LinkedIn jelszó hash-ek az interneten

Titkosítás, biztonság, privát szféra

Egyes források 6,5 millió, míg mások akár 8 millió kompromittálódott LinkedIn jelszóról beszélnek. A LinkedIn nemrég még arról tweet-elt, hogy nem tudják egyelőre megerősíteni a biztonsági incidenst, de nem sokkal ezelőtt már jött a megerősítés is. A LinkedIn megerősítette, hogy jelszavak kompromittálódtak. Az érintett LinkedIn felhasználók e-mail értesítést kapnak a teendőkről. Az Ars Technica cikke szerint a LinkedIn elmulasztotta a "sózást"...

( answ | 2012. 06. 06., sze – 23:04 )

Mindig azt hiszem, hogy egy nagyobb cégnél megfelelő szakembereket alkalmaznak, mert megtehetik.
Azonban ezt a képet egyre jobban rombolják ezek az események (Sony PS3: return 6; // Szabályos kockadobással választva).
Még a legtöbb PHP Pistike is használ saltot..

A vicces, hogy még nyilvános oldalak is vannak arra, hogy előre gyártott adatbázissal visszakeressék a jelszót a hash alapján.

Azonban most sem szabad elfelejteni:
pwgen 13 100 közül tanult jelszóval, így sem tudnának mit kezdeni.

Ugye tudod, hogy ez egy vicc. Keresd meg, hogy összesen hány angol szó van és ez alapján hány variáció lehetséges X hosszon (ugyanis legtöbb helyen nem lehet akármilyen hosszú a jelszó, valahol már 11 karakter felett sem enged). Ezt vesd össze a 44 bites entrópiával :)

Szerk: persze megtanulni valóban könnyebb ezeket a jelszavakat és például az első betűjét veheted a szavaknak, de ez korántsem olyan biztonságos (például első betűk gyakorisága, aktív szókincs elemszáma?). Azoknak jó akik nem tudnak megtanulni egy bonyolultabb karaktersorozatot. Például van akinek egy elhaladó autó rendszámának a megjegyzése is nehéz.

Minden nyomtatható ASCII karakter, 95 darab, 8 karakter esetén H = 52.

Minden nyomtatható extended ASCII karakter, 218 darab, 8 karakter esetén H = 62.

Kb. 176000 angol szó van, de ennyit nyilván senki nem használ, számoljunk inkább csak egy diceware listával, vagyis 7776-al, 5 szó esetén H = 64. És ezt úgy, hogy a támadó ismeri a listát és hogy hány szót használtunk belőle.

Sokkal viccesebbé tehető a dolog ha mondjuk nagybetűvel kezded a szavakat, vagy egyszerűen berakod zárójelbe.

Egyáltalán nem rossz a szavakból álló jelszó és van egy nagyon nagy előnye, ezt nem fogja leírni a felhasználó sehova és nagyobb az esély hogy máshová más jelszót használ majd.

Persze ha a jelszó hossza korlátozva van, akkor cseszheti az ember, de hát a jelszót korlátozni a legnagyobb baromság, azzal egyenértékű mint SHA-1-el hashelni salt nélkül.

"és nagyobb az esély hogy máshová más jelszót használ majd."
Nem. A felhasznalok egysiku lenyek, orulnek, ha egy dolgot eszben tudnak tartani.

Egyebkent pedig en is szkeptikus vagyok ezzel a szavakra epulo dologgal kapcsolatban. Mar 1996-ban volt olyan progi Windows belepesi jelszavak toresehez, aminek be lehetett adni egy szotar fajlt, hogy akkor tessek ezen ragodni. Ragodott, es sokkal hamarabb dobta ki a jelszot, mint a brute-force modszerrel. Es annal is lehetett konfiguralni, hogy kis-nagy betuvel probalja vegig a szavakat, illetve hany szamjegyet probaljon mogejuk illeszteni.

Ugyanis a jelszotoresnel nem az a lenyeg, hogy mi alapjan torod fel, hanem hogy a tores idejet belathatobb idore korlatozzad, mint ami a nyers toresbol jonne. Ha a szotarfajlod jol van rendezve (nem abc-ben), akkor meg hatekonyabb lehet a kereses.

Es azert ma mar eleg gyors gepek vannak '96-hoz kepest, szoval most mar nem az a korlat, hogy egyszerre hany jelszot tud a hashen kiprobalni a delikvens, hanem pusztan az hatarozza meg a sebesseget, hogy mekkora reszet kell a vilagnak kiprobalni a hashen.

Arrol mar nem is beszelve, hogy a userek a jelszovalasztasi szokasaikat tekintve kb. egy ovodas szintjen mozognak. Volt egy cikk, talan itt is lejott, az egyik leggyakribb jelszo a Password1. Ez egy kiraly jelszo, mert benne van az osszes ajanlas, amit egy ilyen forumban, vagy ujsagcikkben hozni szoktak: ertelmes, nagy betuvel kezdodik, van benne szam, relative hosszu. Csak ettol meg mindig egyszeru. Tippre a kicsit okosabb userek amikor bejott a 'tobb szobol alljon' ajanlas divatja, akkor lecsereltek a jelszavukat... meg fogsz lepodni... ThisIsMyPassword1 -re. Es a vilag megint helyreallt, ez most tobb szobol all, nagy betukkel kezdodik - csak epp ugyanugy nem er egy hajitofat sem.

Nem veletlen az, hogy en ahol csak lehet forszirozom az OpenID-t, meg az OTP jelszot. Onnet mar egy fokkal konnyebb a nepneveles, mert az OpenID szolgaltatokbol van olyan is, ami biztonsagos (vagy en annak tartom), es igy erdemes hozzajuk terelni mindenkit.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

"az egyik leggyakribb jelszo a Password1. Ez egy kiraly jelszo, mert benne van az osszes ajanlas, amit egy ilyen forumban, vagy ujsagcikkben hozni szoktak: ertelmes, nagy betuvel kezdodik, van benne szam, relative hosszu"

Hát ez az, pont ezért nem kellene erre a baromságra tanítani a felhasználókat. Elmagyarázod neki, hogy kisbetű, nagybetű, szám, hosszúság. Jó, akkor legyen Password1, erre mondod neki hogy az mégsem jó, de nem érti, mert ő jó csinált mindent, megfelel az előírásnak, te kérted ezt tőle, most akkor mi van. Elmagyarázod neki, megérti vagy sem, mindegy, kitalál egy másikat, de fogalma sem lesz róla, hogy az most jó, vagy sem, mert nem biztonsági szakértő és nem tudja fejből a top két millió common password-öt. Ahogy nyilván senki sem, én sem tudom hogy egy értelmes szóból módosításokkal képzett jelszó most jó-e vagy sem, mert lehet hogy pont ez a variáció már másik ezer embernek is eszébe jutott.

Ez a módszer egyszerűen rossz, nem tudsz adni a felhasználónak egy egyértelműen jó módszert ilyen típusú jelszavak generálására. Még ha megvan a felhasználóban a szándék arra, hogy jó jelszót generáljon magának, akkor is belefuthat abba, hogy mégsem lesz jó a jelszava, hiába tett meg mindent amit kértél tőle. Nem mondhatod azt, hogy itt van ez az négy lépés, ha ezt megcsinálod rendesen, akkor lesz egy kurva jó jelszavad.

Ehelyett arra kéne szoktatni a felhasználót, hogy válasszon egy listáról 5 szót véletlenszerűen és azt az öt szót jegyezze meg. Ha ezt hajlandó végigcsinálni, akkor lesz egy nagyon jó jelszava, amit ráadásul sokkal könnyebb megjegyezni.

Az xkcd képregény is erről szólt.

Ezt egy olyan listarol valasztottam, ahol a szavak veletlenul voltak felsorolva. :-)

Azt akarom mondani, hogy akarhogy valaszthatja ki, amig valami ertelme van a jelszonak, addig dictionary attackra erzekeny. Es bar a kombinaciok szama meg mindig nagy, kisebb, mint a kiejtheto, de teljesen ertelmetlen jelszavake.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

No jól van, ha hétfőn beesz a fene a gyárba, akkor előkotrom én is a forráskódot :-)
Én C#-ban (ciszben) oldottam meg.

Az algoritmus lényege, hogy 2 és 3 betűs szótagokat generálok (msh+mgh, msh+mgh+msh), ezeket biggyesztem össze 1-5 szótag hosszan (beállítható a GUI-n), időnként a szó első betűjét lemetélem, hogy legyen magánhangzóval kezdődő kifejezés is.
Checkboxban ki lehet választani, hogy csak brit betűket használjon, vagy belefér a magyar is :-)
Néha értelmes szavakat ád a program. Tetszik, és maga az elv is.

(Habár én gyűlölöm legjobban a rubyt az egész univerzumban, megnéztem a programodat, hogy ihletet merítsek).

P.S. Még azt bele fogom feljeszteni a kódomba, hogy időnként bizonyos mássalhangzókat cseréljen pl. ty-re, cs-re, ly-re, zs-re. Nyilván csak a "magyar" verzióban.

P.S.2. Eszembe jutott, hogy használhatnék olyan végződéseket, amitől tényleg természetes hatású lesz a jelszó: pl. a latin -us, -er, -um, -is, -o, -ibus, -ius, -ia, -ium, -tio, -os, vagy a magyar képzők: -ság/-ség, -ás/-és, német: -heit, -keit, -schaft, angol: -ful, -less, -fulness.

pimpili:

pimpilius, pimpilii, (masculinum) :-)
pimpiliség
die Pimpilischaft
pimpiliness

Ezek elég jól kiejthetők. Értelmük továbbra sincsen :-)

Fuszenecker_Róbert


#!/bin/bash
szotagszam=$(zenity --scale --min-value=3 --max-value=10 --value=5); 
jelszo=""; 
msh="q w r t z p s d f g h j k l y x c v b n m 5 7"; 
mgh="e u i o a 0 3 1 4"; 
for i in $(seq $szotagszam); do 
	if [ $(($RANDOM % 2)) -eq 0 ]; then 
		jelszo=${jelszo}$(shuf -n1 -e $msh)$(shuf -n1 -e $mgh)$(shuf -n1 -e $msh); 
	else 
		jelszo=${jelszo}$(shuf -n1 -e $msh)$(shuf -n1 -e $mgh); 
	fi; 
done; 
jelszo=${jelszo}$(shuf -n1 -e us erum is o ibus ius ia ium)
if [ $(($RANDOM % 3)) -eq 0 ]; then 
	echo $jelszo | sed -e 's/^.//'; 
else echo $jelszo; 
fi

… a magyar karaktereket nem raktam bele, cserébe van hozzá GUI :P 

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

http://www.explainxkcd.com/wiki/index.php/936:_Password_Strength

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
http://www.hbone.hu/hu/hirek/hbone_workshop
http://videotorium.hu/hu/channels/details/814,BME_Villamosmernoki_es_In…

( bfoto | 2012. 06. 07., cs – 00:28 )

Van ott vmi ottfelejtett profilom, amit ha jól emlékszem sem érdemben használni, sem törölni nem sikerült. Ti használjátok a LinkedIn-t? Mire?
--
Direp

semmire.

Kicsit érdesen fog hangzani az alábbi, de Reid és HR drónjaitől mindig eldurran az agyam, ettől az agyonmarketingelt lóvásártól, ha tetszik rabszolgapiactól.

Sokan az emberi/állati erőforrások kedvéért teszik oda magukat, mert különben antiszociális autistaként lekezelik őket a nagyobb intézmények menedzsment szociopatái (lepontozzák a "kommunikációs képességet").

(a githubot is erre használják, zárójel bezárva)

néha megkeresnek HR-esek és fejvadászok inkább kevésbé mint többé komolyan vehető ajánlatokkal. Volt már olyan aki elírta a nevem (nem gépelési hiba volt, hanem egy fölöttem 2vel végzett srác neve...)

Amúgy használhatóság szempontjából hihetetlen kaksi az a linkedin.

Szakmai Facebook. Számtalan megkeresést kaptunk már innen. Hazai szinten sz@rt sem ér, viszont nemzetközi piacon megkerülhetetlenné vált az elmúlt egy évben. Volt olyan, aki nem kérte a megbízásos munkához a referenciáinkat, mert megnézte a "kapcsolati hálómat" és az elég volt neki. :)

( uid_720 | 2012. 06. 07., cs – 08:05 )

Inkább az a szánalmas, hogy az azonosításhoz még mindig felhasználónevet/jelszót kell gépelni.
Mintha nem is léteznének kifinomultabb módszerek...

Fuszenecker_Róbert

Igen... es ez altalaban rajtad kivul senkit nem szokott erdekelni. Most mondjam azt, hogy ennyi erovel szuntessuk meg a bankszamlakat is, mert mi van, ha otthon hagyod a bankkartyadat es a szemelyidet is? Vagy mennyire hulyeseg mar, hogy a boltban penzzel kell fizetni, mi van ha nincs nalad?
Azert valahol huzzuk mar meg a hatart, bizonyos dolgokat koveteljunk mar meg emberektol. Miert kell a felhasznalokat nyaladzo idiotaknak tekinteni allando jelleggel?
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Nyugi van, ne idegeskedj, még megárt ;) Én csak leírtam, hogy szerintem miért ezt használják. Szokás szerint ez is egy kompromisszum a biztonság és a kényelem között. Ez nem jelenti azt, hogy pl. nem hagynám azonnal ott a bankom, ha engednének egy sima jelszóval belépni. Ezzel szemben például tuti nem írnék többet a HUP-ra, ha minden bejelentkezéshez a mobilomért kellene nyúlnom.

"Miert kell a felhasznalokat nyaladzo idiotaknak tekinteni allando jelleggel?"
Mert a nagy részük az? Ha nem mindenhova ugyanazzal az egy nyamvadt jelszóval regisztrálnának, akkor ez az eset is csak egy elqrás lenne, komolyabb következmények nélkül.

A fene jobban tudja. Nekem OTP jelszavas OpenID-m van (Verisign PIP), es nem kell minden belepeshez a mobilomert nyulni, csak ha lejart a sessionom. Ez azt jelenti, hogy kb. heti 1-2 alkalommal. Mas kerdes, hogy en a telot amugy is magam mellett tartom, mert utalok felugralni.

A Google-n is be van vezetbe a two-step authentication, ahhoz is csak akkor kell mobil, ha mar nagyon minden session lejart, egyfelol van a OTP belepesen is egy 'jegyezz meg' cimu csekkbox (alapbol ures), akkor 30 napig nem kell telefon, illetve ugye az ominozus email+pass, amit a bongeszo tolt ki, de ez is csak akkor van, ha mar nagyon sokat kavartam, es a Google nem tudja, hogy hol-honnan vagyok belepve. Kb. 2 hetente 1x.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Ez a mostani rendszer előnye és a hátránya. Ha te magad nem vagy elég, akkor a jelszavadat hiába lopják el, mert kell a másik *valami* is.

A mobiltelefon otthonhagyást én is megtapasztaltam ma, ezért nem tudtam befizetni a súlyadót. De ez nem a bankom hibája.

És mi lesz ha a személyidet, a céges belépőkártyádat, a jogsidat vagy a forgalmidat hagyod otthon? Hazamész érte.

Fuszenecker_Róbert

Lehet ezt ügyesen is csinálni :-) Pl. valami USB-s cuccot adni a júzernek, aki azt bejelentkezés előtt bedugja, utána meg kihúzza. Minden mást meg a szoftver csinálna.
És ez még könnyebb is lenne, mert felhasználónevet egyáltalán nem kellene gépelni, és jelszó helyett is elég lehetne egy pin kód.

Fuszenecker_Róbert

( djsilas | 2012. 06. 07., cs – 11:16 )

Lehet off kicsit, de ahogy olvasgattam témában, úgy látom, hogy alakult is gyorsan pár segítőkész oldal. Csak írd be a jelszavadat és máris megtudhatod, hogy kompromittálódott-e a jelszavad. Tök király... :)
Ha esetleg az oldal üzemeltetőjének eddig mégse lett volt meg az a bizonyos jelszó adatbázis, ezek után már csak az email címek kellenek neki és mehet a brute force... :P

( legyes | 2012. 06. 07., cs – 11:57 )

Token, DNS minta, bőr alá ültetett chip, retina, magyarorszag.hu regisztráció, egyszerhasználatos 1024 karakteres jelszavak. Természetesen mindez együtt. :)

( numen v | 2012. 06. 07., cs – 12:01 )

Érdekes nézni a pici ingásokat, amiket a hír okozott a LinkedIn részvényárfolyamában.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

( bfoto | 2012. 06. 10., v – 16:17 )

A következőt tapasztaltam most:
*be akartam lépni a LinkedInre, de nem tudtam melyik címemmel regisztráltam már
*az egyikre sikerült is kérni jelszóemlékeztetőt (évek óta használt gmailes cím)
*be is léptem, de nem az én profilom volt, a név mondjuk hasonló volt
*e-mail címet csak megerősítő e-mail után lehet hozzáadni

Szerintetek hogy lehetett ez? Ti mit tettetek volna? (Én elég drasztikus voltam első felindulásomban.)
--
Direp