Rss

  • linkedin

Archives for : lösenord

Två mindre siter hackade under lördagen

Under dagen blev kloaken.net och surfplace.se hackade. Kontouppgifter kom ut i båda hacken med cirka 700 konton på förstnämnda och ca 500 i den sista.

– Johan Ryberg

Finns du med bland alla hackade konton?

Det är många som söker efter dumparna för att ta reda på om man själv finns med vilket är något man självklart vill veta då man i så fall kanske har ett mycket stort jobb framför sig att ändra lösenord på mängder av tjänster.

Självklart är det dumt att ha samma lösenord på flera ställen men nu är skadan redan skedd för många och nu gäller det att istället lära sig av läxan och börja göra rätt.

Om du är orolig och inte själv kan hitta hash-dumparna från alla hackade hemsidor, både från de 57 eller 58 hemsidorna där bland annat bloggtoppen.se återfanns (olika uppgifter i olika medier) eller från gratisbio.se (210 000 konton) så är det bara att fråga, jag svarar gärna på enstaka konton men jag lämnar inte ut några dumpar då jag är mycket osäker på hur bland annat PuL ser på detta i Svensk lagstiftning.

Skickat ett e-postmeddelande till johan [a] securit [punkt] se så återkommer jag med svar så fort jag kan.

–  Johan Ryberg

Varning för “Vilda webben” – Okrypterade lösenord i databasen

Vilda webben är en kontaktsite som enligt dem själva har  1 170 136 registrerade användare. Jag själv har varit medlem men jag raderade kontot för många år sedan men ändå får jag då och då e-postmeddelanden med mitt användarnamn och lösenord helt i klartext med en påminnelse om att jag inte har glömt av dem.

Jag påtalade säkerhetsproblemet för dem för flera år sedan men inget har hänt sedan dess. Jag testade senaste idag att klicka på länken för glömt lösenord och några sekunder senare hade jag det i klartext i min inkorg, precis samma som jag hade då jag avslutade kontot för flera år sedan.

Detta betyder att över 1 000 000 lösenord finns i klartext i databasen med tillhörande e-postadresser, ett Mecka för en hacker som vill få en fin lösenordslista eller konton att ta över och med tanke på deras bristande säkerhetstänk lär det inte vara svårt att komma över databasen om man bara vill.

Jag uppmanar samtliga som har konton där att kontakta deras support och upplysa dem om problemet samt att byta lösenord till något unikt vilket man bör ha på varje hemsida som man registrerar sig på eftersom man aldrig kan veta hur ens kontouppgifter hanteras.

–  Johan Ryberg

Sluta använda lösenord! Del 1 av 2

Sluta använda lösenord! Del 1 av 2

Det går dagligen att läsa om lösenord, hur dem skall hanteras, bästa policy, hur man inte skall göra och hur man skall göra. Lika ofta kan man läsa om hur ena databasen efter den andra dumpas och är det stora databaser analyseras och sammanställs som oftast innehållet och resultatet är desamma, vissa lösenord är fortfarande vanligt använda och substitution av a med @ och o med 0 (noll) är mer regel än undantag så att lösenordet är “p@ssw0rd” eller liknande.

Anledningen till denna substitution är för att policyn kräver specialtecken och många guider försöker lära användarna hur dem skall bygga sina lösenord och då ofta genom att ersätta bokstäver med tecken. Detta vet naturligtvis hackers så i ordlistorna som används vid t.ex. brute force så testar man även vanligt förekommande substitutioner.

Hur skall man då göra? Alla hemsidor kräver ju lösenord! Svaret är att man inte tänker lösenord utan man tänker teckensträng, en lång rad med slumpmässiga tecken som är helt omöjligt att komma ihåg.

Man bör alltså generera en sträng med tecken, blandad hur som helst med alla möjliga tecken som är unik för varje individuell inloggning man har. För att hålla ordning på alla dessa inloggningsuppgifter så finns det gott om olika programvaror som fungerar som lösenordsvalv. Ett jag vill göra slag för är Keepass som är ett utomordentligt verktyg som är öppen källkod och som finns till de flesta plattformar, både för PC och handdatorer.

Man låter helt enkelt Keepass hålla ordning på alla inloggningsuppgifter och du själv behöver bara komma ihåg ett enda lösenord, nämligen det som krävs för att öppna valvet. Varje gång man skapar ett nytt konto så låter man Keepass generera en unik sträng vilket gör att även om hemsida X blir hackad så avslöjar det ingenting om vilka inloggningsuppgifter man använder på andra ställen på Internet.

Det finns vissa hinder med detta, det största är att ha sina inloggningsuppgifter tillgängliga när man behöver dem samt oron att förlora alla sina lösenord då dem finns i en enda fil. Detta tänker jag ta upp i del 2.

–Johan Ryberg