Imgur utsatt för intrång

Bättre sent än aldrig...

//Jonathan

Skickades från m.sweclockers.com

Spännande att dom själva inte märkte av intrånget.

Då det har gått så många år i mellan så har skadad redan hänt och om det var något som dom ville komma åt så har dom redan gjort det.

Kompetens ger sällan störst pengar eller siffror när de gäller mjukvaruentreprenörer.

Vilket också är en av de anledningarna varför jag säger till människor att hålla sig borta från t.ex. lösenords-appar som sparar nya lösenord på ett och samma ställe.

Jo men alltså, jag håller med dig. Men min erfarenhet är att när folk väl börjar använda dessa tjänster, blir de till sist lata och struntar i att gå och ändra äldre lösenord på t.ex. facebook/mail/twitter etc och då spelar det ingen roll egentligen.

Och ja, allt för många har "Namn på partner, förälder, barn eller dylikt med första bokstav stor(Siffra för födelseår, sista siffrorna i personnummer)".

Password manager kan bara förbättra situationen inte försämra den. Visst det går använda den och få det ännu sämre men då måste man aktivt vilja göra det.

Sedan finns det ingen fördel i att byta lösenord utan någon anledning. Visst, om dit FB lösenord är "hej" så kanske det är bäst att byta eller ta bort kontot och använda något som är mindre integritetskränkande. Likaså om du använde samma lösenord på många sidor är det bäst att ändra, men även om du inte ändrar och börjar använda säkrare lösenord för nya sidor är det en helt klar förbättring.

Edit: Tänk på det som HTTPS, visst det är trivialt att knäcka och CAs går inte lite på alls men det är fortfarande en smula säkrare än att köra okrypterat.

Jag tycker att Imgur bör straffas, kanske bör ägar(na) bakom sajten för att dom inte offentligtgjort att användarnas uppgifter kommit ute på vift.
Sökmotorer som Google borde ranka sajten lägre.
Domstol kanske borde bötlägga dom.

Har man blivit hackad så tycker jag det är deras ansvar att gå ut med det till berörda parter.

Vidare bör man inte använda SHA-2 om man inte även saltat.
Dessutom bör man inte bara hasha lösenord, man hasning är designat för att vara väldigt snabbt, så man bör istället använda PBKDF2 eller liknande.

Kan säga att jag hade inte klarat mig utan KeePass! Har användarkonto på 100 tals tjänster och självklart vill jag ha olika lösenord. Att komma ihåg så många olika lösenord kan man glömma oavsett vem man är.

På senare tid har jag till och med börjat köra med genererade lösenord som ex 72876a731b64425f36ed51d098d41c26. Efter som jag ändå hämtar lösnorden från KeePass så spelar det inte mig något roll hur det ser ut.

En viktig faktor är såklart att man måste ha tillgång till sina lösenord var man än är och när det gäller KeePass så har jag databasen på min molndisk där både telefoner och datorer kommer åt den.

Visst finns det en risk att någon kan komma åt databasen och dessutom lyckas knäcka lösenordet men risken är förhållandevis låg.

Det är exakt det som är problemet med molnbaserade lösningar. Din databas sitter åtkomlig hela tiden (minst företaget kommer åt den). Lastpass krypterar på din dator så att de kan inte se klartext (utan buggar/bakdörrar) men risken finns ju då din databas är lätt tillgänglig.

Själv kör jag keepass som sitter vackert offline och är betydligt svårare att komma åt. Vill man synka den till flera enheter så finns tresorit eller spideroak som är säkra (tresorit har säker synk till mobilenheter med, något som spideroak inte har!!!).

Edit:

Denna sak kommer från en, 20+ år IIRC, gammal rekommendation från amerikanska NIST. Det blev nyligen ändrat till att ta bort detta "råd" och både NIST och personen som skrev det säger att de djup ångrar formuleringen men tyvärr har många IT personer fastnat i den idiotin.

Det ända det resulterar i är att folk kör med "lösenordXX" där XX räknas upp.

Vad är rainbow tables? Salt är väl random tal som kommer från företag som pysslar med att genera stora siffror från så oförutsägbara saker som möjligt?

Rainbow tables är redan förklarat, dock är salt förklaringen en smula fel.

Salt är inget annat än en slumpmässig sträng som läggs till ditt lösenord och sparas i klartext tillsammans med resulterande hash. Det betyder att ditt lösenord måste fortfarande vara bra då salt inte tillför någon som helst entropi, men det förstör rainbow tables eftersom man skulle behöva räkna ut nya för varje salt värde och det skulle ta lång tid.

Du kan tänka på det som effektivt din personliga hash algoritm.

Till det ska man lägga till flera/många rundor av samma hash algoritm (dvs. att du hashar hashen och så vidare) för att säkra att varje försök tar en viss tid. Det betyder att det tar längre tid när du ska räkna ut hashen men det betyder också att någon som vill knäcka ditt lösenord kommer behöva en massa tid/datorkraft.

Precis. Det är lite kontraintuitivt att man ökar säkerheten genom att lägga till något som är i klartext men det är så det fungerar Blir ju effektivt "ny" algoritm eller i alla fall ny variant.

Du baserar det på att folk inte använder dåliga lösenord till den typen av databas. Att använda ett pass-manager är ju inte särskilt bra om ett tredje parti faktiskt får tag på den databasen.

Jag baserar det på sannolikheter. Det är bra lättare att komma ihåg ett komplext lösenord än många. Lösenordshanterare gör det möjligt att ha många bra lösenord men behöva komma ihåg endast ett.

Last Pass och andra molnbaserade tjänster är helt klart en risk men det är enkla lösenord med och lastpass har gjort ganska bra ifrån sig på säkerhetsfronten. Det är därför jag säger att keepass är ett betydligt bättre val då den stannar hemma och är betydligt svårare att komma åt även om man har ett enkelt lösenord.

I slutändan finns det inget sätt att tvinga folk att ha bra säkerhet. Insisterar någon på att köra molnbaserat och dåliga lösenord är det inget du kan göra åt det men det betyder inte att alla andra ska lida för deras dumhet. Lösenordshanterare ökar säkerheten för de flesta och är därmed en bra idé.

Det optimala är fortfaranade att komma ihåg flera lösenord

Nej det är det inte då sannolikheten att du kan komma ihåg tillräckligt många bra lösenord är i princip noll.