi fornyligt har set med Last.fm, så er det overraskende tit inkompetent personer som laver disse systemer :/
-
0
-
0
Men betyder det ikke også, at når du har sendt mig dit password, og jeg har logget på via min mobil, så kan du ikke længere forhindre mig i at få adgang til din profil fx. ved ar skifte password?
-
0
-
0
Tilføj kommentar
