LinkedIn: SKIFT PASSWORD!

Forleden holdt jeg et foredrag på GOTO2012 om den tabte generation i IT verdenen.

I den sidste halvdel af 1990'erne exploderede IT-branchen fordi enhver gymnasieelev der kunne læse en HOWTO pludselig var Web og Perl programmør, helt uden nogen som helst faglig eller håndværksmæssig ballast.

Et på mange måder interessant sociologisk og programerings-psykologisk forsøg men gud i himlen hvor har det dog kostet os IT-kvalitet.

Mit posterboy eksempel er at Linus Torvalds først begyndte at bruge et versionstyringsværktøj for få år siden, til trods for at han rent nominelt har en Master i CS.

Der er skrevet gode artikler og kapitler i bøger om at beskytte folks passwords på computere, men desværre er der ingen der har læst dem, for de blev skrevet i 1980erne.

Bruce Schneier berører dårligt nok emnet i sine bøger, så trivielt et problem anser kryptografer det for.

Og derfor har kriminelle nu adgang til samtlige LinkedIn's brugeres password, alt hvad de behøver er at bruteforce en SHA1, hvilket kan gøres med millioner af forsøg i sekundet på helt almindelige computere.

Gæt hvad diverse Bot-Nets allerede er igang med.

Du skal skifte dit LinkedIn password NU og du skal skifte det til noget du ikke bruger nogen andre steder.

Overvej:

  strings -14 < /dev/random | head -1

Har du brugt det samme password andre steder, skal du også skifte password der, NU

phk

Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Nielsen

Problemet er jo ikke dårlige/usikre passwords men at Linkedin under en update har været blottet. Ifølge Linkedin har de identificeret hvilke konti der har været kompromitteret, resat deres password og sendt dem en mail med en uddybning af problemet. Alligevel er det naturligvis en uacceptabel og dårlig practice. se mere her;
We want to provide you with an update on this morning’s reports of stolen passwords. We can confirm that some of the passwords that were compromised correspond to LinkedIn accounts. We are continuing to investigate this situation and here is what we are pursuing as far as next steps for the compromised accounts: Members that have accounts associated with the compromised passwords will notice that their LinkedIn account password is no longer valid. These members will also receive an email from LinkedIn with instructions on how to reset their passwords. There will not be any links in these emails. For security reasons, you should never change your password on any website by following a link in an email. These affected members will receive a second email from our Customer Support team providing a bit more context on this situation and why they are being asked to change their passwords.

  • 0
  • 2
Jan Christensen

Fra deres nyeste blog entry (egen fremhævning):

It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes hashing and salting of our current password databases.

Skræmmende hvis de ikke i forvejen havde hashet kodeordene i databasene (med et associeret salt)

  • 1
  • 0
Poul-Henning Kamp Blogger

Problemet er jo ikke dårlige/usikre passwords men at Linkedin under en update har været blottet.

Problemet er langt større end det, for alt for mange mennesker bruger samme password på flere/mange sites.

Der er ingen undskyldning for at hashe passwords uden salt og når man har 150 mio brugere er man totalt inkompetent hvis man gør det.

  • 10
  • 0
Nicolai Hansen

Nu bruger jeg ikke selv LinkedIn meget, men så vidt jeg kan forstå, så blander du to ting sammen. LinkedIn havde en affære med at deres mobile app "stjal" din kalender (privacy issue), og nu er de (måske?) blevet hacket (security issue). Men de to ting har ikke noget med hinanden at gøre.

Jeg går ud fra at man kun var berørt af deres "privacy issue" hvis man var på et "usikkert" net (hvad du refererer til). Men et "sikkert" net hjælper intet hvis hackere får adgang til deres database.

  • 0
  • 0
Søren Løvborg

LinkedIn's password-anbefalinger (fra deres blog):

In order for passwords to be effective, you should aim to update your online account passwords every few months or at least once a quarter.

Ja, for der går jo altid mindst et par måneder før kompromitterede adgangskoder bliver forsøgt misbrugt.

Think of a meaningful phrase, song or quote and turn it into a complex password using the first letter of each word.

Pas nu på... http://blogs.cio.com/security/16628/google-ad-accidentally-shows-whats-w...

Substitute numbers for letters that look similar (for example, substitute “0″ for “o” or “3″ for “E”.

Idioter.

  • 1
  • 4
Patrick Mylund Nielsen

Der var faktisk et ret langt, og godt kapitel om salts, key stretching, informationsentropi, passphrases m.m., i Cryptography Engineering. Men der er jo tydeligvis nogen, der gør noget forkert, når så mange store virksomheder stadig tror at kryptografiske hashfunktioner == password-hashfunktioner.

Jeg tror også (synlige) sikkerhedsfolk står til skylde. De malker ofte pressekoen når der er digestlækage uden at sætte fokus på, at der har fundets KDFs/stretching i flere årtier. (Preaching to the choir? md5crypt :)

  • 2
  • 0
Poul-Henning Kamp Blogger

I skal ikke taste jeres password ind i en eller anden tilfældig webside for at se om det var lækket, med mindre I er helt sikre på at i ikke bruger det som password nogen steder på nettet mere.

  • 8
  • 1
Martin Andersen

Hej PHK,

Jeg tror, at det er på tide, at du får en ny plakat med Torvalds. ;-)
Git er fra 2005, og kernefolket tog BitKeeper i brug for 10 år siden.
(Hvordan de kunne holde de første ti+ år ud, er over min fatteevne.)

Tak for notitsen om linkedin.

Mvh.
Martin

  • 3
  • 0
Nicolai Hansen

Det kommer meget an på hvordan de har bygget deres app op. Som der er skrevet flere steder, så virker det sikkert på den måde at du logger ind via password én gang, og så får du en token som kan bruges i en hvis tidsperiode. Da denne token er uafhængig af dit kodeord, så virker den stadig, selvom du skrifter password.

Problemet er nok at de ikke gemmer tidspunktet hvornår du skrifter password, så de kan ikke teste om "password age > token age". Personligt ville jeg mene at det var smartere at token var genereret på en måde ud fra ens kodeord (så et skift af kodeordet = automatisk invalid token), men som vi fornyligt har set med Last.fm, så er det overraskende tit inkompetent personer som laver disse systemer :/

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize