mboost-dp1
newz.dk
#247 Nu er der jo forskel på om du bare skal generere en streng, hashe den, og sammenligne den med en eksisterende hashværdi - eller generere en streng, sende den over nettet, og vente til en eller anden server får sendt et svar tilbage...;)
Uden at vide særligt meget om brute forcing vil jeg mene at 3 mio gæt lyder nogenlunde fornuftigt på en 3gHz P4 - altså omkring 1000 clocks pr. gæt...
Uden at vide særligt meget om brute forcing vil jeg mene at 3 mio gæt lyder nogenlunde fornuftigt på en 3gHz P4 - altså omkring 1000 clocks pr. gæt...
#235 Hvordan ved du at der var tale om "gevaldige huller i sikkerheden"? :D
#236 Jeg tror ikke Persondataloven omfatter 3. parts forventninger.
#236 Nej. Men som du selv sagde er der ikke noget der tyder på at newz.dk har udvist uagtsomhed, efter som de tilsyneladende rettede fejlen i samme øjeblik den blev opdaget.
#239 Ja. For det sandsynlige er at TGG har den samme mængde datakraft til rådighed som NSA. Det er derfor de på 5 måneder kun kunne knække de 5000 mest debile passwords.
#251 Kun 1000 clocks på en Intel processor for at køre en SHA-256? Jeg siger ikke det ikke kan lade sig gøre. Men det lyder ikke videre sandsynligt.
#236 Jeg tror ikke Persondataloven omfatter 3. parts forventninger.
#236 Nej. Men som du selv sagde er der ikke noget der tyder på at newz.dk har udvist uagtsomhed, efter som de tilsyneladende rettede fejlen i samme øjeblik den blev opdaget.
#239 Ja. For det sandsynlige er at TGG har den samme mængde datakraft til rådighed som NSA. Det er derfor de på 5 måneder kun kunne knække de 5000 mest debile passwords.
#251 Kun 1000 clocks på en Intel processor for at køre en SHA-256? Jeg siger ikke det ikke kan lade sig gøre. Men det lyder ikke videre sandsynligt.
Lad os antage, at man kan lave 3.000.000 udregnede værdier hvert sekund. Jeg tvivler umiddelbart på det, ligesom der skal tillægges nogle I/O-operationer, hvis man vil sammenligne med en liste og gemme match, men det er det, der er blevet nævnt af en, der mener, at adgangskoder er lette at bryde.
Det nævnes så, at man med små bogstaver alene (28 tegn) har 28^x-kombinationer. Lad os antage, at en typisk adgangskode har en længde på otte tegn (det er trods alt et krav mange steder). Der er med små bogstaver 28^8 kombinationer, og det vil tage ~35 (125.934 sekunder) at bryde dem.
Anvender man derimod en mere avanceret adgangskode, så har man umiddelbart adgang til 108 tegn på tastaturet (store og små bogstaver, tal og alle de tegn, man kan fremkalde på bl.a. nummertasterne), og dette er undtaget tegn med accenter (selvom accenterne tæller som tegn, der kan optræde selvstændigt). Der er altså her 108^8 kombinationer, hvilket vil tage ~71.409 dage (6.169.767.368 sekunder) at bryde.
Jeg tror godt, vi kan understrege værdien af en ordentlig adgangskode. Det fritager ikke newz.dk for noget ansvar, men hvis man selv vælger at bruge ordet 'secret', så skal man altså ikke tude, når der mangler penge på ens konto. Der er tydelig sammenhæng imellem den risiko, man løber, og det, man vil yde - sikkerhed kontra bekvemmelighed.
Hvis min antagelse om, at de 3 millioner er langt overdrevet, så kommer vi endnu længere fra en realistisk chance for at bryde adgangskoderne. Er det realistisk med 7.000 forsøg i sekundet (og det er for en simplere algoritme), er der en faktor ~429 til forskel. Har man en avanceret adgangskode, vil det altså tage næsten 90.000 år at bryde den med én computer. Eller 1 år med 90.000 computere.
Der er en grund til, at der ikke offentliggøres mere end de simple koder. Og når folk så påstår, at deres kode ikke er simpel, men stadig er på listen, er det så forkert, det kan være. Når man får flere millioner Google-resultater på mange af koderne, er de altså simple.
Det nævnes så, at man med små bogstaver alene (28 tegn) har 28^x-kombinationer. Lad os antage, at en typisk adgangskode har en længde på otte tegn (det er trods alt et krav mange steder). Der er med små bogstaver 28^8 kombinationer, og det vil tage ~35 (125.934 sekunder) at bryde dem.
Anvender man derimod en mere avanceret adgangskode, så har man umiddelbart adgang til 108 tegn på tastaturet (store og små bogstaver, tal og alle de tegn, man kan fremkalde på bl.a. nummertasterne), og dette er undtaget tegn med accenter (selvom accenterne tæller som tegn, der kan optræde selvstændigt). Der er altså her 108^8 kombinationer, hvilket vil tage ~71.409 dage (6.169.767.368 sekunder) at bryde.
Jeg tror godt, vi kan understrege værdien af en ordentlig adgangskode. Det fritager ikke newz.dk for noget ansvar, men hvis man selv vælger at bruge ordet 'secret', så skal man altså ikke tude, når der mangler penge på ens konto. Der er tydelig sammenhæng imellem den risiko, man løber, og det, man vil yde - sikkerhed kontra bekvemmelighed.
Hvis min antagelse om, at de 3 millioner er langt overdrevet, så kommer vi endnu længere fra en realistisk chance for at bryde adgangskoderne. Er det realistisk med 7.000 forsøg i sekundet (og det er for en simplere algoritme), er der en faktor ~429 til forskel. Har man en avanceret adgangskode, vil det altså tage næsten 90.000 år at bryde den med én computer. Eller 1 år med 90.000 computere.
Der er en grund til, at der ikke offentliggøres mere end de simple koder. Og når folk så påstår, at deres kode ikke er simpel, men stadig er på listen, er det så forkert, det kan være. Når man får flere millioner Google-resultater på mange af koderne, er de altså simple.
#227
Selvfølgelig bør newz.dk sende en email ud til samtlige ramte brugere, da det komprimerer brugernes sikkerhed, hvis de IKKE gør det. Det er faktisk skandaløst at de her indtil flere dage efter stadig ikke har sendt sådan en mail ud til de ramte brugere.
Jeg bryder mig bestemt ikke om newz.dk's måde at håndtere dette sikkerhedsbrud på. Det er ærgeligt at de er blevet hacked og det kan vel ske (dog helst ikke to gange!), men det mindste man efterfølgende kan gøre er at informere de ramte parter uden ugrundet ophold, sådan at de kan nå at skifte deres passwords på diverse andre tjenester.
Blot fordi du ikke har et personligt problem med dit password er kommet ud, så kan det sagtens tænkes mange andre brugere har. Newz.dk skal måske passe på de ikke kommer i juridisk klemme, hvis en bruger får misbrugt sit password og de ikke har informeret om det tilstrækkeligt og uden ugrundet ophold.
Selvfølgelig bør newz.dk sende en email ud til samtlige ramte brugere, da det komprimerer brugernes sikkerhed, hvis de IKKE gør det. Det er faktisk skandaløst at de her indtil flere dage efter stadig ikke har sendt sådan en mail ud til de ramte brugere.
Jeg bryder mig bestemt ikke om newz.dk's måde at håndtere dette sikkerhedsbrud på. Det er ærgeligt at de er blevet hacked og det kan vel ske (dog helst ikke to gange!), men det mindste man efterfølgende kan gøre er at informere de ramte parter uden ugrundet ophold, sådan at de kan nå at skifte deres passwords på diverse andre tjenester.
Blot fordi du ikke har et personligt problem med dit password er kommet ud, så kan det sagtens tænkes mange andre brugere har. Newz.dk skal måske passe på de ikke kommer i juridisk klemme, hvis en bruger får misbrugt sit password og de ikke har informeret om det tilstrækkeligt og uden ugrundet ophold.
Utroligt at der er nogen som synes den slags er sjovt. Men verden er tilsyneladende fuld af assholes som ikke har andet at give sig til.
#256 : Hvis du bruger det samme password på andre sites er det dit problem - ikke newz's problem. Hvis man for eksempel bruger det samme password til sin homebanking som man bruger i diverse forums på nettet vil jeg påstå at man er meget lemfældig med sin egen sikkerhed.
Mht. at sende en mail til de berørte brugere, så kan du måske have ret. Men du er jo blevet informeret via denne artikkel - For en sikkerheds skyld skal vi vel alle ændre vores passwords.
God jul til jer alle
#256 : Hvis du bruger det samme password på andre sites er det dit problem - ikke newz's problem. Hvis man for eksempel bruger det samme password til sin homebanking som man bruger i diverse forums på nettet vil jeg påstå at man er meget lemfældig med sin egen sikkerhed.
Mht. at sende en mail til de berørte brugere, så kan du måske have ret. Men du er jo blevet informeret via denne artikkel - For en sikkerheds skyld skal vi vel alle ændre vores passwords.
God jul til jer alle
#257: Det er lidt for nemt at feje det væk på den måde.
Jeg mener stadig det absolut mindste Newz.dk burde have gjort, var at sende en intern PM til alle berørte brugere.
Allerhelst så jeg en e-mail sendt til de registrerede email-adresser.
Nogle mener det kan betegnes som spam "fordi man ikke har givet newz.dk lov til at sende mails ud" - men det mener jeg ikke - spam indebærer at der reklameres eller lign. for en side, en service eller et produkt - her er der tale om en relevant sikkerhedsoplysning der er for brugernes eget bedste.
I sidste ende ville Newz.dk nok helst holde dette helt skjult, da det jo unægteligt giver lidt "ridser i lakken", så jeg er da positiv overfor at denne "nyhed" er blevet oprettet.
At vi er mange i denne tråd der har skiftet password pga. denne nyhed er jo bare fint - men der er ca. 5000 på den liste over brudte passwords - der er ikke 5000 der har kommenteret på denne nyhed, så der er en chance for at langt størstedelen af de berørte brugere er uvidende om denne utilgivelige handling fra TGG.
At hack'et ligger 5 måneder tilbage ændrer ikke rigtigt på noget - brugernes passwords er stadig kompromiteret, og det mener jeg de har krav på at blive underrettet om. (Der er jo trods alt mange der ikke skifter passwords overalt hver måned).
Jeg mener stadig det absolut mindste Newz.dk burde have gjort, var at sende en intern PM til alle berørte brugere.
Allerhelst så jeg en e-mail sendt til de registrerede email-adresser.
Nogle mener det kan betegnes som spam "fordi man ikke har givet newz.dk lov til at sende mails ud" - men det mener jeg ikke - spam indebærer at der reklameres eller lign. for en side, en service eller et produkt - her er der tale om en relevant sikkerhedsoplysning der er for brugernes eget bedste.
I sidste ende ville Newz.dk nok helst holde dette helt skjult, da det jo unægteligt giver lidt "ridser i lakken", så jeg er da positiv overfor at denne "nyhed" er blevet oprettet.
At vi er mange i denne tråd der har skiftet password pga. denne nyhed er jo bare fint - men der er ca. 5000 på den liste over brudte passwords - der er ikke 5000 der har kommenteret på denne nyhed, så der er en chance for at langt størstedelen af de berørte brugere er uvidende om denne utilgivelige handling fra TGG.
At hack'et ligger 5 måneder tilbage ændrer ikke rigtigt på noget - brugernes passwords er stadig kompromiteret, og det mener jeg de har krav på at blive underrettet om. (Der er jo trods alt mange der ikke skifter passwords overalt hver måned).
</JULEFERIE>
Det ligger udenfor diskussion at Newz.dk har fejlet i denne sag - men det der virkelig skuffer mig, og sikkert mange andre brugere, er den slående mangel på kommunikation.
Alle brugere fra før 31/7 er potentielt berørte - om man så bruger trash passwords eller ej... ALLE Newz brugere skal skifte password for at være nogenlunde sikre for at have deres login i fred. Derfor: selvfølgelig skulle Newz.dk for længst (så snart man er klar over at databasen er kompromitteret) have haft sendt en mail rundt til brugerne omkring denne uheldige situation - det er da totalt ligemeget om det er 12 eller 32.000 brugere, det er en principsag.
Det er ganske enkelt - god kommunikation er en væsentlig del af sikkerheden. Der er højst sandsynligt stadig folk som har deres password (godt eller ej - det er for så vidt sagen totalt uvedkommende ifht. den manglende information) ude til offentligt skue.
Ganske enkelt og udenfor diskussion - der skal informeres fra centralt hold, direkte til brugerne, før jeg har tillid til etablisamentet igen. Personligt hilser jeg initiativet fra Broedbaek velkommen - det var perfekt at vedkommende informerede de mest berørte brugere når nu Newz.dk ikke viser ansvar.
<JULEFERIE>
Det ligger udenfor diskussion at Newz.dk har fejlet i denne sag - men det der virkelig skuffer mig, og sikkert mange andre brugere, er den slående mangel på kommunikation.
Alle brugere fra før 31/7 er potentielt berørte - om man så bruger trash passwords eller ej... ALLE Newz brugere skal skifte password for at være nogenlunde sikre for at have deres login i fred. Derfor: selvfølgelig skulle Newz.dk for længst (så snart man er klar over at databasen er kompromitteret) have haft sendt en mail rundt til brugerne omkring denne uheldige situation - det er da totalt ligemeget om det er 12 eller 32.000 brugere, det er en principsag.
Det er ganske enkelt - god kommunikation er en væsentlig del af sikkerheden. Der er højst sandsynligt stadig folk som har deres password (godt eller ej - det er for så vidt sagen totalt uvedkommende ifht. den manglende information) ude til offentligt skue.
Ganske enkelt og udenfor diskussion - der skal informeres fra centralt hold, direkte til brugerne, før jeg har tillid til etablisamentet igen. Personligt hilser jeg initiativet fra Broedbaek velkommen - det var perfekt at vedkommende informerede de mest berørte brugere når nu Newz.dk ikke viser ansvar.
<JULEFERIE>
#254 Ikke nødvendigvis. Så længe man ikke venter på svar (flertrådet/ikke blokerende kald) ville det ikke give nogen reel forsinkelse.
#258 Du kan mene hvad du vil. Jeg ville personligt være blevet sur over at newz.dk forstyrer mig midt i jule galskaben, over så ligegyldigt et "problem".
Desuden vil jeg mene at hvis det virkelig var i newz.dk's interesse at fortie denne episode var det okay dumt at lave en artikel om det på forsiden.
#259 Det er dog utroligt.
1. Der er blevet kommunikeret ud fra centralt hold. Eller du gik måske glip af artiklen på forsiden, som du netop har skrevet en kommentar til?
2. Newz.dk opdagede ikke at bruger databasen var blevet hapset for længe siden. Det opdagende de da den blev offentligjort af TGG.
3. Det er ikke ligegyldigt om det er et stærkt eller svagt password. Det er kun svage passwords der er til offentlig skue. Desuden for så vidt folk der her så simpelt et password at hvem som helst der har set Hackers vil kunne gætte det i 4 forsøg, så er det nok rimeligt ligegyldigt om det er til offentlig skue eller ej.
#258 Du kan mene hvad du vil. Jeg ville personligt være blevet sur over at newz.dk forstyrer mig midt i jule galskaben, over så ligegyldigt et "problem".
Desuden vil jeg mene at hvis det virkelig var i newz.dk's interesse at fortie denne episode var det okay dumt at lave en artikel om det på forsiden.
#259 Det er dog utroligt.
1. Der er blevet kommunikeret ud fra centralt hold. Eller du gik måske glip af artiklen på forsiden, som du netop har skrevet en kommentar til?
2. Newz.dk opdagede ikke at bruger databasen var blevet hapset for længe siden. Det opdagende de da den blev offentligjort af TGG.
3. Det er ikke ligegyldigt om det er et stærkt eller svagt password. Det er kun svage passwords der er til offentlig skue. Desuden for så vidt folk der her så simpelt et password at hvem som helst der har set Hackers vil kunne gætte det i 4 forsøg, så er det nok rimeligt ligegyldigt om det er til offentlig skue eller ej.
#246,
dvs. du mener seriøst at newz.dk bør beskyttes mod spam-anklager istedet for at brugerne beskyttes mod konto/password udnyttelse? (også når det er 100% newz.dk skyld det skete)
Give me a break mand. En sådan email-udsendelse vil aldrig kunne blive betegnet som spam og skulle en enkelt newz-bruger være så stupid at anmelde newz.dk for spam, så kan enhver advokat sgu da se at der intet grundlag er for en anmeldelse/sag. Tværtimod er det da at betegne som en service at man lige advarer ens brugere om meget relevante og vigtige nyheder omkring ens sikkerhed.
dvs. du mener seriøst at newz.dk bør beskyttes mod spam-anklager istedet for at brugerne beskyttes mod konto/password udnyttelse? (også når det er 100% newz.dk skyld det skete)
Give me a break mand. En sådan email-udsendelse vil aldrig kunne blive betegnet som spam og skulle en enkelt newz-bruger være så stupid at anmelde newz.dk for spam, så kan enhver advokat sgu da se at der intet grundlag er for en anmeldelse/sag. Tværtimod er det da at betegne som en service at man lige advarer ens brugere om meget relevante og vigtige nyheder omkring ens sikkerhed.
#232
Nu er der altså en fandens stor forskel på at hacke et svagt password hvis du har adgang til hashen, i forhold til bare at have adgang til en funktion der tillader dig at checke et password et par gange i sekundet, og give dig ja eller nej.
Så det er vist relativt irrelevant om folk har svage passwords eller ej. Det vigtigste på websider er, at antal forespørgelser per. sekund imod password databasen er begrænset til, lad os sige 2 per 10 sekunder. Så kan selv et dankort password holde et godt stykke tid.
Nu er der altså en fandens stor forskel på at hacke et svagt password hvis du har adgang til hashen, i forhold til bare at have adgang til en funktion der tillader dig at checke et password et par gange i sekundet, og give dig ja eller nej.
Så det er vist relativt irrelevant om folk har svage passwords eller ej. Det vigtigste på websider er, at antal forespørgelser per. sekund imod password databasen er begrænset til, lad os sige 2 per 10 sekunder. Så kan selv et dankort password holde et godt stykke tid.
Arg jeg opgiver at læse det hele.
#255 De passwords som er offenliggjort virker umiddelbart som de passwords ethvert scriptkiddie program vil efterprøve. Og når man vælger et sådan password, må man ikke græde når man skal ud og ændre det.
Personligt har jeg 5-8 forskellige passwords som har forskellig krypteringsgrad, alt efter hvor sikkert jeg ønsker det. Mit newz password høre absolut til det der er længst nede på listen - og det undre mig at deres script program ikke har fanget det. Det er ikke Supermand - men er nok i samme sikkerhedkategori. Det værste der kan ske er at de går ind og ændre mit tag...
#255 De passwords som er offenliggjort virker umiddelbart som de passwords ethvert scriptkiddie program vil efterprøve. Og når man vælger et sådan password, må man ikke græde når man skal ud og ændre det.
Personligt har jeg 5-8 forskellige passwords som har forskellig krypteringsgrad, alt efter hvor sikkert jeg ønsker det. Mit newz password høre absolut til det der er længst nede på listen - og det undre mig at deres script program ikke har fanget det. Det er ikke Supermand - men er nok i samme sikkerhedkategori. Det værste der kan ske er at de går ind og ændre mit tag...
#255
Du understreger min pointe perfekt, dog vil jeg tilføje at når man skal bryde en kode, som man intet clue har omkring, ved man jo heller ikke hvormange tegn der er tale om!
Så det du siger passer fint ind hvis det er et krav at man skal have min 8 tegn, OG at koden også faktisk er på 8 tegn! hvis bare man så har en kode på 9 tegn, skal man først chekke alle kombinationerne med de 8 tegn før man flytter vidre til at teste med de 9 tegn.
Dog vil jeg også tilføje at selv om det tager 90.000 år i værste fald, kan man jo alligevld godt risikere at ens kode bliver knækket allerede efter 10.000 år, da det jo ikke nødvendigvis er et spørgsmål om at chekke ALLE de mulige kombinationer, men kun de mulige kombinationer der er indtil man har ramt rigtigt...
Du understreger min pointe perfekt, dog vil jeg tilføje at når man skal bryde en kode, som man intet clue har omkring, ved man jo heller ikke hvormange tegn der er tale om!
Så det du siger passer fint ind hvis det er et krav at man skal have min 8 tegn, OG at koden også faktisk er på 8 tegn! hvis bare man så har en kode på 9 tegn, skal man først chekke alle kombinationerne med de 8 tegn før man flytter vidre til at teste med de 9 tegn.
Dog vil jeg også tilføje at selv om det tager 90.000 år i værste fald, kan man jo alligevld godt risikere at ens kode bliver knækket allerede efter 10.000 år, da det jo ikke nødvendigvis er et spørgsmål om at chekke ALLE de mulige kombinationer, men kun de mulige kombinationer der er indtil man har ramt rigtigt...
Hvis min. 8 tegn bliver et krav, så kan man i forbindelse med en bruteforce jo også udelukke alle kombinationer bestående af 1-7 tegn.
260: Flameanden
Hvad er det du finder så utroligt? At andre har modstridende holdninger til din egen?
1. Min mening er at der skulle være sendt en direkte mail til brugerne (alle Newz.dk brugere fra til og med 31/7). En nyhed på sitet er jo ikke aktiv kommunikation ifht. berørte brugere - du kan ikke forvente at brugerne tjekker forsiden (eller RSS feeds for den sags skyld) hver dag, en mail er direkte kommunikation og trods alt mere personlig.
2. Det har jeg dælme heller ikke sagt - læs evt. sætningen igen.
3. Jo, det er netop ligegyldigt ifht. kommunikationen! Jeg forholder mig udelukkende til det kommunikationsbrist vi har været vidne til. Om det er korte eller lange, simple eller komplekse passwords er totalt ligegyldigt - informationen har manglet uanset hvad. Og husk på, at der kan være flere kompromitterede passwords end de offenliggjorte - så kommunikationen skal ikke kun begrænse sig til dem!
Det skal så siges at Newz tilsynelande er enige i at kommunikationen har manglet idet de for ½ times tid siden sendte info til folk (om det er alle eller kun de offentliggjorte ved jeg ikke - personligt er jeg som nævnt af den holdning at ALLE skal informeres).
Citat fra mail:
"Jeg skal undskylde den sene udmeldelse fra vores/min side, der skete en kombination af en fejl med et mail-program og efterfølgende ingen adgang til computeren der skulle sende mailen, defor kommer den først nu".
En holdning er en holdning - og jeg er klar over at der er flere af den slags i verden - der skal dog væsentlige argumenter til at ændre min opfattelse i denne sag. Nok om den sag herfra.
Hvad er det du finder så utroligt? At andre har modstridende holdninger til din egen?
1. Min mening er at der skulle være sendt en direkte mail til brugerne (alle Newz.dk brugere fra til og med 31/7). En nyhed på sitet er jo ikke aktiv kommunikation ifht. berørte brugere - du kan ikke forvente at brugerne tjekker forsiden (eller RSS feeds for den sags skyld) hver dag, en mail er direkte kommunikation og trods alt mere personlig.
2. Det har jeg dælme heller ikke sagt - læs evt. sætningen igen.
3. Jo, det er netop ligegyldigt ifht. kommunikationen! Jeg forholder mig udelukkende til det kommunikationsbrist vi har været vidne til. Om det er korte eller lange, simple eller komplekse passwords er totalt ligegyldigt - informationen har manglet uanset hvad. Og husk på, at der kan være flere kompromitterede passwords end de offenliggjorte - så kommunikationen skal ikke kun begrænse sig til dem!
Det skal så siges at Newz tilsynelande er enige i at kommunikationen har manglet idet de for ½ times tid siden sendte info til folk (om det er alle eller kun de offentliggjorte ved jeg ikke - personligt er jeg som nævnt af den holdning at ALLE skal informeres).
Citat fra mail:
"Jeg skal undskylde den sene udmeldelse fra vores/min side, der skete en kombination af en fejl med et mail-program og efterfølgende ingen adgang til computeren der skulle sende mailen, defor kommer den først nu".
En holdning er en holdning - og jeg er klar over at der er flere af den slags i verden - der skal dog væsentlige argumenter til at ændre min opfattelse i denne sag. Nok om den sag herfra.
Der har været en del kritik af at der ikke er blevet sendt en mail ud til alle brugere, især de som var på listen. Den tager jeg på min kappe. Jeg satte en computer til at afsende mails til alle, den 25. om formiddagen. Der var en del mails den skulle sende, så jeg lod computeren stå og arbejde på sagen, for så at tage af sted til et julearrangement.
Desværre kiksede afsendelsen, programmet crashede, og jeg kom ikke til computeren igen før end i dag. Nu er der sendt mail til alle på listen ligesom alle andre brugere også vil få en mail omkring sagen (de bliver sendt nu).
Desværre kiksede afsendelsen, programmet crashede, og jeg kom ikke til computeren igen før end i dag. Nu er der sendt mail til alle på listen ligesom alle andre brugere også vil få en mail omkring sagen (de bliver sendt nu).
#247 wikipedia da.
Passwords can be found by using so-called brute force password generators. In the simplest case, these are small programs that simply try all possible combinations. A 3 GHz processor can generate approximately 3 million passwords a second. A ten letter password such as '4pRte!ai@3', because there are about 95 keys available, is one of 9510 possibilities, which would take approximately 632,860 years to be found assuming purely random possible password generation. A password containing fifteen random upper-case letters would be just as safe (provided that the system in question was case-sensitive and allowed for the use of symbols) and might be easier for some people to remember and type.
http://en.wikipedia.org/wiki/Password_strength
Passwords can be found by using so-called brute force password generators. In the simplest case, these are small programs that simply try all possible combinations. A 3 GHz processor can generate approximately 3 million passwords a second. A ten letter password such as '4pRte!ai@3', because there are about 95 keys available, is one of 9510 possibilities, which would take approximately 632,860 years to be found assuming purely random possible password generation. A password containing fifteen random upper-case letters would be just as safe (provided that the system in question was case-sensitive and allowed for the use of symbols) and might be easier for some people to remember and type.
http://en.wikipedia.org/wiki/Password_strength
#255 Herunder listet de tastaturtryk, der er mulige på mit tastatur:
½123456789
0+´§!"#¤%&
/()=?`£${[
]}|qwertyu
iopå¨QWERT
YUIOPÅ^asd
fghjklæø'A
SDFGHJKLÆØ
*<zxcvbnm,
.->ZXCVBNM
;:_~€ëüïöä
ñêûîôâéíóú
á\
123 tegn i alt
med 7 tegn findes ialt 429.418.806.789.039
kombinationer eller ca. 429 billioner muligheder (4,29x10^14)
Med 8 tegn ALENE findes ialt 5,24x10^16 kombinationer.
Set i lyset af forskellen mellem om der bruges nøjagtigt 8 tegn eller om der bruges op til 8 tegn (0,04*10^16), så vil jeg tro at den sparede computertid ved at frasortere de første 7 tegn er minimal.
Hvis der kan parses 100.000 passwords i sekundet, så vil det med nøjagtigt 8 tegn tage 16.612 år at afprøve alle kombinationer. Hvis vi inkluderer de første 7 tegnmuligheder, så vil det "kun" tage yderligere 136 år...
Prøv så at forestille dig scenariet ved 9 tegn!
Jeg tror derfor ikke, at det er en sikkerhedsrisiko at kræve minimum 8 tegn - faktisk sorterer man de meget ringe passwords fra og opnår bedre sikkerhed.
½123456789
0+´§!"#¤%&
/()=?`£${[
]}|qwertyu
iopå¨QWERT
YUIOPÅ^asd
fghjklæø'A
SDFGHJKLÆØ
*<zxcvbnm,
.->ZXCVBNM
;:_~€ëüïöä
ñêûîôâéíóú
á\
123 tegn i alt
med 7 tegn findes ialt 429.418.806.789.039
kombinationer eller ca. 429 billioner muligheder (4,29x10^14)
Med 8 tegn ALENE findes ialt 5,24x10^16 kombinationer.
Set i lyset af forskellen mellem om der bruges nøjagtigt 8 tegn eller om der bruges op til 8 tegn (0,04*10^16), så vil jeg tro at den sparede computertid ved at frasortere de første 7 tegn er minimal.
Hvis der kan parses 100.000 passwords i sekundet, så vil det med nøjagtigt 8 tegn tage 16.612 år at afprøve alle kombinationer. Hvis vi inkluderer de første 7 tegnmuligheder, så vil det "kun" tage yderligere 136 år...
Prøv så at forestille dig scenariet ved 9 tegn!
Jeg tror derfor ikke, at det er en sikkerhedsrisiko at kræve minimum 8 tegn - faktisk sorterer man de meget ringe passwords fra og opnår bedre sikkerhed.
1. Shit happens, what doesnt kill you makes you stronger.
2. Jeg er ikke selv på listen, men til dem af jer der gnækker over passwords som qwerty, det er i det mindste, sandsynligvist, IKKE det password de bruger i netbank / email mv.. jeg praktiserer selv flere niveauer af passwords, et slags password til online foras som denne, en anden til webmail en tredie til netbank og fjerde til osv ... af stigende kompleksitet, og jeg suspekter at qwerty folket gør det samme, NETOP herfor :)
2. Jeg er ikke selv på listen, men til dem af jer der gnækker over passwords som qwerty, det er i det mindste, sandsynligvist, IKKE det password de bruger i netbank / email mv.. jeg praktiserer selv flere niveauer af passwords, et slags password til online foras som denne, en anden til webmail en tredie til netbank og fjerde til osv ... af stigende kompleksitet, og jeg suspekter at qwerty folket gør det samme, NETOP herfor :)
Surt at det skulle ske.
Jeg er på listen og vælger at slette min bruger fremfor at skifte kodeord.
Om det er dårlig sikkerhed eller dårlig administration tør jeg ikke sige, men jeg skal bare ikke have en bruger her igen.
Jeg er på listen og vælger at slette min bruger fremfor at skifte kodeord.
Security is only as good as the practices of the users who implement it.
Om det er dårlig sikkerhed eller dårlig administration tør jeg ikke sige, men jeg skal bare ikke have en bruger her igen.
#274 Well, der var ikke vild jubel (eller bare nogenlunde tilslutning) til mit råd #1 Genbrug aldrig dit kodeord, - jeg prøver alligevel at fortsætte
Råd #2 Lad en "svært-knækkeligt" kodeord.
Et kodeord der er svært at knække vil
1) Have en vis længde (f.eks. min 8 tegn)
2) Have tegn fra flere klasser (små bogstaver, store bogstaver, tal og special tegn)
Derudover vil det være ønskværdigt at det er let at huske.
F.eks. kan du have kodeordet
msdL=9å!
Det er 8 tegn og har bogstaver fra flere klasser. Men kan man huske det?
Ja da! For det er en forkortelse.
Det der står er:
min søde datter Lisbeth er 9 år!
En anden mulighed kunne være F@!dlNfd!s
Fuck @! [Sådan nogle bandeordstegn] de lamme Newz for deres (! betyder ikke - her læses det som manglende) sikkerhed
Bare husk at det skal være sånogenlunde ligetil for dig at huske, - have en del tegn (gerne mindst 8) og have "blandede" tegn (i hvert fald tegn fra alle 4 klasser: små bogstaver, store bogstaver, tal og øvrige tegn).
Hvis man vil gøre det vanskelligere kan man skrive nogle af bogstaverne med internationale tegn. Ulempen er bare at når man skal bruge en anden computer så har den måske ikke lige installeret de samme keyboard layouts. (Min har dansk (æøå, - surprise), russisk (фисву) og rumænsk (med specialtegnene şţâă og î). Men som sagt, - det kan godt gå hen og blive træls. Men har du alligevel installeret andre keyboard layouts og ved du at du kun skal logge ind hjemmefra, - så er det da oplagt.
Råd #2 Lad en "svært-knækkeligt" kodeord.
Et kodeord der er svært at knække vil
1) Have en vis længde (f.eks. min 8 tegn)
2) Have tegn fra flere klasser (små bogstaver, store bogstaver, tal og special tegn)
Derudover vil det være ønskværdigt at det er let at huske.
F.eks. kan du have kodeordet
msdL=9å!
Det er 8 tegn og har bogstaver fra flere klasser. Men kan man huske det?
Ja da! For det er en forkortelse.
Det der står er:
min søde datter Lisbeth er 9 år!
En anden mulighed kunne være F@!dlNfd!s
Fuck @! [Sådan nogle bandeordstegn] de lamme Newz for deres (! betyder ikke - her læses det som manglende) sikkerhed
Bare husk at det skal være sånogenlunde ligetil for dig at huske, - have en del tegn (gerne mindst 8) og have "blandede" tegn (i hvert fald tegn fra alle 4 klasser: små bogstaver, store bogstaver, tal og øvrige tegn).
Hvis man vil gøre det vanskelligere kan man skrive nogle af bogstaverne med internationale tegn. Ulempen er bare at når man skal bruge en anden computer så har den måske ikke lige installeret de samme keyboard layouts. (Min har dansk (æøå, - surprise), russisk (фисву) og rumænsk (med specialtegnene şţâă og î). Men som sagt, - det kan godt gå hen og blive træls. Men har du alligevel installeret andre keyboard layouts og ved du at du kun skal logge ind hjemmefra, - så er det da oplagt.
#247:
Rainbowtables er som bekendt et time/space-tradeoff, så det kommer da så sandelig an på hvormeget plads man har sat af til sine rainbowtables. Hvis man sætter nok plads af til sine rainbowtables, er kæderne kortere og man kan derfor hurtigere gennemløbe dem.
passcracking.com har udover rainbowtables også en database med user-supplied passwords, som endnu ikke står i deres rainbowtables. Du kan jo prøve at se, om dit eget password kan findes via det site. Hvis du ikke ved hvad sha-hashen af dit password er, kan du jo prøve med f42e8dcbe0fe33d39e2bd974b7add7066370bef6 eller 397c65e330e73148090ef45405f2f6e81bf21dee.
Hvem snakker om "over nettet"? TGG havde fået fat i de hashede passwords, så de i fred og ro har kunne lege med dem derhjemme.
Og med rainbowtables kan man jo i mange tilfælge slipper for bruteforce...
Jeg er 100% sikker på at du ALDRIG kommer i nærheden af det tempo, men noget der bare minder om en P4. end ikke med Regnbuetabeller!
Rainbowtables er som bekendt et time/space-tradeoff, så det kommer da så sandelig an på hvormeget plads man har sat af til sine rainbowtables. Hvis man sætter nok plads af til sine rainbowtables, er kæderne kortere og man kan derfor hurtigere gennemløbe dem.
passcracking.com har udover rainbowtables også en database med user-supplied passwords, som endnu ikke står i deres rainbowtables. Du kan jo prøve at se, om dit eget password kan findes via det site. Hvis du ikke ved hvad sha-hashen af dit password er, kan du jo prøve med f42e8dcbe0fe33d39e2bd974b7add7066370bef6 eller 397c65e330e73148090ef45405f2f6e81bf21dee.
Men jeg vil da meget gerne se noget dokumentation på det, et normalt bruteforce over nettet når sjældent op på 30 trys/sek.
Hvem snakker om "over nettet"? TGG havde fået fat i de hashede passwords, så de i fred og ro har kunne lege med dem derhjemme.
Og med rainbowtables kan man jo i mange tilfælge slipper for bruteforce...
Gudfader. Initiate state panic, why don't you? - Det var et gammeldags hack. Af den slags der sker et par hundrede millioner af om dagen - og det på alle platforme, uanset om det er Linux, Unix, Windows, eller hvad lyd farven har idag.
Den lille dreng, der har lavet dette hack er dygtig. Ikke dygtig nok til at få et job i Silicon Valley, for så skulle han nok lave noget andet end barnepjat og bruge sådan nogle fantastiske nydanske ord som "loldongs".
Newz.dk lavede et par brølere der faldt sammen, hvilket de har indrømmet. Dette site er ikke et sted du lægger dine statshemmeligheder eller en portal-løsning til verdensbanken - så man må nok tilgive at de stakkels underbetalte mennesker, der arbejder så dedikeret på det, giver det så megen sikkerhed, der er råd og tid til. Det betyder det er nok til LANGT de fleste angreb (som der med garanti er MANGE af), men ikke nok til dem som har gjort det til en beskæftigelse, at være social taber, der ødelægger istedet for at bygge op. Hacking er en fantastisk ting at være god til, hvis man bruger det konstruktivt, og til fælles bedste. Beklageligvis ikke den motivation en stor del af hackerne har - i særdeleshed den yngre del.
Jeg ville heller ikke bruge mine bedste passwords på min konto til Newz.dk ligeså lidt som jeg ville bruge dem på andre community based news-sites og deslige. Alt kan hackes - nogle ting mere end andre. Newz gør det godt, og at blive hacket såvidt jeg ved en enkelt gang i deres løbetid, med små tudefjæs, der stamper i jorden og vræler når de bliver banned for at opføre sig dårligt, og ikke kan finde på andet at give sig til, det er sgu ikke så dårligt endda.
Giv dem ros for deres arbejde, at klap i nakken for at have trådt i spinaten, lad knægten fortsætte med at være en social taber som vi gladeligt kan ignorere, skift vores adgangskoder og lad os fortsætte med at nyde vores højtider.
Glædelig jul og godt nytår drenge og piger.
Den lille dreng, der har lavet dette hack er dygtig. Ikke dygtig nok til at få et job i Silicon Valley, for så skulle han nok lave noget andet end barnepjat og bruge sådan nogle fantastiske nydanske ord som "loldongs".
Newz.dk lavede et par brølere der faldt sammen, hvilket de har indrømmet. Dette site er ikke et sted du lægger dine statshemmeligheder eller en portal-løsning til verdensbanken - så man må nok tilgive at de stakkels underbetalte mennesker, der arbejder så dedikeret på det, giver det så megen sikkerhed, der er råd og tid til. Det betyder det er nok til LANGT de fleste angreb (som der med garanti er MANGE af), men ikke nok til dem som har gjort det til en beskæftigelse, at være social taber, der ødelægger istedet for at bygge op. Hacking er en fantastisk ting at være god til, hvis man bruger det konstruktivt, og til fælles bedste. Beklageligvis ikke den motivation en stor del af hackerne har - i særdeleshed den yngre del.
Jeg ville heller ikke bruge mine bedste passwords på min konto til Newz.dk ligeså lidt som jeg ville bruge dem på andre community based news-sites og deslige. Alt kan hackes - nogle ting mere end andre. Newz gør det godt, og at blive hacket såvidt jeg ved en enkelt gang i deres løbetid, med små tudefjæs, der stamper i jorden og vræler når de bliver banned for at opføre sig dårligt, og ikke kan finde på andet at give sig til, det er sgu ikke så dårligt endda.
Giv dem ros for deres arbejde, at klap i nakken for at have trådt i spinaten, lad knægten fortsætte med at være en social taber som vi gladeligt kan ignorere, skift vores adgangskoder og lad os fortsætte med at nyde vores højtider.
Glædelig jul og godt nytår drenge og piger.
Well er jeg som den eneste så glad for jeg bruger forskellige passwords til forskellige sider?
Eller er jeg en af de få der bruger lette passwords til småsider jeg besøger jævnligt som ikke har relevans for min omgang på nettet og hårdere passwords til de mere hardcore sider?
anyways, nu skal jeg vidst have skiftet password på de steder jeg kan huske jeg har brugt den her som standard... dvs.. ofir.dk, jubii.dk, komogvind.dk etc ^^
Ikke det helt vilde personlige register de får fat i hos mig :P
Eller er jeg en af de få der bruger lette passwords til småsider jeg besøger jævnligt som ikke har relevans for min omgang på nettet og hårdere passwords til de mere hardcore sider?
anyways, nu skal jeg vidst have skiftet password på de steder jeg kan huske jeg har brugt den her som standard... dvs.. ofir.dk, jubii.dk, komogvind.dk etc ^^
Ikke det helt vilde personlige register de får fat i hos mig :P
#268
Fik jeres mail kl 17:34 og 19:17.
Det jeg dog synes var mest relevant i mailen var følgende:
'Da listen indeholder brugernavn, ip-adresse, e-mail-adresse og adgangskode, og det er lykkedes for vedkommende der stjal listen, at knække de svageste adgangskoder, vil vi opfordre dig til at ændre din adgangskode på newz.dk, og andre steder du har anvendt den samme kode. For en sikkerhedsskyld bør du også gøre dette selvom du har haft en stærk adgangskode.[/'
'Vi har fundet ud af hvordan det er sket og taget forholdsregler for at det ikke kan ske igen.'
Er i nu sikker på at i har fundet ud af dette?
I vidste i havde indbrud den 31 juni, men kunne ikke spore at noget var stjålet, før tgg oplyste dette.
Jeg har som bruger meget svært ved at stole på sådan en påstand, når historien her, jo tydeligtvis beviser det modsatte.
Fik jeres mail kl 17:34 og 19:17.
Det jeg dog synes var mest relevant i mailen var følgende:
'Da listen indeholder brugernavn, ip-adresse, e-mail-adresse og adgangskode, og det er lykkedes for vedkommende der stjal listen, at knække de svageste adgangskoder, vil vi opfordre dig til at ændre din adgangskode på newz.dk, og andre steder du har anvendt den samme kode. For en sikkerhedsskyld bør du også gøre dette selvom du har haft en stærk adgangskode.[/'
'Vi har fundet ud af hvordan det er sket og taget forholdsregler for at det ikke kan ske igen.'
Er i nu sikker på at i har fundet ud af dette?
I vidste i havde indbrud den 31 juni, men kunne ikke spore at noget var stjålet, før tgg oplyste dette.
Jeg har som bruger meget svært ved at stole på sådan en påstand, når historien her, jo tydeligtvis beviser det modsatte.
#278
Hvis du begyndte at læse igennem var det et stykke banner der lagde for lang tid siden (vidst sidste design) som var skyld i det (så vidt jeg har forstået).
Jeg fandt ihvertfald ud af det ved at LÆSE diskussionen her igennem.
Nok bare mig der er synsk eller keder mig for meget ^^
Hvis du begyndte at læse igennem var det et stykke banner der lagde for lang tid siden (vidst sidste design) som var skyld i det (så vidt jeg har forstået).
Jeg fandt ihvertfald ud af det ved at LÆSE diskussionen her igennem.
Nok bare mig der er synsk eller keder mig for meget ^^
#279
Hvis DU nu læser det igennem, kan du se at det var en del af deres banner system som var hullet som en si - hvor brugerprofilen pludselig lå til offentlig skue og downloads.
På trods af dette, er det ikke lykes for newz.dk staff, at tjekke html log filen, for at se hvem der har haft adgang til denne fil, og derfor står vi idag 5mdr efter, med en brugerliste der er blotlagt - og har været det i 5mdr.
Kan godt være det er mig der er synsk, men jeg synes altså man bør gør noget ved fejlen når den sker, og ikke 5mdr efter.
Hvis DU nu læser det igennem, kan du se at det var en del af deres banner system som var hullet som en si - hvor brugerprofilen pludselig lå til offentlig skue og downloads.
På trods af dette, er det ikke lykes for newz.dk staff, at tjekke html log filen, for at se hvem der har haft adgang til denne fil, og derfor står vi idag 5mdr efter, med en brugerliste der er blotlagt - og har været det i 5mdr.
Kan godt være det er mig der er synsk, men jeg synes altså man bør gør noget ved fejlen når den sker, og ikke 5mdr efter.
#281 Har du også fået taget din steam account ???
Jeg sidder netop nu og forsøger at finde ud af hvad der er galt med min. Venter på svar fra Steam. Men ffs, de kan skuda ikke have tjekket 5000 mail-adresser for at finde steam accounts :S
Har du fået slettet nogle mails?
Jeg sidder netop nu og forsøger at finde ud af hvad der er galt med min. Venter på svar fra Steam. Men ffs, de kan skuda ikke have tjekket 5000 mail-adresser for at finde steam accounts :S
Har du fået slettet nogle mails?
Wee... har lige fundet min bruger igen :P Kunne hverken huske brugernavn eller password. Så da jeg så nyheden første dag, søgte jeg på et muligt brugernavn, password, samt email. Men fandt intet :P. Og har lige tjekket igen, og er der ikke.
Jeg brugte enda kun et pass der er opbygget af 3 letters, 2 numbers, 3 letters :P self er alle numre, og bogstaver helt random.
Men det er sikkert cracket. Har selv prøvet at cracke mit pass, med rainbow tables, og det tog 1,5 sekunder :S
Men vi må da håbe de bliver fanget, og anklaget for alle de ting de har lavet :P
Jeg brugte enda kun et pass der er opbygget af 3 letters, 2 numbers, 3 letters :P self er alle numre, og bogstaver helt random.
Men det er sikkert cracket. Har selv prøvet at cracke mit pass, med rainbow tables, og det tog 1,5 sekunder :S
Men vi må da håbe de bliver fanget, og anklaget for alle de ting de har lavet :P
jeg har fået en mail, og er godt træt af det.
Jeg har ændret alle mine koder nu, på diverse sites, OG DE VIGTIGE SITES!!
Men pga det her, vælger jeg at slette min bruger herinde, det er bare ikke godt nok, jeg finder mig ikke i det.
Bye
Jeg har ændret alle mine koder nu, på diverse sites, OG DE VIGTIGE SITES!!
Men pga det her, vælger jeg at slette min bruger herinde, det er bare ikke godt nok, jeg finder mig ikke i det.
Bye
Christ, hvor er det dog utroligt hvordan folk kan græde. Hvis i vil være 100% sikre, så hold jer fra nettet. Det er muligt at der er blevet lavet en fejl eller flere, men så længe det ikke er værre end det er, så er der ingen grund til det tuderi.
Jeg vil ikke engang gå igang med standard password politik da der allerede er så mange andre der har været inde på det.
#281 og 282.
Det beder i da nærmest også selv om når i bruger det samme password på newz.dk som til noget i har betalt for. Det er da common sense, troede jeg, at bruge et lidt mere komplekst password til ting/steder der har bare en smule værdi.
Man kan da håbe på at nogle folk tænker sig om næste gang de beslutter sig for at bruge "indsæt password her" til 100 forskellige steder"ting, hvis nogle af disse har værdi, fx butikskonti eller webbank.
Jeg vil ikke engang gå igang med standard password politik da der allerede er så mange andre der har været inde på det.
#281 og 282.
Det beder i da nærmest også selv om når i bruger det samme password på newz.dk som til noget i har betalt for. Det er da common sense, troede jeg, at bruge et lidt mere komplekst password til ting/steder der har bare en smule værdi.
Man kan da håbe på at nogle folk tænker sig om næste gang de beslutter sig for at bruge "indsæt password her" til 100 forskellige steder"ting, hvis nogle af disse har værdi, fx butikskonti eller webbank.
#287 Ud fra tidligere erfaringer med Steam crewet, så er de til at tale med. Hvis du har din mail og den key du i tidernes morgen brugte til at aktivere den, så får du din konto tilbage ASAP da du så må være den rigtige ejer. Det er i hvert fald sådan jeg har oplevet det og det er der tilsyneladende også andre der har :)
http://newz.dk/forum/support/kan-ikke-retrieve-en-...
http://newz.dk/forum/support/kan-ikke-retrieve-en-...
#288
Jeg har ikke nogen aktiveringskode. Jeg ved ikke om jeg nogensinde har haft en, men den er i hvert fald væk nu. Jeg har derimod mail-kvitteringer for 2 af de spil jeg har købt. Hvor de andre er, ved jeg ikke. Jeg har ikke selv slettet dem. Man kunne godt forstille sig, de folk her, har slettet alle de mails de selv kunne bruge til noget.
Jeg kan ikke huske alle de mails jeg har haft liggende, men gudskelov, så er det min useriøse mail-adresse. Havde de fået min seriøse mail-adresse var jeg f***ed !!!
Jeg har ikke nogen aktiveringskode. Jeg ved ikke om jeg nogensinde har haft en, men den er i hvert fald væk nu. Jeg har derimod mail-kvitteringer for 2 af de spil jeg har købt. Hvor de andre er, ved jeg ikke. Jeg har ikke selv slettet dem. Man kunne godt forstille sig, de folk her, har slettet alle de mails de selv kunne bruge til noget.
Jeg kan ikke huske alle de mails jeg har haft liggende, men gudskelov, så er det min useriøse mail-adresse. Havde de fået min seriøse mail-adresse var jeg f***ed !!!
Selvfølgelig skal Newz ha' skæld ud for denne bommert; men jeg synes folk glemmer almindelig sund fornuft: hvad er vigtigheden af password på Newz? At forhindre folk i at skrive på forum under andres navn - derudover intet.
Ergo er Newz (eller passwordet hos Newz) en trivialitet. Til Newz og andre komplet uvigtige sites bruger jeg da ganske uden bekymring et svagt password: almindelig sund fornuft dikterer, at det alligevel ikke er en fis værd. Almindelig sund fornuft siger, at uden https er et 'svagt' eller et 'hårdt' password hos Newz stort set lige lidt værd!
Til vigtige sites bruger jeg sikrere passwords. Til de helt vigtige passwords er det med hele svineriet af store og små tegn, tal og specialtegn. Altså: SUND FORNUFT.
Skal jeg klantre Newz lidt ekstra er det faktisk, at de opfordrer folk til at skifte til et 'sikkert' password. NEJ! Newz er ikke et vigtigt site og skal end ikke forestille sig at være det. Opfordringen burde gå på at skifte til et password, som ikke bruges på vigtige sites!
Ergo er Newz (eller passwordet hos Newz) en trivialitet. Til Newz og andre komplet uvigtige sites bruger jeg da ganske uden bekymring et svagt password: almindelig sund fornuft dikterer, at det alligevel ikke er en fis værd. Almindelig sund fornuft siger, at uden https er et 'svagt' eller et 'hårdt' password hos Newz stort set lige lidt værd!
Til vigtige sites bruger jeg sikrere passwords. Til de helt vigtige passwords er det med hele svineriet af store og små tegn, tal og specialtegn. Altså: SUND FORNUFT.
Skal jeg klantre Newz lidt ekstra er det faktisk, at de opfordrer folk til at skifte til et 'sikkert' password. NEJ! Newz er ikke et vigtigt site og skal end ikke forestille sig at være det. Opfordringen burde gå på at skifte til et password, som ikke bruges på vigtige sites!
Må indrømme at jeg er på listen, netop fordi jeg ikke gad vælge et specielt password hertil. (Er skiftet til lidt sikrere).
Anyway med chance for at gentage de mange ovenstående så er jeg overrasket over at passwords ikke er gemt med både salt og peber her på siden, kræver ikke så meget ekstra, og gør i alt fald hash tabeller ubrugelige medmindre det er en bestemt person man vil have password fra.
Igen har ikke læst alt, men vil lige hurtigt prøve at forklare forskellen, hvis nogen allerede har gjort sig ulejligheden, sorry.
Plain Text password: Dit password er gemt direkte, enhver med adgang til filen kan se det.
Krypteret Password: Hvis der er adgang til kildekoden, så kan denne koden findes og password køres tilbage, er ikke meget sikrere en plain text med hensyn til sikkerhed om dit password kan findes.
Hashet: Dit password er gemt i hash format, dvs det bliver omdannet på en måde så det ikke direkte kan føres tilbage, men et bestemt password giver et bestemt hash ... dvs mange ord kan danne den samme hash, og ethvert af disse ville kunne låse det samme op. Sandsynligheden for sammenfald er så minimal det anses som sikkert.
En hash værdi lavet af en såkaldt sikker hash algoritme kan ikke tilbageføres, men der kan stadig prøves på disse ved at genere hash værdien for a ... b ... c, etz.
Ulempen er, at der er meget få gode Hash funktioner, og hvis disse anvendes, så er der pregenereret store lister hvor standard password kan tilbageføres hurtigt og simpelt (skriv hash værdi ind, og hvis der kendes en kode, så vises denne). Såkaldt sikre password der er lange og komplekse nok er sikre stadig her.
Hashet med Salt: Samme som ovenstående, men inden password bliver lavet om, så tilføjes et fast stykke kode til alle. Dette ødelægger muligheden for pregenererede lister, men fra dataene er opsnappet kan nye lister dannes, og password kan tilbageføres. Dette ser ud til at det var måden passwordene var gemt på her. Dvs man kan dekode password på tværs af alle brugere i et hug, dog starter man fra bunden, des længere tid, des mere komplekse password kan findes.
Hashet med Salt + Peber: Her gøres det samme som ovenstående Salt, men yderligere tilføjes der en unik værdi til hver brugers password inden den hashes. Igen kan password tilbageføres ved trial metoden som ovenfor beskrevet, men nu istedet for alle brugere er ens, skal der testes på hvert enkelt password, så enten skal en bruger være meget interesant for at der skal søges på denne, eller de skal bruge et elendigt password. Dette burde være det minimale i sikkerhed i dag efter min mening
Anyway med chance for at gentage de mange ovenstående så er jeg overrasket over at passwords ikke er gemt med både salt og peber her på siden, kræver ikke så meget ekstra, og gør i alt fald hash tabeller ubrugelige medmindre det er en bestemt person man vil have password fra.
Igen har ikke læst alt, men vil lige hurtigt prøve at forklare forskellen, hvis nogen allerede har gjort sig ulejligheden, sorry.
Plain Text password: Dit password er gemt direkte, enhver med adgang til filen kan se det.
Krypteret Password: Hvis der er adgang til kildekoden, så kan denne koden findes og password køres tilbage, er ikke meget sikrere en plain text med hensyn til sikkerhed om dit password kan findes.
Hashet: Dit password er gemt i hash format, dvs det bliver omdannet på en måde så det ikke direkte kan føres tilbage, men et bestemt password giver et bestemt hash ... dvs mange ord kan danne den samme hash, og ethvert af disse ville kunne låse det samme op. Sandsynligheden for sammenfald er så minimal det anses som sikkert.
En hash værdi lavet af en såkaldt sikker hash algoritme kan ikke tilbageføres, men der kan stadig prøves på disse ved at genere hash værdien for a ... b ... c, etz.
Ulempen er, at der er meget få gode Hash funktioner, og hvis disse anvendes, så er der pregenereret store lister hvor standard password kan tilbageføres hurtigt og simpelt (skriv hash værdi ind, og hvis der kendes en kode, så vises denne). Såkaldt sikre password der er lange og komplekse nok er sikre stadig her.
Hashet med Salt: Samme som ovenstående, men inden password bliver lavet om, så tilføjes et fast stykke kode til alle. Dette ødelægger muligheden for pregenererede lister, men fra dataene er opsnappet kan nye lister dannes, og password kan tilbageføres. Dette ser ud til at det var måden passwordene var gemt på her. Dvs man kan dekode password på tværs af alle brugere i et hug, dog starter man fra bunden, des længere tid, des mere komplekse password kan findes.
Hashet med Salt + Peber: Her gøres det samme som ovenstående Salt, men yderligere tilføjes der en unik værdi til hver brugers password inden den hashes. Igen kan password tilbageføres ved trial metoden som ovenfor beskrevet, men nu istedet for alle brugere er ens, skal der testes på hvert enkelt password, så enten skal en bruger være meget interesant for at der skal søges på denne, eller de skal bruge et elendigt password. Dette burde være det minimale i sikkerhed i dag efter min mening
#289 har fat i den lange ende mht. mail-adressen. Inden diskussionen om kodeordslængder og krypteringsalgoritmer kammer helt over (okay - det er så ca. 300 posts siden) vil jeg stilfærdigt anbefale brugen af brug-og-smid-væk e-mail-adresser, som for min egen dels vedkommende gør, at jeg ikke behøver at værdige de aktuelle hærværksfolk mere opmærksomhed end det skuldertræk de (ikke engang) fortjener. Newz.dk er hverken det første eller sidste site, der får stjålet sin brugerliste og hverken det første eller sidste med mindre-end-optimal beskyttelse af adgangskoder. Og selvom de havde været hashet og overdrysset med hele Santa Maria's krydderisortiment, ville hærværksfolkene alligevel have fået fingre i jeres identiter.
For dem af jer, der ikke ved det: sneakemail.com er som at have en vilkårligt stor afrivningsblok af anonymiserede mail-aliaser, så du ikke behøver at registrere den samme e-mail-identitet mere end ét sted. Det tager kun ganske få sekunder at oprette et nyt. Det er super-enkelt og bliver hurtigt ren rutine ifm. registreringer. Prøv det. :-)
For dem af jer, der ikke ved det: sneakemail.com er som at have en vilkårligt stor afrivningsblok af anonymiserede mail-aliaser, så du ikke behøver at registrere den samme e-mail-identitet mere end ét sted. Det tager kun ganske få sekunder at oprette et nyt. Det er super-enkelt og bliver hurtigt ren rutine ifm. registreringer. Prøv det. :-)
#266 Nej det er nu ret almindeligt at folk har forskellige holdninger end min. Det opfatter jeg som noget meget positivt.
1. Hvis jeg ikke kan forvente at folk kontrollerer forsiden og/eller RSS feed, hvorfor skal jeg så forvente at de kontrollerer deres e-mail adresse, som i mange tilfælde formodentlig er håbløst out-of-date? Hvad er det der gør din antagelse mere sandsynlig?
2. Det er nu lige gyldigt hvor mange gange jeg læser sætningen. Der står helt tydeligt at de skulle have sendt mailen for længe siden, og kvalificerer det efterfølgende med da de opdagede at databasen var blevet kompromitteret. Fair nok, men i min ordbog er "længe siden" og "igår" ikke synonymer.
3. Hvis det er så ligegyldigt, hvorfor så bringe det op i første omgang?
4. Nu har jeg i 2 dage hørt folk whine om hvor uduelige og inkompetente newz.dk crewet er. Nu bliver de så pludselig anvendt som ekspert-argument? Du kan godt selv se problemet ikke?
#293 lortemail.dk kan også varmt anbefales til brug-og-smidvæk mailbokses.
1. Hvis jeg ikke kan forvente at folk kontrollerer forsiden og/eller RSS feed, hvorfor skal jeg så forvente at de kontrollerer deres e-mail adresse, som i mange tilfælde formodentlig er håbløst out-of-date? Hvad er det der gør din antagelse mere sandsynlig?
2. Det er nu lige gyldigt hvor mange gange jeg læser sætningen. Der står helt tydeligt at de skulle have sendt mailen for længe siden, og kvalificerer det efterfølgende med da de opdagede at databasen var blevet kompromitteret. Fair nok, men i min ordbog er "længe siden" og "igår" ikke synonymer.
3. Hvis det er så ligegyldigt, hvorfor så bringe det op i første omgang?
4. Nu har jeg i 2 dage hørt folk whine om hvor uduelige og inkompetente newz.dk crewet er. Nu bliver de så pludselig anvendt som ekspert-argument? Du kan godt selv se problemet ikke?
#293 lortemail.dk kan også varmt anbefales til brug-og-smidvæk mailbokses.
Efter at have læst deres sørgelige tekst på deres site - må jeg indrømme at jeg er ligeglad med at de har tilegnet sig adgang til newz's brugerdatabase...
Deres sprog er jo som en to-årigs. "tihihihi jeg skrev fisse, er jeg ikke bare sej? LOLDONGS ROFLCOPTER LOLLERSKATES SIEG HEIL og alt det der, for en tysk hilsen er noget som kun seje hackere kender bruger fordi de er seje!" årh gud fri mig vel en flok pattebørn...
Til TGG: Må i knække samtlige knogler i jeres fingre så vi slipper for at læse jeres ubrugelige tekster, og luk så røven, okay?
Tak :)
Deres sprog er jo som en to-årigs. "tihihihi jeg skrev fisse, er jeg ikke bare sej? LOLDONGS ROFLCOPTER LOLLERSKATES SIEG HEIL og alt det der, for en tysk hilsen er noget som kun seje hackere kender bruger fordi de er seje!" årh gud fri mig vel en flok pattebørn...
Til TGG: Må i knække samtlige knogler i jeres fingre så vi slipper for at læse jeres ubrugelige tekster, og luk så røven, okay?
Tak :)
Nu orker jeg ikke at læse alle indlæg igennem, men når der udregnes en tid til at cracke et password (som #255 så smukt gør det), så udregner man max-værdien. Et password der bare er aaaaaaaa, tager jo ikke lige så lang tid at cracke som ZZZZZZZZ, hvis man bruger engelsk tastatur, kun bogstaver og computeren cracker a->Z
Som #294 siger: lortemail.dk er fortrinligt :)
Som #294 siger: lortemail.dk er fortrinligt :)
* Nu håber jeg bare ikke at disse eller denne Hacker Bruger min ip eller mail til noget jeg ikke vil kendes ved...
* Men Denne spasser som har hacket Newz.dk Findes i deres Log fil
med hans Ip Hvis de HAR SAT DET RIGTIG OP til det
* Men nu er newz.dk også hurtig til og finde fejlen der er sket
vilket burde være fundet inden..
* Men Denne spasser som har hacket Newz.dk Findes i deres Log fil
med hans Ip Hvis de HAR SAT DET RIGTIG OP til det
* Men nu er newz.dk også hurtig til og finde fejlen der er sket
vilket burde være fundet inden..
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund