SVT breder på stort att tio miljon svenska konton har fått sina lösenord hackade. Så är inte fallet. Rätt svar är att tio miljoner svenska konton har fått oftast krypterade lösenord läckta på nätet.
Vad det egentligen handlar om är att SVT sammanställt de senaste årens läckta lösenordsdatabaser hos diverse Internettjänster. Det handlar om hackare som tagit sig in via olika metoder och lyckats ladda ner e-postadresser och lösenord på olika tjänster, t ex Dropbox eller LinkedIn.
I de allra flesta fall är lösenorden envägskrypterade, dvs inte lagrade i klartext. Detta för att just göra att sådana här hack får begränsade skador för de som har bra lösenord. Använder du 1234 eller qwerty som lösenord ligger du sämre till.
Genom ett frö (eng seed, salt) krypteras ditt lösenord med en algoritm som inte går att avkryptera. Vid inloggning används samma frö för att upprepa detta och de två krypterade lösenorden jämförs för att se om de är samma. T ex kan en läcka rent hypotetiskt se ut så här:
[email protected] sxy1hdg7adt4ih473497yr54
Ovanstående är e-postadressen och det krypterade lösenordet. Ovan är hypotetiskt “sxy1” fröet och resten är resultatet av krypteringen av lösenordet. Nej, jag klickade bara slumpvis på tangentbordet, men varsågoda ändå.
För att hacka dessa lösenord måste man via brute force – genom en massiv körning – testa en enorm databas av lösenord mot det krypterade lösenordet, som alla krypteras med fröet och sedan jämförs med resultatet. Har du lösenord som 1234 så går det rätt enkelt. Lösenordsdatabaserna är i princip ordböcker på alla världens språk, kända vanliga lösenord, samt tillägg av siffror och tecken till dessa och substitution av vissa tecken. Rena sifferkombinationer finns också, samt kombinationer av ord. Det finns också tjänster på nätet som luras, så du ska ange ditt lösenord för att testa hur det ser ut om det är saltat eller testa om ditt lösenord håller bra kvalitet och inte finns i databaser. Bra sätt att samla in nya lösenord på…
I slutändan kanske din login till LinkedIn kan knäckas om du har ett knäckbart lösenord. I vissa fall är inte fröet ens känt från läckan och det blir i praktiken omöjligt att få fram några lösenord.
Om du sedan har detta lösenordet kopplat till din e-postadress på fler tjänster kan man sedan testa det och ta sig in på fler platser.
Verkligt känsliga tjänster ska du förstås ha aktiverat tvåstegslösen på – då spelar det ingen roll om lösenordet läcker, man måste också få tillgång till oftast din mobiltelefon för att kunna logga in, då andra steget skickas som ett SMS (eller meddelande till valfri registrerad iCloud-enhet för Apples iCloud).
Även om det i vissa fall faktiskt är e-posttjänster som hackats, så är det inte det i samtliga fall.
Dock, se till att gå in på SVT:s tjänst och kolla om dina e-postadresser finns i databasen, och byt lösen på dessa platser, samt på andra platser där du använder samma lösenord. Och kom ihåg att aldrig ha samma lösenord på känsliga tjänster, utan olika för varje tjänst.
Och till tjänster du inte litar på – använd inte samma lösenord som till någon känslig tjänst.
Vissa av de “läckta lösenorden” verkar också vara fejk – din e-postadress kan hittas kopplad till en tjänst du inte registrerat dig hos, och där någon fejkat eller “utökat” en läcka i syfte att imponera eller försöka tjäna pengar. Badoo verkar vara ett sådant exempel, så SVT:s siffror är värre än vad de egentligen är.
Därmed är inte sagt att hackade inloggningsuppgifter inte är ett problem för de som har svaga lösenord.
Och ni som just nu testar om min e-post finns i databasen, tack så jättemycket för att ni klickar på skicka mail med uppgifterna – det är jag som får dem, inte du. Och ja, jag har bytt lösenord hos de tjänster där mina e-postadresser förekommer.
Däremot borde någon utbilda anställda på t ex Säpo eller FRA i att de inte ska använda sin uppenbarligen mycket känsliga jobb e-post som inloggnings-id på olika tjänster ute på Internet. Fascinerande att FRA-anställda gör detta.
Det finns en sekundär säkerhetsrisk med detta. Och det är att det via andra sådana här tjänster, som haveibeenpwned.com exponeras vilka tjänster du använder. Hypotetiskt kan t ex politiska partier, missbrukarsajter, sajter för specifik sexuell läggning, otrohetssajter mm vara hackade och listade, vilket släpper personlig information om dig och dina preferenser.
24 kommentarer
Finns en annan tjänst som har gjort det här ett tag: https://haveibeenpwned.com/
För min del var det samma resultat som hos SVT samt att här fanns det förklarat när man dök upp i listan på respektive tjänst
Youtube kanalen Computerphile har gjort en utmärkt video om det här:
https://www.youtube.com/watch?v=7U-RbOKanYs
Tar inte så lång tid som man kan tro att knäcka lösenorden, några minuter så är ett antal lösenord knäckta.
https://www.reddit.com/r/sysadmin/comments/4n4oox/fyi_the_linkedin_password_database_is_now_on/
Apropå att hacka och hugga så är ju grepen den perfekta julklappen. Den vänder jorden, den hjälper till att sålla fram potatisar och, i Dan Eliassons fall, minor.
Trodde du menade grep som: grep -i '[email protected]' *.filändelse || hax/output.txt
Stoffe helt rätt sorts grepar och pipor. Fast jag tror inte det är dubbelpipe du menar utan pipe-tee (förutsatt 'normalt' skal och att du vill ha output dessutom till stdout). Förlåt men sånt här har religiös betydelse 😉
grep -i cornucopia /etc/shadow | tee cornu_hash
Såklart! Här står man avslöjad med brallorna nere som den Mac användare man är.
Hur hanterar ni era lösenord? Använder keepass där password filen ligger i en dropbox folder. Funkar sådär eftersom det blir problem med synkningen ibland om du glömmer att stänga ner programmet innan du byter till en annan maskin.
I vissa mindre viktiga fall så förlitar jag mig på att google håller reda på dem, eller i en krypterad fil om jag skulle glömma dem, i andra enstaka viktiga fall så finns de bara i mitt huvud och alla lösenord är betydligt längre än 10 tecken av alla sorter.
Skulle aldrig våga lägga dem i nåt program som håller reda på dem åt mig.
Jag har enkla lösenord på enkla tjänster, spelar ingen större roll om lösen skulle läcka.
Jobbet, gmail och apple får unika, svåra, de två senare dessutom med 2-stegs. Håller dessa i huvudet resten administreras med Apples-icloud.
De flesta lösenord är ganska menlösa, de kan man låta vara samma.
Annars tycker jag det inte verkar finnas någon riktigt bra lösenordshanterare, integrationen är bristfällig, det finns inget stöd för sånt i OSet. Annars har jag inte haft någon större oro för att använda sådan givet att det är OS och verkar seriöst.
Annars om det är riktigt viktigt lösenord så bör man nog ha flerfaktorsautentisering.
Att knäcka krypterade lösenord är en barnlek även för amatörer. Ett ord: regnbågstabeller
Jag rekommenderar intresserade att läsa den här artikeln: How I became a password cracker
Denna är också bra (en follow-up): Anatomy of a hack: How crackers ransack passwords like “qeadzcwrsfxv1331”
Men bygger inte det på att folk använder naivt enkla passwords (eller undermålig hashfunktion). Jag är rätt övertygad om att dessa metoder går bet på starka lösenord och ordentlig hashfunktion.
Appropå, det här publicerades I vårt östra grannland. Vad tror du om den srtikeln Cornu?
https://svenska.yle.fi/artikel/2016/11/21/facebookvirus-sprider-sig-bland-en-del-anvandare-kan-troligen-kryptera-data-och
Som redan tipsats om på just denna bloggen, aktivera 2-step verifikation för det går (tex Google, Apple etc)
Du verkar tyvärr inte veta vad salt är.
Om du har ett lösenord, så har du ett salt som är en ytterligare sträng. Okänd för omvärlden och bara kännd av de som har programmerat mjukvaran.
Säg att saltet är strängen salt. Du använder md5 som hashalgoritm. Då kan det i något språk se ut t.ex sådär.
hash = md5(lösenord + salt).
Ett salt gör databaserna med hash meningslösa eftersom de t.ex då är md5 hashar.
Inte hashar på lösenord + okända salt.
Att salta skyddar mot regnbågstabeller men inte mot brute force attacker.
Salting. Salting attempts to defeat table lookup attacks by adding several characters to the password before passing it through the hashing algorithm, and these characters don't have to remain secret.
Imagine, for instance a website that secures millions of passwords with a single iteration of SHA256. Imagine that 25 percent of them use the same weak password of "123456." Unfortunately for the hacker (and fortunately for the website and its users), each password will have to be cracked individually, even though 250,000 of them are the same. Because the website appended a unique, randomly generated "salt" such as "0hJ3l1" to each password, the resulting hash will contain a different value. In addition to preventing large numbers of passwords from being cracked all at once, salting also thwarts cracking techniques that rely on rainbow tables.
Because salt is often not hidden, but stored right with the hashed passwords, it may provide no defense against traditional wordlist attacks—which is why password security often depends on a combination of all of these techniques.
Det Kristian säger.
Självklart är hashen producerad med salt (eller frö som cornu säger). Det hjälper inte mot en standard brute-force metod, vilket är anledningen till att korta lösenord är dåliga då de tidigare går att knäcka än långa/komplexa.
Frö och salt är två olika saker: http://security.stackexchange.com/questions/80904/what-are-the-differences-between-an-encryption-seed-and-salt
FuckModHejaSd42426969
Mitt tips är att använda parametriska lösenord, som anpassas efter platsen de är till. Om jag t.ex. har lösenordet "password" och vill anpassa det till aftonbladet.se och expressen.se så blir det "AF_password" för aftonbladet och "EX_password" för expressen. Då blir det både lätt att komma ihåg och det gör inte särskilt mycket om lösenordet kommer ut ens i klartext.
I realiteten så gör jag inte anpassningen så enkelt, så att en person som manuellt läser lösenordet kan inte enkelt skilja på baslösenord och anpassning. Typ ab0_RRt76!xse.882 för aftonbladet.se ("ab" för aftonbladet + "0_RRt76!x" som lösenordsbas + "se." för att det är en se-domän + "882" som en andra del av baslösenordet). Och ab0_RRt76!xse.882 är ett i princip oknäckbart lösenord då det både är långt och inte matchar något vanligt ord.
Som lösning mot skadan av att lösenordet blir känt är det ganska magert skydd. Vid det läget är det inte de tolv(?) tecknena som utgör själva lösenordet som skall knäckas, utan det är bara att "ab" står för kvällsposten som skall luskas ut och då är det ganska givet att man kanske testar "ex" för expressen.
Då kan man nästan lika gärna använda samma lösenord eftersom skillnaden är så liten att den kan vara ganska enkel att forcera.
Den här kommentaren har tagits bort av skribenten.