|
Yli miljardi salasanaa varastettu ? tietoturvayhtiö yritti heti rahastaa sillä
|
|
Viestiketjuun kuuluvat käyttäjäkommentit liittyvät tähän uutiseen:
uutinen julkaistu: 6 elokuuta, 2014
The New York Timesin mukaan joukko venäläisiä krakkereita on onnistunut saamaan haltuunsa jopa 1,2 miljardia käyttäjätunnusta ja salasanaa eri verkkopalveluihin. Joukossa on myös noin 500 miljoonaa sähköpostiosoitetta.
Käyttäjätunnusten ja salasanojen massiivinen tietokonata on koostettu yhteensä noin 420 000 verkkopalvelusta, joihin hyökkääjät ovat päässeet käsiksi. Joukossa on niin ... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
|
AfterDawn Addict
8 tuotearviota
|
6. elokuuta 2014 @ 09:44 |
Linkki tähän viestiin
|
|
Hyödytöntä uutisoida näistä jos ei mainita sivustoja joita tuo koskee.
E: Eli otsikoksi olisi voinut ihan hyvin laittaa "Tietoturvayhtiö väitti yli miljardin salasanan vuotaneen ja yritti rahastaa sillä". Toistaiseksi julkisuuteen ei ole tullut mitään todisteita siitä, että salasanoja on viety poislukien tuon "tietoturvafirman" väitteet.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. elokuuta 2014 @ 10:03
|
Senior Member
1 tuotearvio
|
6. elokuuta 2014 @ 10:00 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti xbkrypt0n:
Hyödytöntä uutisoida näistä jos ei mainita sivustoja joita tuo koskee.
Tässä uutisoinnissa ei ollut niinkään kyse tietomurroista, vaan tuosta yhtiöstä joka yritti rahastaa sillä. Sen kannalta on täysin merkityksetöntä mihin palveluihin on murtauduttu.
|
Junior Member
|
6. elokuuta 2014 @ 14:38 |
Linkki tähän viestiin
|
Lainaus:
Hold Security -niminen tietoturtayhtiö
Mutta tosiaa. Ei se ole tyhmä joka pyytää. 120$ ei ole iso raha yrityksille. Tietojen paikkansapitävyys on sitten eri asia.
Jos et osaa, teeskentele.
|
Admin
9 tuotearviota
|
6. elokuuta 2014 @ 14:59 |
Linkki tähän viestiin
|
Myös F-Secure muisti mainoskirjeellä heti Viestintäviraston Tietoturva Nyt! -päivityksen jälkeen. F:n toimesta mainostettiin heidän F-Secure Key -salasananhallintaohjelmaa, joka vaikuttaa olevan LastPassin kaltainen softa.
|
Senior Member
1 tuotearvio
|
6. elokuuta 2014 @ 16:08 |
Linkki tähän viestiin
|
|
No siis, en nyt lähde 100 paikkaan vaihtamaan salasanoja, kun ei edes tiedä mihin on murettu. Jos nyt vaihtaisi MS tilin ja google tilin salasanat...Täytyykö tässä hankkia salasanalista vai kertooko joku listan murretuista paikoista, olisi ihan kiva saada
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 6. elokuuta 2014 @ 16:09
|
Admin
9 tuotearviota
|
6. elokuuta 2014 @ 16:55 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
No siis, en nyt lähde 100 paikkaan vaihtamaan salasanoja, kun ei edes tiedä mihin on murettu. Jos nyt vaihtaisi MS tilin ja google tilin salasanat...Täytyykö tässä hankkia salasanalista vai kertooko joku listan murretuista paikoista, olisi ihan kiva saada
Niinpä. Eipä tuolla Hold Securityn väitteellä ole mitään pohjaa jos ei niitä mikään ulkopuolinen taho pääse varmistamaan.
|
AfterDawn Addict
|
6. elokuuta 2014 @ 21:10 |
Linkki tähän viestiin
|
Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi
Muissakin palveluissa voi olla tämäntapainen ominaisuus.
|
|
pähkinä
Member
3 tuotearviota
|
6. elokuuta 2014 @ 21:36 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Datanen:
Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi
Muissakin palveluissa voi olla tämäntapainen ominaisuus.
Juuri eilen asetin ms-tilille saman käyttöön ja toimii samalla googlen authenticator sovelluksella. Ehdottomasti kannattaa ottaa tuo käyttöön minne vain saa, niin ei tarvitse stressata samalla tavalla näistä murroista.
|
AfterDawn Addict
|
6. elokuuta 2014 @ 21:40 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti pähkinä:
Lainaus, alkuperäisen viestin kirjoitti Datanen:
Kannattaa käyttää esim Googlen palveluissa kaksivaiheista tunnistusta. Eli vaikka salasana saataisiin selville niin tiliin ei pääse käsiksi ilman kännykässä olevaa vaihtuvaa koodia. https://support.google.com/accounts/answer/180744?hl=fi
Muissakin palveluissa voi olla tämäntapainen ominaisuus.
Juuri eilen asetin ms-tilille saman käyttöön ja toimii samalla googlen authenticator sovelluksella. Ehdottomasti kannattaa ottaa tuo käyttöön minne vain saa, niin ei tarvitse stressata samalla tavalla näistä murroista.
Toki tämäkään ei poista sitä ohjetta että salasana kannattaisi olla riittävän hankala ja pitkä. Unohtui äsken mainita.
|
AfterDawn Addict
8 tuotearviota
|
6. elokuuta 2014 @ 21:53 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Datanen:
Toki tämäkään ei poista sitä ohjetta että salasana kannattaisi olla riittävän hankala ja pitkä. Unohtui äsken mainita.
Pituus on tärkeä, mutta tuo hankaluus ei niinkään. Se on murtosoftalle ihan sama onko se salasana teddykarhu11 vai apnizoqikl12, koska molemmat ovat ohjelmalle yhtä helppoja murtaa vaikka toinen noista onkin moninkertaisesti vaikeampi muistaa. Isojen ja pienien kirjaimien sekakäyttö ja jokin vähän erikoisempi merkki tekevät lyhyestäkin salasanasta vaikeasti murrettavan.
http://en.wikipedia.org/wiki/Rainbow_table
|
Senior Member
1 tuotearvio
|
7. elokuuta 2014 @ 08:55 |
Linkki tähän viestiin
|
|
|
AfterDawn Addict
8 tuotearviota
|
7. elokuuta 2014 @ 10:18 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user_org:
Jos salasanaa voidaa etsiä kokeilemalla, niin sanakirja, nimilistoilta löytyvistä osista koostuvista on heikko vs aidosti satunnainen, ei auta vaikka kirjamia olisi korjattu numeroilla tyyliin 1=i.
Jahas, no koska väität näin ja se sotii kaikkea sitä vastaan mitä ammattilaiset väittävät maailmalla, niin todista väitteesi.
Tuossa on pelkästään MD5 hashattu sanoista koostuva salasana joka ei edes sisällä numeroita. Sisältää pelkästään isoja ja pieniä kirjaimia a-z (ei ääkkösiä). Pituus tuntematon.
0f1bca6bfac67ab14fda85274fc25739
Jos tämä oikeasti on niin heikko kuin väität, niin sen murtamisessa ei pitäisi olla minkäänlaista ongelmaa.
Lainaus, alkuperäisen viestin kirjoitti user_org:
jonkin systeemin lyhyt numerosarja voi olla vahvempi kuin toisen pitkä satunnainen unicodemerkkisarja.
Ei minkäänlaista syytä ottaa riskiä ja syöttää pelkästään numeroista koostuvaa salasanaa mihinkään järjestelmään. Et voi etukäteen mitenkään tietää miten salasanojen tallennus on jollain sivustolla toteutettu.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 7. elokuuta 2014 @ 10:18
|
AfterDawn Addict
8 tuotearviota
|
8. elokuuta 2014 @ 22:38 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user_org:
Numerot on monessa paikkaa käytössä, usein jopa diipadaapa nettisivuja tärkeämmissä.
Valitettavan totta kun noita vuotaneita salasanoja ja sivustoja on katsellut. Sivuston muut käyttäjät ovat suojanneet tilinsä ehkä hyvin, mutta pääkäyttäjän/järjestelmänvalvojan salasana on sitten tyyliin AAAAA tai 12345 ja sen avulla saadaan taas käyttäjien kaikki henkilökohtaiset tiedot ulos järjestelmästä tai käyttäjätietokanta, vaikka itse sivustosta ei löytyisikään haavoittuvuuksia. Näin ei siis pitäisi olla, mutta näin vaan on.
Lainaus, alkuperäisen viestin kirjoitti user_org:
Käytettävyys ja muistettavuus on myös terkeitä, ja vähänkään järkevä palvelu rajoittaa kokeilun määrää ja tai nopeutta.
Tämä kertoo minulle taas, että sinulla ei ole pienintäkään havaintoa miten tuo salasanojen urkinta toimii. Krakkerit käyttävät hyväkseen jotain järjestelmän monesta tunnetusta tai sillä hetkellä tuntemattomasta haavoittuvuudesta ja saavat näin käsiinsä joko koko käyttäjätietokannan tai sen sisältämät käyttäjänimet ja salasanat ulos järjestelmästä. Tällöin he voivat vapaasti kokeilla murtaa salasanan ihan kuten lystäävät.
Lainaus, alkuperäisen viestin kirjoitti user_org:
Sivuston turvallisuuden osalta voi luottaa vain niiden sanaan
Väärin taas. Hehän voivat väittää ihan mitä haluavat. Sivustojen ylläpitäjillä ei ole mitään velvoitetta puhua täysin totta kaikesta ja vaikka he itse luulisivat puhuvansa totta, ei se välttämättä ole yhtä todellisuuden kanssa.
Tuossa vähän vielä rautalankaa.
|
AfterDawn Addict
8 tuotearviota
|
9. elokuuta 2014 @ 07:36 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user_org:
Jos ne saavat salasanat niin mitä väliä onko salasana ollut hyvä, pitkä tai huono, väliä on sillä ettei se ole samankaltaisena muualla käytössä.
Yksikään sivusto ei tallenna enää käyttäjätietokantaa selväkielisenä/plaintextinä vaan salasanat ovat vähintään MD5 hashattuja. Sen takia salasanan tulee olla pitkä, koska pitkän salasanan murtamisessa menee vähintään se parisataa miljardia vuotta nykylaitteilla (katso rautalanka). Ehdit olla pitkään haudassa ennen kuin vuotanut salasanasi murretaan. Jos väität jotain toista, niin voit vapaasti murtaa tuon salasanan minkä heitin aiemmin.
Lainaus, alkuperäisen viestin kirjoitti user_org:
Jos luotettavia, niin miksi olla noudattamasta heidän ohjeita? Heidän pitäisi tietää mikä paras.
Tuo pitkä salasana ohje on paikkansapitävä kaikkialla. Jonkin yksittäisen sivuston neuvo käyttää jotain merkkiä x salasanassa on vain heidän vaatimuksensa. Pitkä salasana on vahva sivustosta riippumatta.
Lainaus, alkuperäisen viestin kirjoitti user_org:
Eli tärkeintä ettei samankaltaista ole muualla.
Vain sinä toit tämän esille. En ole missään vaiheessa suositellut käyttämään samaa salasanaa joka sivustolla.
Lainaus, alkuperäisen viestin kirjoitti user_org:
Käyttjänpääkin vuotaa, samoin keräilyä ja kalastelua jne. ja myös välistä napataan. Joskus sitä salsanaa ei edes napattu mistään.
Joo ja keksimälläkin niitä saa muutaman. Uutisessa on kuitenkin yli miljardi salasanaa, joten ne ovat varmasti saatu juurikin tuolla kuvailemallani tavalla, eli on käytetty hyväksi jonkin sivuston jotain haavoittuvuutta ja ladattu sivuston koko käyttäjätietokanta.
|
AfterDawn Addict
8 tuotearviota
|
9. elokuuta 2014 @ 10:49 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti user_org:
Lähestyt mekaanisesti, lisäksi sillä että järjestäin nollasta merkistä eteenpäin, jollain nyky nopeudella.
Ilmeisesti sinun pääsi sisällä tämä ei ole se paras tapa. Voinet siis paljastaa mikä se oikea tapa on.
Lainaus, alkuperäisen viestin kirjoitti user_org:
Jos elän niin vanhaksi kun suomalaiset keskimäärin, niin lähden siitä että jossain vaiheessa se on nopeaa, vaikka ei välttämättä.
Tämä tärkeää sen takia että paljon salattua dataa vieraiden saatavilla ja hallussa joka nyt suojassa, mutta jonain päivänä suojaus ei enään turvaa sitä.
Luukkanen-Kilde, is that you?
Lainaus, alkuperäisen viestin kirjoitti user_org:
Ei, tuo on juuri se mihin ei pidä missään tapauksessa tuudittautua.
Niitä todisteita edelleen haluaisin kovasti ja varmasti moni muukin, koska tuo on edelleenkin aivan päätön väite (kuten kaikki muukin horinasi tähän asti).
Lainaus, alkuperäisen viestin kirjoitti user_org:
Jos meinaat että yli miljardi tunnus - salasanaparia on saatu nimenomaan joltain sivustolta niin ajatteletko että ne ovat nimenomaan lyhyitä salasanoja ? vai voisiko sittenkin mukana olla myös "turvallisia" pitkiä.
Totta kai siellä on joukossa molempia. Kuten jo aiemmin sanoin, salasanat eivät liiku siellä selkokielisenä vaan esimerkiksi tuossa MD5-muodossa (nyk. taitaa olla SHA-1 tai parempi). Helpot salasanat murretaan heti, vähän vaikeammat viiveellä ja vaikeimmat jäävät yksinkertaisesti murtamatta. Sivustot käyttävät yleensä hyvin samanlaisia tietoturvaratkaisuja ja jos yhdellä sivustolla on jokin haavoittuva osa, niin se sama palikka on käytössä lukemattomilla muilla sivustoilla (esim. heartbleed). Hyvällä tuurilla jopa täsmälleen samaa haavoittuvuutta käyttämällä on nuo kaikki käyttäjätiedot saatu latailtua.
Lainaus, alkuperäisen viestin kirjoitti user_org:
On uutisoitu että ko määrä olisi sadoistatuhansista eri paikoista peräisin, kuten myös se että peräisin hyvin erilaisista lähteistä.
Sherlockmaista päättelyä.
|
|
Mainos
|
|
|
