Nopludinātas Linkedin sociālā tīkla paroles

Internetā parādījušās ziņas par to, ka hakeri ir nopludinājuši sociālā tīkla LinkedIn paroles kontrolsummu, kas ir uzģenerēta ar vāju kriptogrāfisko kontrolsummas ģenerēšanas algoritmu SHA-1. Tas nozīmē, ka ar pietiekamiem datoru resursiem var iegūt šo paroli un izmantot nekrietniem mērķiem.

Nopludinātas apēram 6.5 miljonu paroļu. Diezgan iespaidīgi. Ieteicams ir nomainīt savu veco LinkedIn paroli ar citu, kamēr šo paroli vēl nav sākušas izmantot kādas citas personas.

Kādi citi braši puiši ir ātri izveidojuši vienkāršu lapiņu ar kuras palīdzību var pārbaudīt vai tava LinkedIn parole ir nopludināta, vai nē. Es pārbaudīju un redz, ko ieraudzīju – LeakedIn.org. Pēc tam manuāli salīdzināju ar SHA-1 nopludinātās datubāzes saturu un arī atradu savas paroles kontrolsummu.

Puiši apgalvo, ka viņi pārbauda tikai paroles kontrolsummu, kuru uzģenerē ar JavaScript palīdzību tavā datorā un tad pie “Check” nospiešanas uz serveri nosūta tikai šo nesaprotamo simbolu virkni. Apskatījos kodu un izskatījās tīrs.

Ejam uz LinkedIn lapas Settings un spiežam uz pogas Password Change.

Bet par pašu LinkedIn paroļu noplūšanu var palasīt dažādos resursos.

Habrahabr.ru ar saitēm uz pirmavotiem un bildīti no foruma, kurā bija nopublicēti atkodētās paroles. BusinessInsider, TheNextWeb ar brīdinājumu mainīt paroli tūlīt. LinkedIn paši kaut kā aplinkus motivē lietotājus mainīt paroles, te ir viņu bloga ieraksts par to kā labāk izvēlēties paroli.

32 komentāri par “Nopludinātas Linkedin sociālā tīkla paroles

  1. Jānis

    Man Leakedin teica: Looks like your password was not leaked. Hooray!
    Nekādas LinkedIn aplikācijas neizmantoju, izmantoju tikai pārlūku. Baumo, ka tieši aplikācijas nopludināja hešus..

    Atbildēt
  2. bubu

    SHA-1 NAV kriptēšanas algorithms. Hešsumas neko nekriptē. Tās hešo. Kriptētas lietas var atkriptēt. Hešsumas nevar atkriptēt. Tām var tikai kolīzijas meklēt.

    Atbildēt
  3. INDE

    un tieši tāpēc paroles ir jāglabā ar salt
    ja glabā, tikai sha-1, tad ir lielāki riski.
    piemēram – ir lietotāju DB. un passw. ir saglabāti sha-1 bez salt.

    un ir divi lietotāji, kam paroles ir vienādas. ala “password”. sha-1 tām arī būs viens un tas pats. tādejādi var iegūt vairāk paroles īsākā laikā. savukārt, ja saglabā ar salt, tad sha1 arī atšķirsies.

    labi, ka vēl pliku md5 neizmantoja ;)

    Atbildēt
  4. BlackHalt

    Nez, nez. Ideāli jau būtu, pieņemsim, katram lietotājam uztaisīt TrueCrypt disku :)
    Tas viss maksā resursus.

    Par sāli – ir jau arī redzēti SQL dumpi tipa:

    usr|md5password|salt
    usr|md5password|salt
    usr|md5password|salt

    Atbildēt
  5. INDE

    salt tieši tā arī darbojas

    salt|sha1
    un salt ir randoms

    a: sha1(randoms1|parole)
    b: sha1(randoms2|parole)

    rezultātā a != b

    un ja tu dabū tādu dumpu, tad tu nevari patiekt, ka a un b paroles daļas ir vienādas.
    runa nav par paroles drošumu, bet gan par to, ka, ja izmanto salt, paroles atlauzt ir ilgāk.

    Atbildēt
  6. BlackHalt

    Ja kādam salt pielietošanas mērķis ir saistīts ar “ilgāka bruteforsēšana” vai “ilgāk atlauzt”,
    tad tam salt vispār nevajadzetu pielietot, jo
    salt merķim būtu jābūt = “neiespejams uzlauzt”.
    Tādam vismaz būtu jābut mērķim.

    Atbildēt
  7. Atbalss: SEB mājaslapas mobilā versija un aplikācijas | Pods.lv

  8. Atbalss: Nopludināti iOS ierīču lietotāju dati | Pods.lv

Ieraksti komentāru

Tava e-pasta adrese netiks publicēta.

Jūs varat izmantot šādas HTML birkas un atribūtus: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>