mboost-dp1
sxc.hu - simonok
De havde forhåbentlig ikke passwords liggende i klar tekst? En simpel hash med et passende 'salt' burde da være standard.
Jeg er udemærket klar over at man stadig kan brute force sådan en, men alle med passwords over 9-10 tegn vil være forholdsvis sikre så.
Tilføjelse. Jeg har lige læst:
Så jo de var hashede.
Jeg er udemærket klar over at man stadig kan brute force sådan en, men alle med passwords over 9-10 tegn vil være forholdsvis sikre så.
Tilføjelse. Jeg har lige læst:
Passwords in our database are encrypted (i.e., not stored in plain text), but they're still potentially vulnerable to hackers.
Så jo de var hashede.
"potentially vulnerable"?
De brugte åbenbart DES encryption hvor DES key lå i source....
Så vidt jeg husker med DES, krypteres kun de første 8 tegn af koderne, så alt derover er ligemeget. Desuden går der rygter om at der faktisk ikke var brugt salt.
bonus link :
Link til hackerens/crackerens udtalelser
De brugte åbenbart DES encryption hvor DES key lå i source....
Grok (2) skrev:De havde forhåbentlig ikke passwords liggende i klar tekst? En simpel hash med et passende 'salt' burde da være standard.
Jeg er udemærket klar over at man stadig kan brute force sådan en, men alle med passwords over 9-10 tegn vil være forholdsvis sikre så.
Tilføjelse. Jeg har lige læst:
Så jo de var hashede.
Så vidt jeg husker med DES, krypteres kun de første 8 tegn af koderne, så alt derover er ligemeget. Desuden går der rygter om at der faktisk ikke var brugt salt.
bonus link :
Link til hackerens/crackerens udtalelser
Det er da svineri og dybt sindsygt.
Der er nogen der ikke er enige med os, lad os hacke dem, blotlægge 250.000 uskyldiges passwords, og smide kildekoden til deres levebrød ud.
Hvis det er OK, så syntes jeg da at vi skal trække PET hjem og pille hegnet omkring JyllandsPosten ned. Fordi det er jo åbenbart ok at skade og ødelægge folk man ikke kan li?
Jeg syntes gang på gang at hacker "samfundet" opføre sig som en flok 8-årige der er sure fordi nogen sagde "Nej" til mere slik.
Der er nogen der ikke er enige med os, lad os hacke dem, blotlægge 250.000 uskyldiges passwords, og smide kildekoden til deres levebrød ud.
Hvis det er OK, så syntes jeg da at vi skal trække PET hjem og pille hegnet omkring JyllandsPosten ned. Fordi det er jo åbenbart ok at skade og ødelægge folk man ikke kan li?
Jeg syntes gang på gang at hacker "samfundet" opføre sig som en flok 8-årige der er sure fordi nogen sagde "Nej" til mere slik.
tilføjelse til #4:
DES encryption key lå i kildekoden, som der var adgang til for hackerne. Kodeord var derudover åbenbart usaltede, hvilket har gjort det let at se de hashede kodeord.
de har ret i at 9+ tegns kodeord ikke kan misbruges andre steder (fordi det kun er de 8 første der blev brugt på gawker kontoer), men derfor er det stadig skidt.
Det kunne være værre (plaintext), men det er ikke helt gennemtænkt. Jeg har dog svært ved at se hvad der skulle opnås ved et angreb som dette, og har svært ved at tage det seriøst.
DES encryption key lå i kildekoden, som der var adgang til for hackerne. Kodeord var derudover åbenbart usaltede, hvilket har gjort det let at se de hashede kodeord.
de har ret i at 9+ tegns kodeord ikke kan misbruges andre steder (fordi det kun er de 8 første der blev brugt på gawker kontoer), men derfor er det stadig skidt.
Det kunne være værre (plaintext), men det er ikke helt gennemtænkt. Jeg har dog svært ved at se hvad der skulle opnås ved et angreb som dette, og har svært ved at tage det seriøst.
Er problemet ikke netop omkring sikkerheden. Er ikke så meget inde i kryptering af passwords. Men hvorfor vælger man ikke som standard det mest sikre (er 256-bit AES sikker nok?). Sådan noget kan forhindres ved at have fokus på sikkerheden. Altså passwords er da noget af det der skal sikres bedst da det netop er så personfølsomt fordi mange bruger det samme password(s) flere steder på nettet.
Er problemet ikke stadig at tit og ofte, så er der alligevel ingen som bruger https ... og derved kan man over længere tid alligevel høste passwords ...
Jeg ved godt det kræver at være på serveren i længere tid, men ofte så opdager folk det ikke, før det går helt galt ... og meget af data allerede er offentlig gjort.
Nogen der ved hvordan de fandt ud af der havde været gæster på deres server ?
mvh
Jeg ved godt det kræver at være på serveren i længere tid, men ofte så opdager folk det ikke, før det går helt galt ... og meget af data allerede er offentlig gjort.
Nogen der ved hvordan de fandt ud af der havde været gæster på deres server ?
mvh
#10
Nej, hvis de kan komme ind på serveren ... kan de vel også køre ting, som kræver admin rettigheder, og dermed sniffe trafikken og på den måde få alle passwords. Jeg ved godt det vil tage længere tid, men det er også noget som der skal gøres op med.
Problemet er i dag, som jeg ser det, at mindre sider ikke bruger https. Måske gemmer de password som en hash med lidt læsø salt :-).
Men vi skal jo have løst alle problemer med sikkerhed, ikke kun det største :-)
mvh
Nej, hvis de kan komme ind på serveren ... kan de vel også køre ting, som kræver admin rettigheder, og dermed sniffe trafikken og på den måde få alle passwords. Jeg ved godt det vil tage længere tid, men det er også noget som der skal gøres op med.
Problemet er i dag, som jeg ser det, at mindre sider ikke bruger https. Måske gemmer de password som en hash med lidt læsø salt :-).
Men vi skal jo have løst alle problemer med sikkerhed, ikke kun det største :-)
mvh
syska (11) skrev:Nej, hvis de kan komme ind på serveren ... kan de vel også køre ting, som kræver admin rettigheder
Der er altså massere af forskel mellem at køre ting på serveren, og så at kunne læse noget sourcecode.
Rygtet går iøvrigt på at det er en admins password som de har fået ved at han oprettede en bruger på en hjemmeside, med samme kode som hans admin bruger.
#12 ja, det var også det jeg havde hørt... at indgangsvinklen var at Nick Denton brugte "24862486" som kode på et andet site.
det er samme kode han brugte på gawker
det er samme kode han brugte på gawker
kg (6) skrev:DES encryption key lå i kildekoden, som der var adgang til for hackerne. Kodeord var derudover åbenbart usaltede, hvilket har gjort det let at se de hashede kodeord.
Nej, nej nej. Hvis man bruger des til passwords har man da intet fattet af password sikkerhed. Den kan jo netop dekrypteres, og nøglen er jo nød til at ligge i kildekoden for at brugere kan valideres.
HNicolai (8) skrev:7: Hvorfor kryptere, når man kan hashe?
SHA256(SHA256(salt password) salt) = burde være sikkert nok... Hvor svært kan det være?
Nemlig, men dit forslag om dobbelt sha er way overkill. Selv MD5(Salt password) ville være glimrende. Selvfølgelig er SHA256 bedre, men dobbelt SHA giver ingen mening. Det svarer i bedste fald til at køre SHA257
syska (11) skrev:#10
Nej, hvis de kan komme ind på serveren ... kan de vel også køre ting, som kræver admin rettigheder, og dermed sniffe trafikken og på den måde få alle passwords.
Problemet er i dag, som jeg ser det, at mindre sider ikke bruger https. Måske gemmer de password som en hash med lidt læsø salt :-).
Hvis du har root adgang hjælper https ikke. Der er intet der forhindre dig i at sniffe passwords efter web serveren har dekrypteret forbindelsen. Den skal jo kunne læse passwords.
VonDoom (3) skrev:Er i øvrigt ved at være pænt trætte af de der Anonymous...
[flamewar]Hvad har de nu gjort? det var gruppen Gnosis, som hackede siderne og har intet med Anonymous at gøre[/flamewar]
frachlitz (5) skrev:
Jeg syntes gang på gang at hacker "samfundet" opføre sig som en flok 8-årige der er sure fordi nogen sagde "Nej" til mere slik.
Hacker samfundet er vel netop 8 årige som ikke har haft en ven i nogle år ud over sin PC:)
gaffatapen (18) skrev:[flamewar]Hvad har de nu gjort? det var gruppen Gnosis, som hackede siderne og har intet med Anonymous at gøre[/flamewar]
Er de ikke anomyme?
At man er medlem at en eller anden "hacker" gruppe ekskluderer vel ikke at man sidder og ser børneporno og andre ulækre billeder på 4chan.
Det kan jo oversættes til "hvis du har brugt et dårligt password kan det brute-forces".kg (4) skrev:"potentially vulnerable"?
De brugte åbenbart DES encryption hvor DES key lå i source....DES kryptering til passwords betyder ikke at man krypterer passwordet. Det betyder at man bruger passwordet som krypteringsnøgle. Tag en tilfældig salt værdi, krypter den hvor passwordet bruges som nøgle, gem salt og krypteret salt (base64 indkodet), men gem ikke passwordet.
Så vidt jeg husker med DES, krypteres kun de første 8 tegn af koderne, så alt derover er ligemeget.Ja, det skyldes at passwordet anvendes direkte som nøgle. En DES nøgle er på 56 bits. At de 8 tegn kun giver 56 bits skyldes at den mest betydende bit ignoreres. Med andre ord betyder det, at hvis dit kodeord f.eks. var blåbærgrød, så ville det blive reduceret til blebfrgr før det blev brugt.
Desuden går der rygter om at der faktisk ikke var brugt salt.Standard DES kryptering til passwords bruger salt, godt nok et ret lille salt (12 bits så vidt jeg husker). Hvorfor man har valgt 12 bits og ikke brugt en komplet 64 bits DES blok har jeg ikke nogen god forklaring på.
Man har forhåbentlig efterhånden fået udrydet systemer, som kun understøtter DES passwords. De mere moderne hash baserede systemer er at foretrække. Ikke kun pga. svagheden i DES men mere fordi de har større salt værdier og understøtter længere passwords.
Er der ikke fundet en svaghed i AES256 key schedule, som gør den mindre sikker end AES128?f-style (7) skrev:er 256-bit AES sikker nok?
Det burde ikke være tilladt for en admin at være så dum. Prøv lige at forestille sig hvis andre admins var lige så dumme og der blandt de lækkede passwords var en håndfuld admin passwords til andre systemer.KaW (12) skrev:Rygtet går iøvrigt på at det er en admins password som de har fået ved at han oprettede en bruger på en hjemmeside, med samme kode som hans admin bruger.
"Hos Gawker Meda Media, der tidligere har..." Newz forfanden, sådan en latterlig typo at lave. Man kan sku ikke have journalister/skribenter der ikke kan stave, come on... Gad ikke engang læse nyheden færdig og kommentere den ontopic, da jeg ikke kan tage typos seriøst i nyheder og artikler.
#23: Enig! 2/3 af alle danskere har problemer med at læse/skrive. Og nu snakker jeg ikke bare om typos. Det er godt nok en kedelig statistik og jeg er umådelig glad for ikke at være på den triste side af den.
kasperd (21) skrev:DES kryptering til passwords betyder ikke at man krypterer passwordet. Det betyder at man bruger passwordet som krypteringsnøgle. Tag en tilfældig salt værdi, krypter den hvor passwordet bruges som nøgle, gem salt og krypteret salt (base64 indkodet), men gem ikke passwordet.
kasperd (21) skrev:Standard DES kryptering til passwords bruger salt, godt nok et ret lille salt (12 bits så vidt jeg husker).
Det er ihvertfald sådan traditionel crypt gør det.
Det er teknisk muligt at gemme et DES krypteret password. Men der er forhåbentligt ikke nogen som gør det.
kasperd (21) skrev:Er der ikke fundet en svaghed i AES256 key schedule, som gør den mindre sikker end AES128?
Der blev sidste år offentliggjordt angreb på 192 og 256 bit AES. Hvor brute force kompleksiteten var nedsat til 2^99.5. Men metoden er et related key attack d.v.s. at man skal have 2 ukendte AES keys med en kendt matematisk sammenhæng.
http://eprint.iacr.org/2009/317
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund