Hlavní navigace

Co víme o uniklých heslech z LinkedInu

Michal Illich

Včera vyšlo najevo, že sociální síti LinkedIn unikla hesla 6,5 milionů uživatelů. Byli mezi nimi i ti z Česka. Hackeři se mohli k heslům dostat ale mnohem dříve.

Sociální síť LinkedIn má poměrně zásadní problém. Včera vyšlo najevo, že do rukou hackerů se dostalo 6,5 milionu hesel uživatelů v „hash“ podobě, ze které ale není nijak obtížné získat skutečné heslo.

1. Existuje soubor s více než 6 miliony hashi hesel (jde poměrně jednoduše sehnat, sám mám doma kopii).
2. LinkedIn potvrdil, že ty hashe odpovídají jeho heslům.
3. Hesla v uniklém souboru jsou unikátní. Odpovídají tedy víc než 6 milionům uživatelů.
4. Hash mého hesla (středně složitého) v souboru není. Hash hesla +Michal Špaček (velmi složitého) tam je.
5. Z těch 6 milionů hesel je zatím známo, že se podařilo rozlousknout 300 tisíc (update: sophoslabs už hlásí, že rozlouskli 3,5 milionů hesel z toho souboru)
6. U jednoduchých hesel je prvních 5 znaků hashe nahrazeno za „00000“. To je těch 3,5 milionů hesel, o kterých byla řeč v bodě 5.

Když si dám dvě a dvě dohromady, tak můj názor je:
- mohlo uniknout hashů víc, než je v daném souboru, možná i všechny
- tipoval bych, že původní hackeři i vědí, kterým účtům hesla patří
- většinu hesel rozlouskli sami (rozlousknout většinu hesel v nesaltovaném SHA1 je totiž jednoduché – existují obrovské databáze, které se pro zpětný převod dají použít)
- dodatečné informace mě vedou k názoru, že uniknutí hesel neproběhlo teď, ale mnohem dříve, přibližně necelý rok zpátky

Jediným řešením pro LinkedIn je imho všechna stará hesla zablokovat a vyzvat všechny uživatele ke změně. Nová hesla minimálně saltovat. A prověřit, kudy utekly, aby se to nestalo podruhé. Pokud vím, tak už něco v tomhle směru dělají, ale divím se, že na hlavní stránce linkedin.com ani na přihlašovacím formuláři o tom není ani slovo.

Našli jste v článku chybu?
8. 6. 2012 21:36
Tomas Voracek (neregistrovaný)

Spis me zarazi, ze firma jako LinkedIn nepouzila saltovani. To mi prijde jako amaterismus nejvetsiho kalibru.

Podobne jako nedavno Sony se svou PSN, kde pro jistotu vse ukladali primo v plaintextu...Hooray

9. 6. 2012 13:47

Používat login jako salt má výhodu automaticky zajištěné unikátnosti. Já předkládám hashovací funkci heslo zřetězené s loginem a s dalším konstantním výrazem odvozeným od názvu webu. Útočník by musel mít zvláštní sadu duhových tabulek pro každého crackovaného uživatele.

Tento článek mě přivedl na myšlenku nepoužívat pouze jedno hashování osoleného hesla, ale několikrát je zacyklit, aby kontrola hesla trvala řádově sekundu. Během přihlašování toto malé zdržení nevadí, ale generování rainbow tabl…