Adobe bekræfter: Millioner af stjålne kodeord var ikke sikret godt nok

5. november 2013 kl. 11:553
De mange stjålne kodeord fra Adobes databaser var krypterede, men ikke sikret med hashing. Det fortæller virksomheden nu.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Modsat hvad det tidligere blev antaget, så var de stjålne kodeord fra Adobes databaser ikke hashet. Det har Adobe og flere analytikere bekræftet ifølge Infoworld.

Selv om hashing anses som best practice, var de mange kodeord i stedet krypteret med 3DES-kryptering, som normalt ikke bruges til at sikre den type data.

Problemet ligger i, at det i teorien er muligt at bryde krypteringer via eksempelvis brute force-teknikker, eller hvis angriberen er i stand til at gætte krypteringsnøglen. Det skriver Infoworld, der dog understreger, at det ikke er enkelt at bryde den anvendte 3DES-kryptering. Det ændrer dog ikke på, at det går imod de traditionelle best practice-forskrifter, når det gælder optimal sikring af kodeord.

Fordelen ved at hashe kodeordene med særlige algoritmer, er, at det praktisk talt bliver umuligt at få adgang til de hashede data ved hjælp af brute force-angreb. En sikkerhed, der kun bliver større, hvis der bruges ‘salt’ sammen med hashingen, hvilket tildeler et ekstra lag af sikkerhed til det enkelte kodeord.

Artiklen fortsætter efter annoncen

Adobe fortæller, at virksomheden det seneste års tid netop har benyttet sig af denne teknik sammen med hash-algoritmen SHA-256 på sine autentifikationssystemer.

Problemet var blot, at det ikke var dette nye system, hackerne angreb tilbage i oktober, men derimod et ældre backup-system, som stod til at skulle pensioneres.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
5. november 2013 kl. 13:25

I den mail jeg fik fra Adobe skrev de, at de snarest ville sende mig et brev med oplysninger omkring hvad der skal gøres mht. bank osv. Dette har jeg stadig ikke modtaget. Overvejer om de måske har glemt at sende dem :/

" Important Customer Security Alert To view this message in a language other than English, please click here.

We recently discovered that attackers illegally entered our network. The attackers may have obtained access to your Adobe ID and encrypted password. We currently have no indication that there has been unauthorized activity on your account. If you have placed an order with us, information such as your name, encrypted payment card number, and card expiration date also may have been accessed. We do not believe any decrypted card numbers were removed from our systems.

To prevent unauthorized access to your account, we have reset your password. Please visit www.adobe.com/go/passwordreset to create a new password. We recommend that you also change your password on any website where you use the same user ID or password. As always, please be cautious when responding to any email seeking your personal information.

We also recommend that you monitor your account for incidents of fraud and identity theft, including regularly reviewing your account statements and monitoring credit reports. If you discover any suspicious or unusual activity on your account or suspect identity theft or fraud, you should report it immediately to your bank. You will be receiving a letter from us shortly that provides more information on this matter.

We deeply regret any inconvenience this may cause you. We value the trust of our customers and we will work aggressively to prevent these types of events from occurring in the future. If you have questions, you can learn more by visiting our Customer Alert page, which you will find here.

Adobe Customer Care "