Hlavní navigace

Co víme o uniklých heslech z LinkedInu

Michal Illich 8. 6. 2012

Včera vyšlo najevo, že sociální síti LinkedIn unikla hesla 6,5 milionů uživatelů. Byli mezi nimi i ti z Česka. Hackeři se mohli k heslům dostat ale mnohem dříve.

Sociální síť LinkedIn má poměrně zásadní problém. Včera vyšlo najevo, že do rukou hackerů se dostalo 6,5 milionu hesel uživatelů v „hash“ podobě, ze které ale není nijak obtížné získat skutečné heslo.

1. Existuje soubor s více než 6 miliony hashi hesel (jde poměrně jednoduše sehnat, sám mám doma kopii).
2. LinkedIn potvrdil, že ty hashe odpovídají jeho heslům.
3. Hesla v uniklém souboru jsou unikátní. Odpovídají tedy víc než 6 milionům uživatelů.
4. Hash mého hesla (středně složitého) v souboru není. Hash hesla +Michal Špaček (velmi složitého) tam je.
5. Z těch 6 milionů hesel je zatím známo, že se podařilo rozlousknout 300 tisíc (update: sophoslabs už hlásí, že rozlouskli 3,5 milionů hesel z toho souboru)
6. U jednoduchých hesel je prvních 5 znaků hashe nahrazeno za „00000“. To je těch 3,5 milionů hesel, o kterých byla řeč v bodě 5.

Když si dám dvě a dvě dohromady, tak můj názor je:
- mohlo uniknout hashů víc, než je v daném souboru, možná i všechny
- tipoval bych, že původní hackeři i vědí, kterým účtům hesla patří
- většinu hesel rozlouskli sami (rozlousknout většinu hesel v nesaltovaném SHA1 je totiž jednoduché – existují obrovské databáze, které se pro zpětný převod dají použít)
- dodatečné informace mě vedou k názoru, že uniknutí hesel neproběhlo teď, ale mnohem dříve, přibližně necelý rok zpátky

Jediným řešením pro LinkedIn je imho všechna stará hesla zablokovat a vyzvat všechny uživatele ke změně. Nová hesla minimálně saltovat. A prověřit, kudy utekly, aby se to nestalo podruhé. Pokud vím, tak už něco v tomhle směru dělají, ale divím se, že na hlavní stránce linkedin.com ani na přihlašovacím formuláři o tom není ani slovo.

Našli jste v článku chybu?

8. 6. 2012 21:36

Tomas Voracek (neregistrovaný)

Spis me zarazi, ze firma jako LinkedIn nepouzila saltovani. To mi prijde jako amaterismus nejvetsiho kalibru.

Podobne jako nedavno Sony se svou PSN, kde pro jistotu vse ukladali primo v plaintextu...Hooray

9. 6. 2012 13:47

Používat login jako salt má výhodu automaticky zajištěné unikátnosti. Já předkládám hashovací funkci heslo zřetězené s loginem a s dalším konstantním výrazem odvozeným od názvu webu. Útočník by musel mít zvláštní sadu duhových tabulek pro každého crackovaného uživatele.

Tento článek mě přivedl na myšlenku nepoužívat pouze jedno hashování osoleného hesla, ale několikrát je zacyklit, aby kontrola hesla trvala řádově sekundu. Během přihlašování toto malé zdržení nevadí, ale generování rainbow …

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET