Kirjaudu ▼
 

Linkedin-salasanoja: f-secure, sophos, symantec…

Linkedin-salasanoja: f-secure, sophos, symantec…
Luulivatko käyttäjät olevansa nokkelia? Helppo salasana kostautui, mutta myös Linkedinin pitää katsoa peiliin.
Tuomas Linnake
7.6.2012 12:55
41

Tietoturvayhtiö Sophos kertoo lisää tietoa yhteisöpalvelu Linkedinin kärsimästä tietomurrosta. Sophos päätteli, että palvelusta vietiin 5,8 miljoonaa ainutkertaista salasanatiivistettä, joista oli keskiviikkona murrettu jo 60 prosenttia. Se tarkoittaa, että 3,5 miljoonaa salasanaa on jo julkisesti tiedossa.

Sophos myös vertasi varastettuja salasanoja huonoihin salasanoihin, joita Conficker-mato käytti levitessään Windows-koneissa. Melkein kaikki samat salasanat oli valittu myös LinkedIniin jonkun käyttäjän toimesta.

– Löysimme myös salasanoja, joiden perusteella ihmisten pitäisi tietää paremmin, kuten "sophos", "mcafee", "symantec", "kaspersky", "microsoft" ja "f-secure", Sophoksen Chester Wisniewski toteaa.

Linkedin on vahvistanut murron, jonka ajankohta ja laajuus on vielä epäselvä. Ei ole esimerkiksi tietoa, saivatko varkaat mukaansa myös sähköpostiosoitteita ja muuta käyttäjätietoa.

∇ Mainos, artikkeli jatkuu alempana ∇ ∇ Artikkeli jatkuu ∇

Se tiedetään, että Linkedin oli suojannut salasanat puutteellisesti. Ne oli tiivistetty (hash), mutta niitä ei ollut suolattu (salt). Nyt Linkedin ottaa suolauksen käyttöön kaikilla käyttäjillä.

Suolaus lisää salasanan eteen satunnaisen bittijonon, joka vaikeuttaa ja hidastaa salasanan murtamista.

Yritykset Sophos
Lisää Aiheesta
Copyright Creative Commons Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
Lisää suosikkeihin

Henkilökohtaiselle suosikkilistalle tallentaminen vaatii kirjautumista.

KirjauduRekisteröidy

Kommentit (41)

Sivut: 1 2 3 4 5
EdellinenSeuraava

Anonyymi
"Nyt Linkedin ottaa suolauksen käyttöön kaikilla käyttäjillä."

Tätähän ei tietenkään voinut tehdä jo aiemmin, vaikka ongelma on taatusti ollut tiedossa. Amatöörit tuollakin näköjään töissä.
ryppyreikä 7.6.2012 13:17

Anonyymi
ehrotan: kuzipiaepomo
sihtteeeri 7.6.2012 13:18

Anonyymi
Kylläpä hymyilyttää taas kun on amatöörit vauhdissa.
n00b dude 7.6.2012 13:21

Anonyymi
Olen rekisteröitynyt vain sähköpostiin. Muilla ns. nettipalveluilla en tee mitään.
salasana ei ole umpi 7.6.2012 13:27

Anonyymi
Kylläpä hymyilyttää taas kun on amatöörit vauhdissa.


Hymyilyttäisi jos olisi amatöörit vauhdissa. Vähemmän hymyilyttää se, että näissä on tiedon puutteen sijasta kyse lähinnä silkasta piittaamattomuudesta.
******** 7.6.2012 13:35

Anonyymi
Tyypillisiä applekäyttäjän salasanoja


Jep jep, ohjelmien nimiä joita Applekäyttäjät eivät käytä...eiköhän nuo ole aika yksi yhteen windows-käyttäjien salasanoja... järkeä voi käyttää, jopa trollauksessa.
realisti 7.6.2012 13:35

Anonyymi
Käyttäjillä huonoja salasanoja

QUICK CALL THE PRESS
7 goes in all fields 7.6.2012 13:41

Anonyymi
Ei kukaan viitsi keksiä jokaiseen höpö-palveluun, kuten linkedin, hankalia salasanoja. Oikeisiin, luottamuksellista tietoa sisältäviin, palveluihin keksitään kunnollinen salasana ja näihin höpöjuttuihin ensin mieleen tuleva helppo sana.

Tosin ongelma ei tälläkään kertaa ole siinä että käyttäjätunnus/salasana-pareja levisi julkisuuteen, vaan siinä että roskapostittajat saivat käyttäjätunnuksista taas 5,8 miljoonaa varmasti toimivaa sähköpostiosoitetta.
Susannah 7.6.2012 13:49

Anonyymi
Ei suolauskaan paljon auta kun sekin yleensä vuotaa samalla. SHA-1, MD5, ym. eivät ole turvallisia hasheja vaikka ovatkin yleisesti käytössä. Tämä johtuu siitä että ne on suunniteltu olemaan mahdollisimman nopeita. Käytännössä esim. MD5-hasheja voidaan laskea peruskoneellakin jo useita miljardeja sekunnissa, joten pitkäkin salasana murtuu nopeasti, vaikka olisi suolattukin ja suola tiedossa. Tämän takia näitä 'helppoja' hasheja ei saisi koskaan käyttää.

Parempi vaihtoehto käyttää esim. bcryptiä/scryptiä jotka on myös helppo ottaa käyttöön millä tahansa ohjelmointikielellä.
Salt 7.6.2012 13:51

Anonyymi
Hyvä salasana on esin. pA1nanz1h7eeriaep3rccN
pomo 7.6.2012 13:56
Sivut: 1 2 3 4 5
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti Yöaikaan lähetetyt kommentit päätyvät toimituksen tarkistettavaksi. Kommentit tarkistetaan ja hyväksytään seuraavan päivän aikana. Muina aikoina viestit ovat jälkimoderoinnissa.
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Uutisotsikot

 
Viikon kommentoiduimmat
Dilbert on muuttanut. Lue Dilbert Taloussanomien etusivulta