8 Июня, 2012

О сильных паролях замолвите слово: Пример от LinkedIN

Владимир Гнинюк
Наверное самая яркая новость недели – это информация о похищении базы данных паролей достаточно популярной социальной сети LinkedIN.
Новость, конечно, неприятная, я сам участник нескольких групп, но мне было любопытно как в рамках «свободного интернет сообщества» идет реагирование на инцидент.
Хочется сразу ограничить контекст и темы «наплевательское отношение» и «как же так» оставить для анализа другим.

Что нам стало известно?
Была похищена база данных, хранящая хеши паролей 6.5 миллионов  пользователей, а для хэширования паролей, использовался алгоритм SHA-1 без «соли».

Что из этого следует?
1. Сегодня LinkedIn декларирует 150+ миллионов пользователей, таким образом было украдено пароли менее 4.5% пользователей
Микровывод: существует высокая вероятность, что наши с вами данные могли и не попасть в руки злоумышленников.

2. LinkedIn использовал хеширование.
Микровывод: это хорошо, так как просто прочесть пароли не удастся, необходимо проведение брут-форс атаки.

3. LinkedIn использывал алгоритм SHA-1 без «соли»
Микровывод: это не очень хорошо, мало того что сам SHA-1 уже давно требует «отставки», так  для тех кто использовал «слабые» пароли, применение заранее подготовленных «радужных таблиц», вынудит расстаться со своими секретами очень быстро.
Сразу хочу оговориться, что пока не встречал упоминаний о радужных таблицах для SHA-1 для паролей сложнее, чем sha1_mixalpha-numeric#1-7. А следовательно, если у Вас «Большие и маленькие» + «символы» + «цифры» и пароль более скажем 9 символов, то пока переживать нечего.

Теперь хотелось бы посмотреть на советы: «Что делать?»
Превалирует совет: «Срочно измените пароль!»

Совет конечно неплохой, но не полный.Я бы его дополнил следующим образом:
«Необходимо срочно изменить пароль, и если вы успели его изменить, до официального признания «утечки» и следовательно (по крайней мере я так надеюсь) понимания «как утечка произошла», необходимо повторно изменить пароль после «официального признания», в противном случае «новый» пароль может постичь участь «старого».

Сегодня мы знаем, что инцидент официально подтвержден , и пароли «посолены». 


Вывод?Так он прост:

от инцидентов ИБ никто не застрахован, поэтому каждый должен заботиться о своей безопасности самостоятельно. И если речь идет о паролях, то они должны быть уникальными для каждого ресурса и обязательно сильными !

А уж какие пароли точно точно  не надо использовать, можно проверить здесь (не знаю как долго будет работать ссылка)
или введите имя

CAPTCHA
8 Июня, 2012
Сразу хочу оговориться, что пока не встречал упоминаний о радужных таблицах для SHA-1 для паролей сложнее, чем sha1_mixalpha-numeric#1-7. А следовательно, если у Вас «Большие и маленькие» + «символы» + «цифры» и пароль более скажем 9 символов, то пока переживать нечего.Прочтите мою статью. Волноваться не о чем, ага .... тут
0 |
  • Поделиться
  • Ссылка
Статью прочел. Спасибо. Рекомендации поддерживаю. Помогите вспомнить три пароля: 65a2545896c5821ae3d406c76f61957fadd01146 65ba67478cedd8c6a0d4cc71299879f05913ac7f e22792e55afcfc16b24a316dd29229a78dae9737
0 |
9 Июня, 2012
лучше создайте новые
0 |
ОК. Перефразирую. Покажите, что 9 симоволов это мало...
0 |