mboost-dp1
unknown
Doh er vist det eneste ord der dækker dén bommert. Håber der sidder en med røde ører og har sikret sig at han kan betale kvajebajerne.
Det er vist en af de værste fejl jeg længe har hørt om, især fordi det er AOL og fejlen er så simpel at det jo nærmest må betyde at de ikke har det vilde forstand på teste deres koder før de bruger dem... Hvad mon der så ellers ikke er testet ordenligt?
Det er vist en af de værste fejl jeg længe har hørt om, især fordi det er AOL og fejlen er så simpel at det jo nærmest må betyde at de ikke har det vilde forstand på teste deres koder før de bruger dem... Hvad mon der så ellers ikke er testet ordenligt?
#2 Tjoh, chancen for at der sker noget er rimelig lille. Det er jo først muligt at udnytte hvis to brugere med samme brugernavn har de samme første 8 tegn i deres password efterfuldt af noget andet. Så skal systemet jo logge én af dem ind. Og så tror jeg vi snakker sandsynlighedsregning der er ligegyldig i praksis, men... Det må bare ikke kunne ske alligevel.
Jeg ville i hvert fald selv være flov over at lave den fejl :S
Jeg ville i hvert fald selv være flov over at lave den fejl :S
Especially because AOL has...shall we say, some less sophisticated users. Those users need all the help they can get...
Amerikanere??? Hehe...
:-)
Ja, 8 tegn er mere end rigeligt til næsten enhver brug. Risikoen for at nogen gætter de første 8 tegn af ens password er stort set lig med risikoen for at de gætter det hele, hvis det er mere end 8 tegn. Det er der intet problem i.
Problemet er, som zigma.dk er inde på, at det er en åbenlys sjuskefejl, og det betyder at der sagtens kan være mere graverende fejl andre steder. F.eks. kunne jeg sagtens forestille mig, at en koder der laver den fejl, også glemmer at tage højde for SQL injection - en fejl ingen seriøse sider burde lave.
Og ja, som arne_v siger - det tyder på at passwords lagres som ren tekst, hvilket er en kæmpe sikkerhedsrisiko, hvis de skulle blive hacket, eller hvis en insider i firmaet med databaseadgang skulle have lyst til at kigge lidt på folks oplysninger.
Sjusk! Fy, AOL!
Problemet er, som zigma.dk er inde på, at det er en åbenlys sjuskefejl, og det betyder at der sagtens kan være mere graverende fejl andre steder. F.eks. kunne jeg sagtens forestille mig, at en koder der laver den fejl, også glemmer at tage højde for SQL injection - en fejl ingen seriøse sider burde lave.
Og ja, som arne_v siger - det tyder på at passwords lagres som ren tekst, hvilket er en kæmpe sikkerhedsrisiko, hvis de skulle blive hacket, eller hvis en insider i firmaet med databaseadgang skulle have lyst til at kigge lidt på folks oplysninger.
Sjusk! Fy, AOL!
Der er faktisk mange steder hvor det kun er de første 8 karakterer der benyttes - eksempelvis visse universiteter i DK. Det gælder både forbindelse med VPN og SSH.
Fik en forklaring af sysadmin engang, men den var, så vidt jeg husker, temmeligt tynd for hvorfor de kun testede for de første 8 - husker det dog ikke helt.
Fik en forklaring af sysadmin engang, men den var, så vidt jeg husker, temmeligt tynd for hvorfor de kun testede for de første 8 - husker det dog ikke helt.
Det er ikke nyt, det er det sammen på et IRC netværk der kan du også skrive dit pw længere end det normalt er. Tror faktisk os jeg har prøvet det på BoomTown.
#11
Ældre Unix brugte op til 8 tegn for passwords.
http://www.het.brown.edu/guide/UNIX-password-secur...
Citat:
The above illustrates the importance of a good password for every
user. We will look at some methods for choosing good passwords. A good
password consists of 8 characters (a UNIX password can be up to eight
characters, any extra characters will be discarded, making the
passwords `Still won't talk, eh, Spiff?' and `Still wo' mutually
interchangable). It has to be hard to guess but easy to remember,
because otherwise, users will be tempted to write down their password
which totally takes away the function of a it.
Ældre Unix brugte op til 8 tegn for passwords.
http://www.het.brown.edu/guide/UNIX-password-secur...
Citat:
The above illustrates the importance of a good password for every
user. We will look at some methods for choosing good passwords. A good
password consists of 8 characters (a UNIX password can be up to eight
characters, any extra characters will be discarded, making the
passwords `Still won't talk, eh, Spiff?' and `Still wo' mutually
interchangable). It has to be hard to guess but easy to remember,
because otherwise, users will be tempted to write down their password
which totally takes away the function of a it.
#13:
Eller nyere unix'es, hvor man ikke har slået md5-passwords til.
Det hele afhænger af hvordan crypt() kaldes. Hvis salt er to tegn, så er det oldstyle-crypt. Hvis det er "$1$"+"op til 8 tegn"+"$", så er det md5.
/me gætter på, at AOL kalder random to gange og bruger det som salt og at det vil tage dem to sekunder, at rette den bug.
Ældre Unix brugte op til 8 tegn for passwords.
Eller nyere unix'es, hvor man ikke har slået md5-passwords til.
Det hele afhænger af hvordan crypt() kaldes. Hvis salt er to tegn, så er det oldstyle-crypt. Hvis det er "$1$"+"op til 8 tegn"+"$", så er det md5.
/me gætter på, at AOL kalder random to gange og bruger det som salt og at det vil tage dem to sekunder, at rette den bug.
Problemet med AOL's logon, er at den som brugerdatabase bruger et gammelt system der kun kan håndtere 6-8 karakterer, a-z og 0-9. Dette er i sig selv ikke så galt, der hvor problemet kommer, er at systemet normaliserer alle passwords. Det vil sige at det fjerner alle karakterer det ikke kender, begrænser sig til 8 karakterer og ser alle bogstaver som samme størrelse.
De 8 tegn er måske for lidt hvis folk bruger sætninger fremfor rene 'krimskrams'-ord, f.eks. jegvilgernehaveenis. Måske er sikkerheden alligevel nok, men udfaldsrummet indskrænkes med dekader hvis reelle sætninger bruges, og ordet trunkeres til 8 karakterer.
#8
Arh... jeg er enig i at 8 karakterer er rigeligt til alm. brug.
Men syntes du strammer den "lidt" når du siger at der stort set ikke er forskel på f.eks 8 eller 9 karakterer.
hvis vi antager at man kan bruge a-å samt 0-9 vil 8 karakterer give dig 4.347.792.138.496 mulige kombinationer. med 9 karakterer kommer det tal op på 165.216.101.262.848 det giver en forskel fra 8 til 9 karakterer på 160.868.309.124.352. altså væsentligt mere end "statistisk ligegyldigt" og disse tal er endda kun med små bogstaver og tallene 0-9.
Tallene bliver endog meget større hvis man også skelner mellem store og små bogstaver nemlig: 8 karakterer 360.040.606.269.696, 9 karakterer giver 23.762.680.013.799.936 det gør forskellen til 23.402.639.407.530.240 kombinationer. Altså for hver karakter stiger antallet af mulige kombinationer ret drastisk. Personligt benytter jeg oftest et kode ord på 26 karakterer, blandede store og små bogstaver samt tal. altså 2,0330231505548093645901300297767e+47 mulige kombinationer :)
Arh... jeg er enig i at 8 karakterer er rigeligt til alm. brug.
Men syntes du strammer den "lidt" når du siger at der stort set ikke er forskel på f.eks 8 eller 9 karakterer.
hvis vi antager at man kan bruge a-å samt 0-9 vil 8 karakterer give dig 4.347.792.138.496 mulige kombinationer. med 9 karakterer kommer det tal op på 165.216.101.262.848 det giver en forskel fra 8 til 9 karakterer på 160.868.309.124.352. altså væsentligt mere end "statistisk ligegyldigt" og disse tal er endda kun med små bogstaver og tallene 0-9.
Tallene bliver endog meget større hvis man også skelner mellem store og små bogstaver nemlig: 8 karakterer 360.040.606.269.696, 9 karakterer giver 23.762.680.013.799.936 det gør forskellen til 23.402.639.407.530.240 kombinationer. Altså for hver karakter stiger antallet af mulige kombinationer ret drastisk. Personligt benytter jeg oftest et kode ord på 26 karakterer, blandede store og små bogstaver samt tal. altså 2,0330231505548093645901300297767e+47 mulige kombinationer :)
#19 Kuderu - Jeg siger ikke at der ikke er forskel, men at risikoen er ca. den samme - nemlig meget tæt på 0.
Jeg vil tillade mig at påstå, at hvis nogen skaffer sig adgang til din konto, når du har et password på 8 bogstaver, hvis ellers passwordet er velvalgt (dvs. ikke til at regne ud, ud fra dine personlige oplysninger), så er det IKKE fordi de har gættet det, men nærmere fordi de, på en eller anden måde, helt har omgået password validering på serveren.
Den eneste forskel er hvis man skal bruteforce passwordet. I så fald gør 8 eller 9 en forskel, men det er sgu heller ikke en reel mulighed i langt de fleste tilfælde ;)
Jeg vil tillade mig at påstå, at hvis nogen skaffer sig adgang til din konto, når du har et password på 8 bogstaver, hvis ellers passwordet er velvalgt (dvs. ikke til at regne ud, ud fra dine personlige oplysninger), så er det IKKE fordi de har gættet det, men nærmere fordi de, på en eller anden måde, helt har omgået password validering på serveren.
Den eneste forskel er hvis man skal bruteforce passwordet. I så fald gør 8 eller 9 en forskel, men det er sgu heller ikke en reel mulighed i langt de fleste tilfælde ;)
#25
Hvorfor er bruteforce ikke en mulighed? Det er stadig et fåtal der blokerer efter x forsøg. Og med den rette opsætning og spredning over proxy'er og isp'er kan du throttle dit angreb så det ikke bliver opdaget af deres "activity monitors"
Det er korrekt at det ikke er specielt brugt at bruteforce længere. Men derfra og så til at påstå at et længere password ikke som udgangspunkt er bedre syntes jeg er lidt naivt. Ja hvis de har fundet et "hul" i systemet så er det ligegyldigt om dit password er 2 eller 200 karakterer. Men så kan vi ud fra din logik lige så godt lade være med at have passwords overhovedet og så bare benytte vores cpr numre eller vores email eller lign.
Hvorfor er bruteforce ikke en mulighed? Det er stadig et fåtal der blokerer efter x forsøg. Og med den rette opsætning og spredning over proxy'er og isp'er kan du throttle dit angreb så det ikke bliver opdaget af deres "activity monitors"
Det er korrekt at det ikke er specielt brugt at bruteforce længere. Men derfra og så til at påstå at et længere password ikke som udgangspunkt er bedre syntes jeg er lidt naivt. Ja hvis de har fundet et "hul" i systemet så er det ligegyldigt om dit password er 2 eller 200 karakterer. Men så kan vi ud fra din logik lige så godt lade være med at have passwords overhovedet og så bare benytte vores cpr numre eller vores email eller lign.
Er det anderledes hos www.danskespil.dk ?
Såvidt jeg kan se så tager de også kun de første 8 karakterer.
kh1
Såvidt jeg kan se så tager de også kun de første 8 karakterer.
kh1
Problematikken i denne sag er jo ikke alene at 8 cifre er for kort til passwords (hvilket jeg ikke synes det er, mit eget hovedpassword er på 8 chars baseret på tal og store og små bogstaver), men nærmere at selv om folk opretter sig med hvad de tror er et super sikkert password på 28 tegn, så bliver der kun tjekket på de første 8.
Og jow passwordet kan sagtens være krypteret i databasen selv om der kun tjekket på de 8 første chars, det er blot et spørgsmål om at truncate før kryptering og match. Hvis passwordet er truncated til 8 chars før det krypteres og gemmes i databasen, og ved login igen truncater før kryptering og match, så virker det helt fint.
Dog ville dette ikke give meget mening.
Ikke pladsbesparende eller på anden måde praktisk.
Som jeg startede med at sige, så er det ikke usikkert kun at benytte 8 chars, da 8 char password kan være ret stærke hvis der kan bruges specieltegn og alphanumeriske værdier i casesensative.
Det jeg synes er underligt/forkasteligt er at man har taget valget at lade folk skrive en roman som password, men bag systemet kun tage et udsnit af dette, uden at informere brugeren om at hans password evt. bliver gjort mindre sikkert end han regnede med.
Og jow passwordet kan sagtens være krypteret i databasen selv om der kun tjekket på de 8 første chars, det er blot et spørgsmål om at truncate før kryptering og match. Hvis passwordet er truncated til 8 chars før det krypteres og gemmes i databasen, og ved login igen truncater før kryptering og match, så virker det helt fint.
Dog ville dette ikke give meget mening.
Ikke pladsbesparende eller på anden måde praktisk.
Som jeg startede med at sige, så er det ikke usikkert kun at benytte 8 chars, da 8 char password kan være ret stærke hvis der kan bruges specieltegn og alphanumeriske værdier i casesensative.
Det jeg synes er underligt/forkasteligt er at man har taget valget at lade folk skrive en roman som password, men bag systemet kun tage et udsnit af dette, uden at informere brugeren om at hans password evt. bliver gjort mindre sikkert end han regnede med.
Kan ikke se det er en katastrofe. 8 tegn er rigeligt. Jeg bliver selv irriteret over MyMusic, hvor man kun kan skrive 10 tegn eller sådan noget. Jeg har en længere kode, så bliver tit forvirret, når hele koden ikke kan stå der.
Så er det sgu bedre at den bare tillader at man kan skrive det hele, og så ignorer det.
Så er det sgu bedre at den bare tillader at man kan skrive det hele, og så ignorer det.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund