LinkedIn jelszó hash-ek az interneten

 ( trey | 2012. június 6., szerda - 22:22 )

Egyes források 6,5 millió, míg mások akár 8 millió kompromittálódott LinkedIn jelszóról beszélnek. A LinkedIn nemrég még arról tweet-elt, hogy nem tudják egyelőre megerősíteni a biztonsági incidenst, de nem sokkal ezelőtt már jött a megerősítés is. A LinkedIn megerősítette, hogy jelszavak kompromittálódtak. Az érintett LinkedIn felhasználók e-mail értesítést kapnak a teendőkről. Az Ars Technica cikke szerint a LinkedIn elmulasztotta a "sózást"...

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

ér röhögni?

Mindig azt hiszem, hogy egy nagyobb cégnél megfelelő szakembereket alkalmaznak, mert megtehetik.
Azonban ezt a képet egyre jobban rombolják ezek az események (Sony PS3: return 6; // Szabályos kockadobással választva).
Még a legtöbb PHP Pistike is használ saltot..

A vicces, hogy még nyilvános oldalak is vannak arra, hogy előre gyártott adatbázissal visszakeressék a jelszót a hash alapján.

Azonban most sem szabad elfelejteni:
pwgen 13 100 közül tanult jelszóval, így sem tudnának mit kezdeni.

Ugye tudod, hogy ez egy vicc. Keresd meg, hogy összesen hány angol szó van és ez alapján hány variáció lehetséges X hosszon (ugyanis legtöbb helyen nem lehet akármilyen hosszú a jelszó, valahol már 11 karakter felett sem enged). Ezt vesd össze a 44 bites entrópiával :)

Szerk: persze megtanulni valóban könnyebb ezeket a jelszavakat és például az első betűjét veheted a szavaknak, de ez korántsem olyan biztonságos (például első betűk gyakorisága, aktív szókincs elemszáma?). Azoknak jó akik nem tudnak megtanulni egy bonyolultabb karaktersorozatot. Például van akinek egy elhaladó autó rendszámának a megjegyzése is nehéz.

nyilván érdemesebb magyar szavakat használni...

ahol korlátozva van a jelszó karakterszáma, az meg hát hm.

Van, ahol a használható karakterek is. A legjobb, amikor a rendszer elfogadja, aztán nem enged be. :)

:D

biztos svéden felejtetik a karakterkódolást olyankor

aztán e-mailben küldenek egy lapraszerelt jelszót, néhány csavart meg tiplit, aztán csinálj vele amit tudsz :D

Nem. A legpoénabb az, ahol csonkolják a jelszót. Aztán be tudsz lépni első felével is a jelszavadnak..

x_x*

még szerencse, hogy a gépek nem engednek be fél jelszóval senkit csak azért, mert magányosak.

érezni nem hatékony. megszüntetni.

Már ennyi az idő? Tényleg igaz, hogy az informatikusok a reggeli órájukban filozofálgatnak és nem a buliban két hányás között.. :)

A Blizzard a mai napig nagybetűsre alakítja a jelszavakat hashelés előtt.

http://www.skullsecurity.org/blog/2012/battle-net-authentication-misconceptions

az a vicc, hogy ez nem vicc, hanem tok komoly.
aki meg jelszot tarol (plane csonkolva), es nem valamilyen hasht, azt ugyis varja a kenkoves dzsojsztikk a pokolban.

Minden nyomtatható ASCII karakter, 95 darab, 8 karakter esetén H = 52.

Minden nyomtatható extended ASCII karakter, 218 darab, 8 karakter esetén H = 62.

Kb. 176000 angol szó van, de ennyit nyilván senki nem használ, számoljunk inkább csak egy diceware listával, vagyis 7776-al, 5 szó esetén H = 64. És ezt úgy, hogy a támadó ismeri a listát és hogy hány szót használtunk belőle.

Sokkal viccesebbé tehető a dolog ha mondjuk nagybetűvel kezded a szavakat, vagy egyszerűen berakod zárójelbe.

Egyáltalán nem rossz a szavakból álló jelszó és van egy nagyon nagy előnye, ezt nem fogja leírni a felhasználó sehova és nagyobb az esély hogy máshová más jelszót használ majd.

Persze ha a jelszó hossza korlátozva van, akkor cseszheti az ember, de hát a jelszót korlátozni a legnagyobb baromság, azzal egyenértékű mint SHA-1-el hashelni salt nélkül.

Sokkal viccesebbé tehető a dolog ha mondjuk nagybetűvel kezded a szavakat

Ez tipikusan nem sokat számít. Minden valamire való jelszótörő program végigpróbálja a szavakat nagy kezdőbetűvel is.

Ha nem muszáj, akkor nem próbálja végig, mert pont kétszer annyi ideig fog tartani, ami ilyen sok hash előállításánál már nem mindegy.

Az entrópia valóban nem növekszik jelentősen (69), de nem is azért kell.

"és nagyobb az esély hogy máshová más jelszót használ majd."
Nem. A felhasznalok egysiku lenyek, orulnek, ha egy dolgot eszben tudnak tartani.

Egyebkent pedig en is szkeptikus vagyok ezzel a szavakra epulo dologgal kapcsolatban. Mar 1996-ban volt olyan progi Windows belepesi jelszavak toresehez, aminek be lehetett adni egy szotar fajlt, hogy akkor tessek ezen ragodni. Ragodott, es sokkal hamarabb dobta ki a jelszot, mint a brute-force modszerrel. Es annal is lehetett konfiguralni, hogy kis-nagy betuvel probalja vegig a szavakat, illetve hany szamjegyet probaljon mogejuk illeszteni.

Ugyanis a jelszotoresnel nem az a lenyeg, hogy mi alapjan torod fel, hanem hogy a tores idejet belathatobb idore korlatozzad, mint ami a nyers toresbol jonne. Ha a szotarfajlod jol van rendezve (nem abc-ben), akkor meg hatekonyabb lehet a kereses.

Es azert ma mar eleg gyors gepek vannak '96-hoz kepest, szoval most mar nem az a korlat, hogy egyszerre hany jelszot tud a hashen kiprobalni a delikvens, hanem pusztan az hatarozza meg a sebesseget, hogy mekkora reszet kell a vilagnak kiprobalni a hashen.

Arrol mar nem is beszelve, hogy a userek a jelszovalasztasi szokasaikat tekintve kb. egy ovodas szintjen mozognak. Volt egy cikk, talan itt is lejott, az egyik leggyakribb jelszo a Password1. Ez egy kiraly jelszo, mert benne van az osszes ajanlas, amit egy ilyen forumban, vagy ujsagcikkben hozni szoktak: ertelmes, nagy betuvel kezdodik, van benne szam, relative hosszu. Csak ettol meg mindig egyszeru. Tippre a kicsit okosabb userek amikor bejott a 'tobb szobol alljon' ajanlas divatja, akkor lecsereltek a jelszavukat... meg fogsz lepodni... ThisIsMyPassword1 -re. Es a vilag megint helyreallt, ez most tobb szobol all, nagy betukkel kezdodik - csak epp ugyanugy nem er egy hajitofat sem.

Nem veletlen az, hogy en ahol csak lehet forszirozom az OpenID-t, meg az OTP jelszot. Onnet mar egy fokkal konnyebb a nepneveles, mert az OpenID szolgaltatokbol van olyan is, ami biztonsagos (vagy en annak tartom), es igy erdemes hozzajuk terelni mindenkit.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

"az egyik leggyakribb jelszo a Password1. Ez egy kiraly jelszo, mert benne van az osszes ajanlas, amit egy ilyen forumban, vagy ujsagcikkben hozni szoktak: ertelmes, nagy betuvel kezdodik, van benne szam, relative hosszu"

Hát ez az, pont ezért nem kellene erre a baromságra tanítani a felhasználókat. Elmagyarázod neki, hogy kisbetű, nagybetű, szám, hosszúság. Jó, akkor legyen Password1, erre mondod neki hogy az mégsem jó, de nem érti, mert ő jó csinált mindent, megfelel az előírásnak, te kérted ezt tőle, most akkor mi van. Elmagyarázod neki, megérti vagy sem, mindegy, kitalál egy másikat, de fogalma sem lesz róla, hogy az most jó, vagy sem, mert nem biztonsági szakértő és nem tudja fejből a top két millió common password-öt. Ahogy nyilván senki sem, én sem tudom hogy egy értelmes szóból módosításokkal képzett jelszó most jó-e vagy sem, mert lehet hogy pont ez a variáció már másik ezer embernek is eszébe jutott.

Ez a módszer egyszerűen rossz, nem tudsz adni a felhasználónak egy egyértelműen jó módszert ilyen típusú jelszavak generálására. Még ha megvan a felhasználóban a szándék arra, hogy jó jelszót generáljon magának, akkor is belefuthat abba, hogy mégsem lesz jó a jelszava, hiába tett meg mindent amit kértél tőle. Nem mondhatod azt, hogy itt van ez az négy lépés, ha ezt megcsinálod rendesen, akkor lesz egy kurva jó jelszavad.

Ehelyett arra kéne szoktatni a felhasználót, hogy válasszon egy listáról 5 szót véletlenszerűen és azt az öt szót jegyezze meg. Ha ezt hajlandó végigcsinálni, akkor lesz egy nagyon jó jelszava, amit ráadásul sokkal könnyebb megjegyezni.

Az xkcd képregény is erről szólt.

Vagy kiosztasz egy >=8 karakteres kiejthető random jelszót, amit 1 hét utáni naponta való begépelés után magától fütyülni tud a user.

Az ilyet szokták felírni egy postitre és ráragasztani a monitorra.

Ez is igaz :)

Sőt, én már láttam olyat, hogy egy "S" betű volt a jelszó, és az is ki volt ragasztva a monitorra :)

:D hát ostobaság ellen nem véd semmi :D

ThisIsMyGreatPassword. Ez ot szo.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Oda írtam, hogy véletlenszerűen.

Ezt egy olyan listarol valasztottam, ahol a szavak veletlenul voltak felsorolva. :-)

Azt akarom mondani, hogy akarhogy valaszthatja ki, amig valami ertelme van a jelszonak, addig dictionary attackra erzekeny. Es bar a kombinaciok szama meg mindig nagy, kisebb, mint a kiejtheto, de teljesen ertelmetlen jelszavake.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Írtam egy programot, ami ilyen kiejthető, de értelmetlen szavakat generál, végülis nem teljesen lehetetlen, hogy egy megfelelően távoli jövőben megfontolom a használatát.

Fuszenecker_Róbert

"Írtam egy programot, ami ilyen kiejthető, de értelmetlen szavakat generál..."

Én is, hrgy is adott hozzá ötletet, akkor beteszem ide :)

Blog itt, forrás itt (ruby).

Megnéztem a programodat, a blogbejegyzéshez írok majd választ.

No jól van, ha hétfőn beesz a fene a gyárba, akkor előkotrom én is a forráskódot :-)
Én C#-ban (ciszben) oldottam meg.

Az algoritmus lényege, hogy 2 és 3 betűs szótagokat generálok (msh+mgh, msh+mgh+msh), ezeket biggyesztem össze 1-5 szótag hosszan (beállítható a GUI-n), időnként a szó első betűjét lemetélem, hogy legyen magánhangzóval kezdődő kifejezés is.
Checkboxban ki lehet választani, hogy csak brit betűket használjon, vagy belefér a magyar is :-)
Néha értelmes szavakat ád a program. Tetszik, és maga az elv is.

(Habár én gyűlölöm legjobban a rubyt az egész univerzumban, megnéztem a programodat, hogy ihletet merítsek).

P.S. Még azt bele fogom feljeszteni a kódomba, hogy időnként bizonyos mássalhangzókat cseréljen pl. ty-re, cs-re, ly-re, zs-re. Nyilván csak a "magyar" verzióban.

P.S.2. Eszembe jutott, hogy használhatnék olyan végződéseket, amitől tényleg természetes hatású lesz a jelszó: pl. a latin -us, -er, -um, -is, -o, -ibus, -ius, -ia, -ium, -tio, -os, vagy a magyar képzők: -ság/-ség, -ás/-és, német: -heit, -keit, -schaft, angol: -ful, -less, -fulness.

pimpili:

pimpilius, pimpilii, (masculinum) :-)
pimpiliség
die Pimpilischaft
pimpiliness

Ezek elég jól kiejthetők. Értelmük továbbra sincsen :-)

Fuszenecker_Róbert

#!/bin/bash
szotagszam=$(zenity --scale --min-value=3 --max-value=10 --value=5); 
jelszo=""; 
msh="q w r t z p s d f g h j k l y x c v b n m 5 7"; 
mgh="e u i o a 0 3 1 4"; 
for i in $(seq $szotagszam); do 
	if [ $(($RANDOM % 2)) -eq 0 ]; then 
		jelszo=${jelszo}$(shuf -n1 -e $msh)$(shuf -n1 -e $mgh)$(shuf -n1 -e $msh); 
	else 
		jelszo=${jelszo}$(shuf -n1 -e $msh)$(shuf -n1 -e $mgh); 
	fi; 
done; 
jelszo=${jelszo}$(shuf -n1 -e us erum is o ibus ius ia ium)
if [ $(($RANDOM % 3)) -eq 0 ]; then 
	echo $jelszo | sed -e 's/^.//'; 
else echo $jelszo; 
fi

… a magyar karaktereket nem raktam bele, cserébe van hozzá GUI :P

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

Nem értetted meg a koncepciót, különben nem írnál ilyet :D Írok majd választ log69 blogbejegyzéséhez, ott kifejtem bővebben.

OpenID ?
es a
SAML ?


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Nem tudom, mely oldalak tamogassak. OpenID meg a kis WordPresshez is van.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

De legalább nem plaintextben tárolták a jelszavakat. Az is valami.
----
Hülye pelikán

Van ott vmi ottfelejtett profilom, amit ha jól emlékszem sem érdemben használni, sem törölni nem sikerült. Ti használjátok a LinkedIn-t? Mire?
--
Direp

Leginkább amire kitalálták: a munkaerőpiacon való jelenlétre. Sosem tudhatod mikor keresnek meg ez alapján a fejvadászok egy jó ajánlattal.

semmire.

Kicsit érdesen fog hangzani az alábbi, de Reid és HR drónjaitől mindig eldurran az agyam, ettől az agyonmarketingelt lóvásártól, ha tetszik rabszolgapiactól.

Sokan az emberi/állati erőforrások kedvéért teszik oda magukat, mert különben antiszociális autistaként lekezelik őket a nagyobb intézmények menedzsment szociopatái (lepontozzák a "kommunikációs képességet").

(a githubot is erre használják, zárójel bezárva)

Engem szoktak keresni egy-két havonta állásajánlattal a LinkedIn-en keresztül, és tagja vagyok szakmai csoportoknak is. Persze álláskeresés szempontjából nagyságrendekkel hatékonyabb a job site-okat használni, még ha "lóvásár" is, ahogy valaki megjegyezte. ;)

néha megkeresnek HR-esek és fejvadászok inkább kevésbé mint többé komolyan vehető ajánlatokkal. Volt már olyan aki elírta a nevem (nem gépelési hiba volt, hanem egy fölöttem 2vel végzett srác neve...)

Amúgy használhatóság szempontjából hihetetlen kaksi az a linkedin.

Szakmai Facebook. Számtalan megkeresést kaptunk már innen. Hazai szinten sz@rt sem ér, viszont nemzetközi piacon megkerülhetetlenné vált az elmúlt egy évben. Volt olyan, aki nem kérte a megbízásos munkához a referenciáinkat, mert megnézte a "kapcsolati hálómat" és az elég volt neki. :)

Szószerint itt a megfejtés annak, aki nem érti mi a linkedin célja. Pont.

havonta >1 allasajanlat beesik siman onnan, en erre tartom :-)

Itt talaltak meg a mostani munkaadoim.
--
HUP Firefox extension

Inkább az a szánalmas, hogy az azonosításhoz még mindig felhasználónevet/jelszót kell gépelni.
Mintha nem is léteznének kifinomultabb módszerek...

Fuszenecker_Róbert

Azért kínos lenne ám egy RSA kulcsot megtanulni... :)
Persze értem, hogy millió egyéb lehetőség is van, de szerintem ez az egyetlen, amihez elegendő vagy te magad, mint egy humán erőforrás és egy tetszőleges számítógép.

OTP jelszo (Google auth, Verisign), OpenID... hahho, 2012 van!
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Nem figyelsz. Ez mind szép és jó. Kivéve ha otthon maradt a mobilod, amire kiküldik/amin kiszámolod az OTP-t, elfelejted magadall hurcolni a kulcsodat tartalmazó kártyát (már ha van egyáltalán kártyaolvasó), stb...

Igen... es ez altalaban rajtad kivul senkit nem szokott erdekelni. Most mondjam azt, hogy ennyi erovel szuntessuk meg a bankszamlakat is, mert mi van, ha otthon hagyod a bankkartyadat es a szemelyidet is? Vagy mennyire hulyeseg mar, hogy a boltban penzzel kell fizetni, mi van ha nincs nalad?
Azert valahol huzzuk mar meg a hatart, bizonyos dolgokat koveteljunk mar meg emberektol. Miert kell a felhasznalokat nyaladzo idiotaknak tekinteni allando jelleggel?
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Nyugi van, ne idegeskedj, még megárt ;) Én csak leírtam, hogy szerintem miért ezt használják. Szokás szerint ez is egy kompromisszum a biztonság és a kényelem között. Ez nem jelenti azt, hogy pl. nem hagynám azonnal ott a bankom, ha engednének egy sima jelszóval belépni. Ezzel szemben például tuti nem írnék többet a HUP-ra, ha minden bejelentkezéshez a mobilomért kellene nyúlnom.

"Miert kell a felhasznalokat nyaladzo idiotaknak tekinteni allando jelleggel?"
Mert a nagy részük az? Ha nem mindenhova ugyanazzal az egy nyamvadt jelszóval regisztrálnának, akkor ez az eset is csak egy elqrás lenne, komolyabb következmények nélkül.

A fene jobban tudja. Nekem OTP jelszavas OpenID-m van (Verisign PIP), es nem kell minden belepeshez a mobilomert nyulni, csak ha lejart a sessionom. Ez azt jelenti, hogy kb. heti 1-2 alkalommal. Mas kerdes, hogy en a telot amugy is magam mellett tartom, mert utalok felugralni.

A Google-n is be van vezetbe a two-step authentication, ahhoz is csak akkor kell mobil, ha mar nagyon minden session lejart, egyfelol van a OTP belepesen is egy 'jegyezz meg' cimu csekkbox (alapbol ures), akkor 30 napig nem kell telefon, illetve ugye az ominozus email+pass, amit a bongeszo tolt ki, de ez is csak akkor van, ha mar nagyon sokat kavartam, es a Google nem tudja, hogy hol-honnan vagyok belepve. Kb. 2 hetente 1x.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Vagy BrowserID (Persona)

KAMI | 神
--
Támogatás | OxygenOffice | Fordításaim és SeaMonkey

Ez a mostani rendszer előnye és a hátránya. Ha te magad nem vagy elég, akkor a jelszavadat hiába lopják el, mert kell a másik *valami* is.

A mobiltelefon otthonhagyást én is megtapasztaltam ma, ezért nem tudtam befizetni a súlyadót. De ez nem a bankom hibája.

És mi lesz ha a személyidet, a céges belépőkártyádat, a jogsidat vagy a forgalmidat hagyod otthon? Hazamész érte.

Fuszenecker_Róbert

Persze, én igen, nem is rólam van szó. Hanem arról a néhány száz, ezer, vagy akárhány emberről, aki otthagyja a szolgáltatást, ha túl bonyolultnak ítéli a bejelentkeztetési procedúrát.

Lehet ezt ügyesen is csinálni :-) Pl. valami USB-s cuccot adni a júzernek, aki azt bejelentkezés előtt bedugja, utána meg kihúzza. Minden mást meg a szoftver csinálna.
És ez még könnyebb is lenne, mert felhasználónevet egyáltalán nem kellene gépelni, és jelszó helyett is elég lehetne egy pin kód.

Fuszenecker_Róbert

Pl. Aladdin eToken? Tipikusan kétfaktorú hitelesítéshez használják, azaz a felhasználónév és a jelszó mellett.

Lehet off kicsit, de ahogy olvasgattam témában, úgy látom, hogy alakult is gyorsan pár segítőkész oldal. Csak írd be a jelszavadat és máris megtudhatod, hogy kompromittálódott-e a jelszavad. Tök király... :)
Ha esetleg az oldal üzemeltetőjének eddig mégse lett volt meg az a bizonyos jelszó adatbázis, ezek után már csak az email címek kellenek neki és mehet a brute force... :P

Seems legit. :)

Token, DNS minta, bőr alá ültetett chip, retina, magyarorszag.hu regisztráció, egyszerhasználatos 1024 karakteres jelszavak. Természetesen mindez együtt. :)

Érdekes nézni a pici ingásokat, amiket a hír okozott a LinkedIn részvényárfolyamában.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

sőt nemide

A következőt tapasztaltam most:
*be akartam lépni a LinkedInre, de nem tudtam melyik címemmel regisztráltam már
*az egyikre sikerült is kérni jelszóemlékeztetőt (évek óta használt gmailes cím)
*be is léptem, de nem az én profilom volt, a név mondjuk hasonló volt
*e-mail címet csak megerősítő e-mail után lehet hozzáadni

Szerintetek hogy lehetett ez? Ti mit tettetek volna? (Én elég drasztikus voltam első felindulásomban.)
--
Direp

Kevesebbet kellene inni :-). Egyebkent passz, volt nekem is ilyenem, de mindig kiderult kesobb, hogy vmi alfa/beta/gamma tesztje volt a cuccnak, amire regeltem, csak elfelejtettem.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Valami ilyesmi történt:
*az én e-mail címem valami[kukac]valami.com
*a másik felhasználóé valami00[kukac]valami.com
*a 00 valahogy eltűnt
*innentől kezdve jött nekem a passwd reset stb.
--
Direp

Ja, az latod lehet. Bar a fene tudja, nem szoktak az email cimeket strippelni...
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal