Gæstebloggen

LinkedIn-hack udstiller svagheden i prædefinerede sikkerhedskoder

6.500.000 profilers brugernavne og passwords er hacket fra Linkedin og ligger nu nærmest frit tilgængelig på russisk server. Det rammer os alle, da vi vel alle har en profil på Linkedin og ikke ved, om vi er blandt de 6,5 mio profiler. Stort set alle jeg kender, er med på Linkedin – og det er samtidigt professionelle brugere som typisk har 10-20 andre konti, hvor adgangen er deres mailadresse og et password. Og det er vel mere reglen end undtagelsen, at vi genbruger vores mail og password på flere tjenester.

Dermed er de hackede linkedin-profiler ikke primært et Linkedin-problem, men derimod et reelt og gigantisk sikkerhedsproblem, da vi brugere af Linkedin også logger på mere forretningskritiske tjenester. Vi genkender sikkert os selv som brugere af netbank, Facebook, Google, lønsystemer, virksomhedsservere,
pc'er, webmail, iPhone/iTunes, Google, Spotify, leverandørtjenester, kundeklubber, online projektgrupper og meget andet.

2-faktor sikkerhedsløsninger også prædefinerede

Det relativt succesfulde modtræk mod denne sårbarhed i tyveri af password har i mange år været to-faktor sikkerhed med en form for tokens. De to faktorer er 1) noget man ved i form af bruger brugernavn og password og 2) koder man har på pap-kort eller token-nøgle o.l. I Danmark har vi tilsvarende brugt digital
signatur siden 2003 og NemID fra 2010. Disse nøglekort og tokens har en på forhånd defineret række af koder, som man bruger over tid.

Illustration: Privatfoto

Desværre bruger de ovennævnte to-faktor sikkerhedsløsninger typisk prædefinerede koder, som grundlæggende har den samme svaghed som Linkedins brugernavne og passwords. Når de hackes/stjæles, så skal der lukkes ned for alle brugeres konti med det samme for at lukke det gigantiske hul i sikkerheden.
Og brugerne skal i stort omfang også lukke ned for andre tjenester og/eller samtidigt ændre password en række steder.

Prædefinerede koder er en lækkerbisken for kriminelle hackere

Store databaser med brugernavne, passwords og prædefinerede sikkerhedskoder er guldminer for hackere. Det har blandet andet ført til, at blandt andre RSA, Sony og nu Linkedin inden for det seneste år er blevet hacket. Når en 2-faktor sikkerhedsleverandør får stjålet deres prædefinerede koder til deres tokens, så medfører det også, at alle disse tokens skal hjemkaldes og erstattes af nye. Det er måske ikke en katastofe, hvis du har 10 kunder, men hvis kunderne tælles i millioner, så er det et næsten uoverskueligt arbejde. Hvor kunderne i værste fald ikke har normal adgang til deres arbejdsnetværk, mens det står på.

Men bliver jeg/vi ramt af det? Der er statistisk set vel cirka 5 procent chance for, at du er blandt de 6,5 millioner hackede Linkedin-brugere. Tilsvarende viser en undersøgelse af Ponemon Research fra slutningen af 2011, at 90 procent de undersøgte virksomheder havde haft indbrud. Så det sker. Og når det kan ske for RSA, Sony og Linkedin, som jo alle er kendetegnede ved rigtig store kundedatabaser, så kan ingen af os vide os sikre.

Realtids- og sessionsspecifikke 2-faktorløsninger

En del af løsningen på de centrale kodetyverier ligger i brugen af realtids- og session-specifikke koder. Her kan koder ikke stjæles på forhånd, hvilket vil minimere risikobilledet for de mange. Det udelukker ikke ”man in the middle” og andre former for avancerede forsøg på identitetstyveri, men det udelukker at
millioner af brugere samtidigt udsættes for risiko. Der findes i dag også løsninger mod ”man in the middle”, men for at holde mig til Linkedin og prædefinerede koder, så mener jeg, at det er helt rimeligt at antage, at de hackerne primært går efter de nemmeste og mest profitable tyverier.

Så hvis du har genbrugt din Linkedin-koder andres steder, så er tiden inde til, at du overvejer din sikkerhedsprofil! Det har jeg lige gjort.

Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Hvis man benytter samme password, som professionel, på flere offentlige portaler, så har man jo selv bedt om at blive hacket.

Hvis det er almindeligt udbredt, at man benytter samme password på mange løsninger, også i professionel sammenhæng, så er der mange der skal tænke alvorligt over, hvem der har adgang til de løsninger man har fremstillet. :-O

A) Hvis man vil tilbyde et minimum af sikkerhed for brugeren, så SKAL brugeren selv kunne ændre hele eller dele af password. Det er ikke så dumt, når man med NemzID benytter sig af papkort, det er dog ikke nok.
B) Ingen bruger bør benytte samme password på flere forskellige løsninger.
Derfor bør NemzID ikke eksistere. ( Skrot det skrammel )
C) Brugeren skal have tilgang til egen aktivitet, på enhver løsning, således at brugeren kan se aktivitet som brugeren ikke vil kendes ved.

  • 1
  • 6
Matias Stuven

Det er nok værd at bemærke, at det kun er verificeret, at det er de hashede kodeord, der er blevet hacket, men ikke nødvendigvis loginkonti. Det bekræfter LinkedIn jo også selv:

http://blog.linkedin.com/2012/06/07/taking-steps-to-protect-our-members/

Men pointerne i artiklen er fine nok - særligt nu hvor Last.fm også er blevet hacket.

  • 3
  • 1
Michael N. Jensen

"Og det er vel mere reglen end undtagelsen, at vi genbruger vores mail og password på flere tjenester."

Det piner mig hver gang det nævnes, der skal jo så lidt til, for at bruge forskellige logins til websites, hvis man ikke kan huske dem selv, så brug et af de mange forskellige password arkiv programmer.

Personligt bruger jeg http://passwordsafe.sourceforge.net/ så hvert af de sites jeg bruger har forskellige logins.

Det værste er imho. de sites der ikke accepterer mere end 8-10 tegn til passwords, specielt hvis det er nogle sites der giver adgang til følsomme oplysninger.

Dermed ikke sagt at alle mine passwords er 128+ tilfældige tegn, hvis jeg ikke skynder det nødvendigt ifb. risici vs. bekvemmelighed :)

  • 0
  • 0
Kai Birger Nielsen

Enig. NemID er et skridt i den helt forkerte retning. Hvorfor skal min bank fx have at vide at jeg også har en anden bank?
Hvorfor skal de gemme et fingeraftryk af min maskine, så de kan koble bruger A, der bruger netbank på maskine M, sammen med bruger B, der logger på med et medarbejdercertificat på samme samme maskine?
Skjult opsamling af data, der er klar til afhentning af en hacker i stil med dem, der har tappet md5-filen fra linkedin. Flot!

Angående genbrug af passwords:
Efter at have kigget på de danske ord, der er brugt som passwords på linkedin, så vil jeg mene at det er ligemeget om de pågældende evt har brugt et password af samme kvalitet på en andet site med samme beskyttelse af passwords som linkenin :-)
Jeg plejer at sige til mine brugere at reglen er "dit password skal være så mærkeligt at du vil blive overrasket, hvis det bliver hacket, så nej H3st er ikke et godt password og hvis den nye film i biografen hedder JK7nxizTOellernoget, så er det heller ikke et godt password."
Brugerne er nødt til at tænke selv. Regler alene gør det ikke. Fx er der rigtig mange regler af typen "både bogstaver og tal" som tillader almindelige danske nummerplader :-(

  • 2
  • 1
Erik Jacobsen

Det der med genbrug af password på forskellige sites kan ikke være noget problem. Kig på NemIds regler for password:

Adgangskoden er noget du selv vælger, dog gælder disse regler:

Skal være mellem 6 og 40 tegn    
Skal indeholde både bogstaver og tal     
Må ikke indeholde visse specialtegn     
Må ikke indeholde det samme tegn 4 gange i træk     
Må hverken starte eller slutte med et blanktegn     
Må ikke indeholde dit cpr- eller NemID-nummer  

Der skelnes ikke mellem store og små bogstaver. Systemet skal nok hjælpe dig med at overholde kravene, når du opretter din adgangskode.

Og husk, at du altid kan ændre din adgangskode i NemID-selvbetjeningen; noget du bør gøre med jævne mellemrum.

Hvis genbrug af password havde været et problem, så havde det jo nok stået her.

(Der kan muligvis være tilsat et strejf af sarkasme i ovenstående)

  • 6
  • 0
Kai Birger Nielsen

Nå ja. NemID's regler er mærkelige. Da de gik fra brugernavn + adgangskode til brugernavn + adgangskode + papkort, var begrundelsen jo netop at brugernavn + adgangskode var alt for let at opsnappe for fjenden. Den næste min bank gjorde var så at åbne for at man kunne se alle mine kontooplysninger bare ved at angive brugernavn + adgangskode, men okay, jeg har aldrig troet at banker varetog mine interesser, så egentlig var jeg ikke forundret.

Udfra samme argumentation vil man kunne vise at vi alle bør vælge BahDah som brugernavn og 12345a som adgangskode for ikke at lulle os ind i en tro på at fjenden ikke kender brugernavn + adgangskode.
Så egentlig forstår jeg ikke hvorfor ovenstående regler skulle give mening.
De samme folk, som har skrevet reglerne, synes jo også at det er rigtig, rigtig smart at man som default kan logge ind med sit cpr-nummer som brugernavn.

  • 0
  • 0
Erik Jacobsen

Det er da fint at bruge CPR-nummer som login-brugernavn. Det står jo nok de første 1000 steder på diverse papirer, man har derhjemme, så det glemmer man ikke. Og ellers kan man jo bare spørge på lønkontoret, og i banken, og mange andre steder.

(... ... ... sarkasme ... ... ...)

  • 1
  • 0
Benjamin Bach

LinkedIn siger SELV, at hashede koder er blevet korrekt gættet:

Yesterday we learned that approximately 6.5 million hashed LinkedIn passwords were posted on a hacker site. Most of the passwords on the list appear to remain hashed and hard to decode, but unfortunately a small subset of the hashed passwords was decoded and published.

*) http://blog.linkedin.com/2012/06/07/taking-steps-to-protect-our-members/

Og de har faktisk et incitament til at skjule sandheden, så mon ikke, det er meget værre?

  • 0
  • 0
Kristian Dalgård

I forbindelse med leaket er jeg blevet opmærksom på en alternativ løsning, som jeg umiddelbart tænker må være det mindste onde.

Løsningen bruger ikke noget keystore, der kan blive væk, og udbyder ikke nogen tjeneste, der kan blive lukket. Det er et meget enkelt princip, der tillader én at bruge et eneste master password og samtidig have forskellige sikre password på hvert site.

De enkelte passwords genereres simpelthen ud fra et hash af master-passwordet + en identifier for sitet (fx "version2.dk").

De eksisterende hash-tabeller vil ikke have en chance for at gætte et password på 16 tilfældige tegn, og selv med det genererede password i hånden, vil det i praksis være umuligt at gætte master-passwordet (især hvis det er langt, aldrig har været oplyst i anden sammenhæng og er lavet med SHA-256). De enkelte passwords opbevares ikke noget sted, men genereres ved hvert login.

Den eneste ulempe, så vidt jeg kan se, er, når man bruger en computer, som ikke har et plugin installeret, men der kan man så bruge en javascript-implementation.

Prøv denne online-version. (Det findes som plugin til alle browsere på alle platforme. Kan anbefale PasswordMaker Pro (gratis) til Chrome.)

http://passwordmaker.org/passwordmaker.html

  • 1
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize