Er din LinkedIn-konto blevet hacket? Tjek dit password her

Illustration: leowolfert/Bigstock
En ny tjeneste undersøger, om din adgangskode til LinkedIn er blandt de 6,5 millioner, som er blevet hacket og stjålet. Se her, om du er blandt de ramte.

Det sociale karrierenetværk LinkedIn oplyser, at 6,5 millioner passwords formentlig er blevet lækket, og opfordrer nu til, at alle brugere skifter adgangskode

En hurtig reaktion på lækket og et fiffigt ordspil har nu resulteret i tjenesten LeakedIn.org, der tjekker, om et indtastet password er blandt de 6,5 millioner lækkede.

Læs også: LinkedIn: SKIFT PASSWORD!

Men er det er det ikke hamrende usikkert at indtaste sit password på et tilfældigt website? Er det ikke bare en smart måde at lokke hemmeligheder ud af folk på?

Nej, siger folkene bag LeakedIn.org. Når du indtaster noget i password-feltet, hasher noget Javascript-kode det indtastede, før det sendes videre til serveren. Version2 har set i sitets kildekode og kan bekræfte dette.

Det er dog stadig på eget ansvar, om du i sidste ende tør udlevere sit password til tjenesten, og under alle omstændigheder bør du- som Poul-Henning Kamp påpeger i debatten under denne artikel - skifte dit password og kun bruge tjenesten til at tjekke, om det nu skiftede password var hacket eller ej. Det er vigtigt at understrege, at det kan være forbundet med stor risiko at udlevere sine adgangskoder til andre og derfor ikke noget, der generelt kan anbefales.

Når du så har indtastet dit password, giver sitet et af tre mulige svar.

Er du blandt de heldige, dukker en grøn bjælke op med beskeden "Det ser ud til dit password ikke er lækket. Hurra!"

Mulighed nummer to er "lækket, men ikke cracket".

Endelig er der den helt dårlige besked. "Dit password er blevet lækket og cracket. Beklager, ven"

Tjek hvilken besked du får på LeakedIn.org her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Makholm Blogger

Når du indtaster noget i password-feltet, hasher noget Javascript-kode det indtastede, før det sendes videre til serveren. Version2 har set i sitets kildekode og kan bekræfte dette.

Men betyder det ikke at LeakedIn.org får de samme data som det oprindeligt er lykkes angriberne at trække ud fra LinkedIn?

Det vil sige at hvis LeakedIn melder at ens password ikke i forvejen var blevet lækket, så kan man nu være sikker på at det er lækket?

  • 11
  • 0
Jesper Stein Sandal

Selvom Javascript-koden ser tilforladelig ud, så bør man kun bruge LeakedIn af ren nysgerrighed, når man nu alligevel skifter sit LinkedIn-kodeord.

For selvom det ikke er leaked, så bør man altid skifte det, når en tjeneste er blevet kompromitteret. Man kan jo benytte lejligheden til at konstruere et mere sikkert kodeord, som også er lettere at indtaste på en smartphone, og endda er lettere at huske.

Eksempelvis kunne man bruge opskriften med at sætte tre eller flere ord sammen:

jetjagerforvirrethøvding

Og så smide lidt ekstra grus ind i form af lidt tal, andre tegn og store bogstaver:

jeTjager2foRvirret.høVding

Det kan selvfølgelig gøres endnu mere sikkert, men det er en god start på at lave et human-friendly kodeord, som er til at arbejde med og har rimelig sikkerhed. Jo mere man kan blande obskure ord og gerne fra flere sprog, jo sværere bliver det at bruge rainbow tables til at knække det næste gang, LinkedIn bliver hacket.

http://www.version2.dk/artikel/harry-potter-er-et-lige-saa-daarligt-pass...

http://www.version2.dk/artikel/saadan-laver-du-et-sikkert-kodeord-der-er...

  • 2
  • 0
Rene Brokholm

Jeg syns det er usmageligt at et IT nyheds medie af version2's kaliber reklamerer for en ukendt "service" til at tjekke om ens password er leeked.

Det kunne være et forsøg på croud surfing med det formål at dehashe alle de leekede passwords.

Man lærer alle som læser nyheden at det er iorden at udlevere sit password til sider man ikke har tillid til.

  • 10
  • 2
Martin Leopold

Hej,
Når nu vi er ved emnet er der så nogen der har erfaringer med password generator/husker plugins, som kan hjælpe med at løse problemet? Grunden til at bruge det samme, dårlige password alle vegne er vel formegentlig at det er svært at huske mange forskellige, stærke passwords.

Jeg faldt over den her, som ser lovende ud.
http://lastpass.com/

  • Martin
  • 1
  • 0
Casper Thomsen

Hej Rene.

Jeg syns det er usmageligt at et IT nyheds medie af version2's kaliber reklamerer for en ukendt "service" til at tjekke om ens password er leeked.

Tak for et meget relevant input. Personligt har jeg altid oplevet det som kritisabelt, når eksempelvis LinkedIn eller Facebook bad brugere om at udlevere Gmail-oplysninger, så de kunne trække brugere fra netværket ind.

Jeg oplever dog ikke, at vi i denne artikel lærer alle læsere, at det er i orden generelt at udlevere sit password. Tværtimod beskriver vi de forholdsregler, man som LinkedIn-bruger skal tage.

For at gøre det endnu tydeligere, har vi nu opdateret formuleringerne i artiklen, så det klart fremgår, at man ikke generelt skal udlevere sin adgangskode, men at der i det konkrete tilfælde er tale om en tjeneste, som - efter man har ændret sin LinkedIn-adgangskode - kan vise, om det har været hacket eller ej.

Jeg har ligesom en række andre sikkerhedsbevidste it-professionelle selv benyttet tjenesten (ja, min adgangskode var blevet hacket og spredt), og derfor ser jeg det ikke som en tjeneste, vi skal skjule for vores læsere, hvis den kan være relevant for dem.

Tværtimod tror jeg, at opmærksomhed om sikkerhedsbristen i LinkedIn kan være en anledning til at øge folks bevidsthed om de problemer, der kan være med lemfældig omgang med adgangskoder på nettet. Et emne, vi nok skal fortsætte med at tage op her på Version2.

Mvh Casper, Version2

  • 3
  • 0
Mikkel Nielsen

Efter alle disse gode råd skiftede jeg naturligvis password. Til min store overraskelse kunne efterfølgende konstatere, at LinkedIn app'en på min iPad kørte fint videre uden Password-skift. Jeg kunne foranlediges til at tro, at LinkedIn's problemer er lidt større end de umiddelbart giver udtryk for...

  • 2
  • 0
Rene Brokholm

Hej Casper, Version2

Jeg er oprigtig glad for at i tager læsernes bekymringer alvorlige og derfor har rettet ovenstående artikel.

Jeg syns personligt at password sikkerhed er et undervurderet emne og jeg er glad for at i tager denne problemstilling op.
Mvh Rene

  • 0
  • 0
Peter Makholm Blogger

Mon ikke LinkedIns app anvender OAuth eller tilsvarende?

I så fald er det ikke helt ulig 'som designet' at denne adgang er uafhængig af at du ændrer dit hovedpassword. Det betyder selvfølgelig at man ud over at skifte kodeord også bør tjekke listen over apps der har adgang til ens profil.

Mon ikke det er under "Accounts & Settings" -> "Groups, Companies, & Applications" -> "View your applications".

UPDATE: Det bliver så til dels afvist af JSS's observationer?

  • 0
  • 0
Preben Høj Holmberg

http://news.yahoo.com/security-experts-linkedin-suffered-data-breach-172...

Marcus Carey, security researcher at Boston-based Rapid7, said he believed the attackers had been inside LinkedIn's network for at least several days, based on an analysis of the type of information stolen and quantity of data posted on the forums.

"While LinkedIn is investigating the breach, the attackers may still have access to the system," Carey warned. "If the attackers are still entrenched in the network, then users who have already changed their passwords may have to do so a second time."

  • 0
  • 0
Casper Thomsen

Hej Peter.

Jeg bruger lastpass til websider jeg ikke opfatter som sikkerhedskritiske. For at logge ind på lastpass bruger jeg så en yubikey som fysisk token...

Jeg er også en meget tilfreds bruger af Lastpass, men har ikke hørt om Yubikey. Jeg har efterhånden slået to-faktor til for både Gmail og Facebook, så jeg får en sms for at logge ind, og kunne godt bruge yderligere sikkerhed i Lastpass.

Er Yubikey lige til at sætte op eller kræver det en større datamat-uddannelse? Er det Yubikey Standard USB-produktet, du bruger?

Mvh Casper

  • 0
  • 0
Martin Andersen

@PHK
"Det siger sig selv at man ikke bruger en sådan service før man allerede har skiftet sit password.

Gør det ikke ?"

Nej.

Er du lidt ferm kan du blot smide en proxy op og trappe al data der sendes. Dermed er det tydeligt at det kun er checksummen der sendes:
http://leakedin.org/?check=cf69e193eefc00c7044b3358e92bad6cd03457cf

Eller du kan lave din checksum selv (lokalt) og kalde denne URL. Jeg ser intet problem - naturligvis hvis du trapper HVER gang. Du ved aldrig om de ændrer kildekoden.

  • 0
  • 2
Morgan Roderick

Jeg anvender 1password til at generere unikke og meget lange passwords til ca. alt der ikke foregår på min egen computer.

I modsætning til lastpass, gemmes passwords kun lokalt i en krypteret volume.

Det er jo kun ca. 1 år siden at lastpass blev kompromiteret – http://www.pcworld.com/article/227268/lastpass_ceo_explains_possible_hac...

Ja, jeg har genereret et nyt password til LinkedIn ;-)

  • 0
  • 0
Martin Juhl Jørgensen
  • 1
  • 1
Jørgen Elgaard Larsen

Man skal selvfølgelig ikke checke sine rigtige passwords med leakedin, men det er underholdende at indtaste forskellige ting og se, hvad andre bruger som passwords.

Jeg prøvede med:
fiskfisk
fissefisse
password
huleboer
badeand
groupie
12341234
møghund
2cool4school
yomama
peterpeter
jensjens
qwerty

Underligt nok er følgende ikke blevet leaket (endnu):
svindler
røvbanan

Spørgsmålet er, om de leakede passwords kan henføres til brugere på LinkedIn? Som udgangspunkt må man antage, at de kan.

  • 1
  • 0
Casper Bang

Sjovt at "abcdef" ikke er registreret som et leaket password ud af 6.500.000 konti. SHA1 af "abcdef" huserer helt sikkert tidligt på diverse generede rainbow tables.

Opdateret: Rettet "1234" til "abcdef", jvf. pointen bag indlægget umiddelbart herunder.

  • 0
  • 0
Esben Madsen

forudsat man har fundet filen som er tilgængelig mange steder kan følgende oneliner copy-pastes i en terminal (og dermed kan man ikke se passwordet senere i .bash_history o.l.):
stty -echo ; read -p "Password: " password; echo; stty echo ; echo -n $password | sha1sum | cut -c 6-40 | grep -f - combo_not.txt

  • 0
  • 0
Nicolai Hansen

ca. 0 sec at cracke et SHA1 hash? Arrrgh, det kommer vist lidt an på hvad du har hashed! Den side du linker til indeholder 8.7 milliarder potentielle kodeord, men kan den cracke bbad8505b87db244f8663a9c9b73ed04edc9ed4b ? (I don't think so).

Hvis man er for paranoid til at sende et hash af sit (forhåbentligt LinkedIn-only og udskiftet nu) kodeord, så kan man vel bare selv downloade listen og tjekke selv?

  • 0
  • 0
Jakob Bruun Hansen

Sjovt at "abcdef" ikke er registreret som et leaket password ud af 6.500.000 konti. SHA1 af "abcdef" huserer helt sikkert tidligt på diverse generede rainbow tables.

Den er der:

echo -n abcdef | shasum
1f8ac10f23c5b5bc1167bda84b833e5c057a77d2 -

Optræder som

0000010f23c5b5bc1167bda84b833e5c057a77d2

Fordi den er knækket.

Det er "fissefisse" også, men ikke "fisse".

Der er fordi der er mindre end 6 tegn. (Indsæt "Please enter new password: penis. Error: Sorry, your password is to short" joke)

  • 0
  • 0
Søren Dreijer

Efter alle disse gode råd skiftede jeg naturligvis password. Til min store overraskelse kunne efterfølgende konstatere, at LinkedIn app'en på min iPad kørte fint videre uden Password-skift. Jeg kunne foranlediges til at tro, at LinkedIn's problemer er lidt større end de umiddelbart giver udtryk for...

Jeg vil gætte på at app'en allerede havde en session med LinkedIn siden du jo var logget ind. Du ville derfor nok først være blevet promptet når session'en var udløbet (din browser ville gøre det samme medmindre de specifikt clearer din cookie).

  • 0
  • 0
Steen Christensen

Jeg har ligesom en række andre sikkerhedsbevidste it-professionelle selv benyttet tjenesten (ja, min adgangskode var blevet hacket og spredt), og derfor ser jeg det ikke som en tjeneste, vi skal skjule for vores læsere, hvis den kan være relevant for dem.

Og I har vel ikke overvejet at dette site kunne være under kontrol af de hackere der har snuppet HASH'ene fra LinkedIn, og at de således nu har et fedt redskab til at høste yderligere friske HASH som de ikke havde fået med i første omgang?

Jeg anser det for meget sandsynligt at der er mange brugere der ikke automatisk har skiftet adgangskode, og som tror sig sikre hvis de får en besked om at netop deres adgangskode ikke var blandt de stjålne.

Endvidere er der sikkert mange brugere der bruger den samme kode på andre sites, men som ikke har overvejet også at skifte disse koder. Dermed er døren åben for hackerne til at teste koder på mange sites. De skal sikkert ikke lede længe før de har succes på et eller flere af de 10 mest populære sites.

Jeg skal gerne indrømme at jeg ser djævle og dæmoner alle vegne her, men det er en erhvervsskade, da jeg til daglig arbejder som Information Risk Manager i en bank, og som sådan skal lægge øre til masser af "sjove" historier om IT sikkerhed.

Med venlig hilsen

  • 1
  • 1
Log ind eller Opret konto for at kommentere