Comments | mynegation: Утечка паролей с LinkedIn

mynegation

Утечка паролей с LinkedIn

Jun 06, 2012 13:27

С LinkedIn украли шесть с половиной миллионов хэшей паролей и файл с ними появился в сети. Многие из этих паролей уже взломаны. Если у вас есть аккаунт на LinkedIn, то из предосторожности следует сменить пароль на LinkedIn и везде, где вы его еще использовали (кстати, переиспользование паролей - очень плохая идея ( Read more... )

Comments 17

gornal June 6 2012, 17:31:39 UTC

Я правильно понимаю, что пользователю со словарным паролем беспокоиться не о чем, риск не увеличился?

mynegation June 6 2012, 18:02:14 UTC

Гм... Думаю все же увеличился. То есть из очень большого риска превратился в sure death. Одно дело перебирать пароли через веб-интерфейс, другое дело - крякнуть хэш за пол-секунды. В файле есть только хэши, связи с аккаунтами нет, ее-то как раз хакеры и продают, заодно предлагают всем поучаствовать в крэке хэшей.

gornal June 6 2012, 18:04:05 UTC

А, т. е. связь с аккаунтами все-таки есть? Не только пароли украли? Эх...

mynegation June 6 2012, 18:12:51 UTC

Достоверно широкой публике не известно, но есть все основания предполагать что есть. Странно было бы если кто-то, добравшись до базы, стырил только хэши.

(The comment has been removed)

mynegation June 6 2012, 17:58:20 UTC

Это правда, но на каждую почту, через которую можно восстанавливать другие пароли должен быть свой уникальный и очень сильный пароль (у меня больше 16 символов, сгенерированных случайно. И - да - я их запомнил). Также уникальные пароли должны быть на важные вещи - банки и аккаунты которые хранят платежные атрибуты, типа Амазона.

perelynn June 7 2012, 00:34:08 UTC

А я что-то не пойму, куда смотреть, чтобы узнать пароль утек или нет.
Сменила на всякий случай все равно, но интересно.

mynegation June 7 2012, 02:22:00 UTC

Так просто не посмотреть. Я успел скачать файл (зип размером более ста мегов, внутри список из 6.5 миллионов хэшей на 250 мегов). Затем нужно вычислить шестнадцатеричный дайджест SHA1 своего пароля и отыскать в файле. Если он там есть - значит утек. Если первые 5 знаков заменены на нули - еще и взломан. Ссылки на файл убиваются довольно быстро, но при желании наверное можно откопать.

Вот здесь есть сайт где по вбитому паролю вычисляется шестнадцатеричный хэш (на клиентской стороне, JavaScript-ом) и проверяется на наличие в базе. Вообще это плохая идея вбивать что бы то ни было относящееся к паролям в левые сайты, но тут уж все равно старый пароль.

Есть мнение, что опубликованный файл - только часть всей украденной базы, так что предполагать нужно худшее и менять независимо ни от чего.

perelynn June 7 2012, 02:27:13 UTC

Похоже, мой не взломали. Но я все равно сменила.

> внутри список из 6.5 миллионов хэшей на 250 мегов poige June 7 2012, 05:38:57 UTC

wc -l → 6143150

Thread 5

> Утечка паролей с LinkedIn poige June 7 2012, 05:34:55 UTC

LinkedIn - унылое говно. (Не?)удивительно, что стало enterprise. :)

Re: > Утечка паролей с LinkedIn poige June 7 2012, 05:53:23 UTC

Гы, похоже, эти дятлы одумались, и убрали запрет сохранения паролей в браузере.

Re: > Утечка паролей с LinkedIn mynegation June 7 2012, 12:49:53 UTC

Еще лучше было бы если бы эти дятлы нашли источник утечки (наиболее вероятны по моему мнению SQL injection или инсайдер) и стали бы использовать bcrypt вместо SHA-1 для хранения хэшей.

> стали бы использовать bcrypt вместо SHA-1 poige June 7 2012, 13:12:23 UTC

Да ладно, bcrypt. У них даже «соли» не было…

Thread 5

> мой пароль не уязвим для словарной атаки! poige June 7 2012, 05:37:53 UTC

Сколько символов? :)

Re: > мой пароль не уязвим для словарной атаки! mynegation June 7 2012, 12:45:15 UTC

Ok, you got me. 8 случайно сгенерированных букв смешанного регистра и цифр + 1 (не очень экзотический) спецсимвол. Достаточно, чтобы не угадать, подбирая, но конечно же недостаточно супротив GPU кластера, рвущего SHA1 на промокашки. Под "словарем" я имел в виду, что там нет ни одного слова, сокращения или аббревиатуры фразы.