mboost-dp1

eharmony

Millioner af eHarmony-password er blevet lækket

- Via Slashgear - , redigeret af Pernicious

Datingsiden eHarmony har netop bekræftet, at sidens sikkerhed er blevet brudt, og at millioner af bruger-passwords er blevet kompromitteret.

Meddelelsen kommer som en officiel pressemeddelelse, hvor sidens ledelse dog understreger, at kun “en lille del” af sidens brugere er blevet berørt af sikkerhedsbruddet.

Sikkerhedsbruddet kommer i kølvandet af LinkedIns passwordtab, der fandt sted tidligere på ugen, hvor mere end 6,5 millioner password blev frigivet til offentligheden.

Læs også: LinkedIn-kodeord kan være lækket

eHormony selv har undskyldt bruddet, og firmaets Becky Teraoka sagde for nyligt følgende til pressen:

Becky Teraoka, kommunikationsansvarlig hos eHarmony skrev:
After investigating reports of compromised passwords, we have found that a small fraction of our user base has been affected. We are continuing to investigate but would like to provide the following actions we are taking to protect our members… As a precaution, we have reset affected members passwords. Those members will receive an email with instructions on how to reset their passwords.





Gå til bund
Gravatar #1 - Hack4Crack
8. jun. 2012 07:09
Lækket Passwords bliver "det nye ord" i 2012
Gravatar #2 - lorric
8. jun. 2012 07:32
Hvem laver et site hvor man kan site hvilke sites, der er blevet hacket? Last.fm er også røget for nylig.

#1 det håber jeg ikke, da der lige skal korrigeres for ental og flertal.
Gravatar #3 - mfriis
8. jun. 2012 08:10
Man kan undre sig over hvad sites idag skal bruge passwords til. SRP (http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol ) har immervæk en del år på bagen (2007 i følge dens RFC http://tools.ietf.org/html/rfc5054 )

Så hvorfor skal brugerens password nogensinde sendes ud af hans browser og endnu værrer opbevares i databasen?

Det kan løses så nemt for eksisterende websites også. Der er fine Javascript implementeringer og backend delen er også ren copy/paste
Gravatar #4 - mortenp
8. jun. 2012 08:53
mfriis (3) skrev:
Man kan undre sig over hvad sites idag skal bruge passwords til. SRP (http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol ) har immervæk en del år på bagen (2007 i følge dens RFC http://tools.ietf.org/html/rfc5054 )

Så hvorfor skal brugerens password nogensinde sendes ud af hans browser og endnu værrer opbevares i databasen?


Så vidt jeg kan se, kræver det stadig at serveren opbevarer en saltet pasordshash. Jeg kan godt se at det ikke giver serveren en kopi af pasordet i klartekst, hver gang du logger ind, men hvordan løser det problemet med lækkede hashes?

Det er klart at man skal salte sine hashes, men det behøver man ikke nogen fancy protokol for.
Gravatar #5 - mfriis
8. jun. 2012 09:20
#4 Nej serveren har ikke et hash af passwordet.

Helt kort (meget kort)
Serveren generer en challenge til klienten, den udregnet, resultatet krypteres med passwordet, sendes og sammenlignes.

http://en.wikipedia.org/wiki/Zero-knowledge_passwo... ellers se wikipedias protokol eksempel med Carol og Steve her http://en.wikipedia.org/wiki/Secure_Remote_Passwor...
Gravatar #6 - mortenp
8. jun. 2012 09:31
mfriis (5) skrev:
#4 Nej serveren har ikke et hash af passwordet.

Helt kort (meget kort)
Serveren generer en challenge til klienten, den udregnet, resultatet krypteres med passwordet, sendes og sammenlignes.

http://en.wikipedia.org/wiki/Zero-knowledge_passwo... ellers se wikipedias protokol eksempel med Carol og Steve her http://en.wikipedia.org/wiki/Secure_Remote_Passwor...


http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol skrev:

s is a small salt.
...
p is the user's password.
H() is a hash function; e.g., SHA-256.
v is the host's password verifier, v = g^x, x = H(s,p).
...
Steve stores v and s, indexed by I, as Carol's password verifier and salt.


Hvorfor er det bedre at gemme v og s end at gemme x og s som sites gør i dag?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login