Dette indlæg er alene udtryk for skribentens egen holdning.
Blogindlæg

LinkedIn: SKIFT PASSWORD!

6. juni 2012 kl. 20:2419
Poul-Henning Kamp
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Poul-Henning Kamp

Forleden holdt jeg et foredrag på GOTO2012 om den tabte generation i IT verdenen.

I den sidste halvdel af 1990'erne exploderede IT-branchen fordi enhver gymnasieelev der kunne læse en HOWTO pludselig var Web og Perl programmør, helt uden nogen som helst faglig eller håndværksmæssig ballast.

Et på mange måder interessant sociologisk og programerings-psykologisk forsøg men gud i himlen hvor har det dog kostet os IT-kvalitet.

Mit posterboy eksempel er at Linus Torvalds først begyndte at bruge et versionstyringsværktøj for få år siden, til trods for at han rent nominelt har en Master i CS.

Artiklen fortsætter efter annoncen

Der er skrevet gode artikler og kapitler i bøger om at beskytte folks passwords på computere, men desværre er der ingen der har læst dem, for de blev skrevet i 1980erne.

Bruce Schneier berører dårligt nok emnet i sine bøger, så trivielt et problem anser kryptografer det for.

Og derfor har kriminelle nu adgang til samtlige LinkedIn's brugeres password, alt hvad de behøver er at bruteforce en SHA1, hvilket kan gøres med millioner af forsøg i sekundet på helt almindelige computere.

Gæt hvad diverse Bot-Nets allerede er igang med.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Du skal skifte dit LinkedIn password NU og du skal skifte det til noget du ikke bruger nogen andre steder.

Overvej:

  strings -14 < /dev/random | head -1

Har du brugt det samme password andre steder, skal du også skifte password der, NU

phk

Emner
19 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
Slettet bruger
7. juni 2012 kl. 21:21

Når man skifter password i linkedin, så kan man stadig komme på fra mobilen via linkedin app'en uden at teste det nye password ind.

Hvad siger det om sikkerheden??? Hjælp!!!

  • more_vert
    • insert_linkKopier link
19
Nicolai Hansen
8. juni 2012 kl. 04:40

Det kommer meget an på hvordan de har bygget deres app op. Som der er skrevet flere steder, så virker det sikkert på den måde at du logger ind via password én gang, og så får du en token som kan bruges i en hvis tidsperiode. Da denne token er uafhængig af dit kodeord, så virker den stadig, selvom du skrifter password.

Problemet er nok at de ikke gemmer tidspunktet hvornår du skrifter password, så de kan ikke teste om "password age > token age". Personligt ville jeg mene at det var smartere at token var genereret på en måde ud fra ens kodeord (så et skift af kodeordet = automatisk invalid token), men som vi fornyligt har set med Last.fm, så er det overraskende tit inkompetent personer som laver disse systemer :/

  • more_vert
    • insert_linkKopier link
20
Slettet bruger
8. juni 2012 kl. 08:49

Men betyder det ikke også, at når du har sendt mig dit password, og jeg har logget på via min mobil, så kan du ikke længere forhindre mig i at få adgang til din profil fx. ved ar skifte password?

  • more_vert
    • insert_linkKopier link
17
Martin Andersen
7. juni 2012 kl. 09:23

Hej PHK,

Jeg tror, at det er på tide, at du får en ny plakat med Torvalds. ;-) Git er fra 2005, og kernefolket tog BitKeeper i brug for 10 år siden. (Hvordan de kunne holde de første ti+ år ud, er over min fatteevne.)

Tak for notitsen om linkedin.

Mvh. Martin

  • more_vert
    • insert_linkKopier link
16
Poul-Henning Kamp
7. juni 2012 kl. 09:15

I skal ikke taste jeres password ind i en eller anden tilfældig webside for at se om det var lækket, med mindre I er helt sikre på at i ikke bruger det som password nogen steder på nettet mere.

  • more_vert
    • insert_linkKopier link
13
Patrick Mylund Nielsen
7. juni 2012 kl. 07:25

Der var faktisk et ret langt, og godt kapitel om salts, key stretching, informationsentropi, passphrases m.m., i Cryptography Engineering. Men der er jo tydeligvis nogen, der gør noget forkert, når så mange store virksomheder stadig tror at kryptografiske hashfunktioner == password-hashfunktioner.

Jeg tror også (synlige) sikkerhedsfolk står til skylde. De malker ofte pressekoen når der er digestlækage uden at sætte fokus på, at der har fundets KDFs/stretching i flere årtier. (Preaching to the choir? md5crypt :)

  • more_vert
    • insert_linkKopier link
12
Søren Løvborg
7. juni 2012 kl. 02:17

LinkedIn's password-anbefalinger (fra deres blog):

In order for passwords to be effective, you should aim to update your online account passwords every few months or at least once a quarter.

Ja, for der går jo altid mindst et par måneder før kompromitterede adgangskoder bliver forsøgt misbrugt.

Think of a meaningful phrase, song or quote and turn it into a complex password using the first letter of each word.

Pas nu på... http://blogs.cio.com/security/16628/google-ad-accidentally-shows-whats-wrong-passwords

Substitute numbers for letters that look similar (for example, substitute “0″ for “o” or “3″ for “E”.

Idioter.

  • more_vert
    • insert_linkKopier link
14
Ivan Johansen
7. juni 2012 kl. 08:26

Idioter.

Du mener 1d10t3r

  • more_vert
    • insert_linkKopier link
9
Nicolai Hansen
6. juni 2012 kl. 23:29

Nu bruger jeg ikke selv LinkedIn meget, men så vidt jeg kan forstå, så blander du to ting sammen. LinkedIn havde en affære med at deres mobile app "stjal" din kalender (privacy issue), og nu er de (måske?) blevet hacket (security issue). Men de to ting har ikke noget med hinanden at gøre.

Jeg går ud fra at man kun var berørt af deres "privacy issue" hvis man var på et "usikkert" net (hvad du refererer til). Men et "sikkert" net hjælper intet hvis hackere får adgang til deres database.

  • more_vert
    • insert_linkKopier link
10
Preben Høj Holmberg
6. juni 2012 kl. 23:40

Nej jeg blander ikke de to ting sammen - selv om jeg berører to emner i et indlæg.

  • more_vert
    • insert_linkKopier link
11
Nicolai Hansen
6. juni 2012 kl. 23:46

"kun folk der benyttede LinkedIN via trådløse forbindelser - ville være ramt af det russiske angreb."

Jeg kan bare ikke se hvordan ens internetforbindelsestype (trådløs eller ej) har noget at gøre med et potentielt hack af LinkedIn's database (det russiske angreb)?

  • more_vert
    • insert_linkKopier link
6
Jan Christensen
6. juni 2012 kl. 22:03

Fra deres nyeste blog entry (egen fremhævning):

It is worth noting that the affected members who update their passwords and members whose passwords have not been compromised benefit from the enhanced security we just recently put in place, which includes <em>hashing</em> and <em>salting</em> of our current password databases.

Skræmmende hvis de ikke i forvejen havde hashet kodeordene i databasene (med et associeret salt)

  • more_vert
    • insert_linkKopier link
5
Henrik Nielsen
6. juni 2012 kl. 21:59

Problemet er jo ikke dårlige/usikre passwords men at Linkedin under en update har været blottet. Ifølge Linkedin har de identificeret hvilke konti der har været kompromitteret, resat deres password og sendt dem en mail med en uddybning af problemet. Alligevel er det naturligvis en uacceptabel og dårlig practice. se mere her; We want to provide you with an update on this morning’s reports of stolen passwords. We can confirm that some of the passwords that were compromised correspond to LinkedIn accounts. We are continuing to investigate this situation and here is what we are pursuing as far as next steps for the compromised accounts: Members that have accounts associated with the compromised passwords will notice that their LinkedIn account password is no longer valid. These members will also receive an email from LinkedIn with instructions on how to reset their passwords. There will not be any links in these emails. For security reasons, you should never change your password on any website by following a link in an email. These affected members will receive a second email from our Customer Support team providing a bit more context on this situation and why they are being asked to change their passwords.

  • more_vert
    • insert_linkKopier link
3
Torben Rahbek Koch
6. juni 2012 kl. 21:48

Er muligt jeg har været uden for radiodækning, men hvordan har kriminelle adgang til samtlige LinkedIn's brugeres password?

  • more_vert
    • insert_linkKopier link
4
Flemming Riis
6. juni 2012 kl. 21:54

http://blog.linkedin.com/

de ved det ikke , de har disablet alle brugerne der er leaket , og alle andre ser ud til at være sha1+salt

  • more_vert
    • insert_linkKopier link
1
Thomas Dybdahl Ahle
6. juni 2012 kl. 21:20

Der skulle være et udbredt api til ændring af passwords. Så kunne lastpass o.l. selv skifte ens password til en ny tilfældig streng hver morgen.

  • more_vert
    • insert_linkKopier link
2
Malte Dan Baden Hansen
6. juni 2012 kl. 21:45

Det ville være smart, men så hellere bruge en OpenID provider.

  • more_vert
    • insert_linkKopier link