[Пароль Leak] взломана база данных LinkedIn

Этим утром, дамп уникальных паролей из баз данных LinkedIn была размещена. От свалки, он показал, что хэши паролей не включают в себя соль. Это позволяет злоумышленнику создать таблицу радуги, которая действует со всеми хэшей. Так ожидать, что ваш пароль скомпрометирован. (Чувствовать то же самое, как если бы ваш пароль просочилась в текстовом виде)

Если у вас есть учетная запись LinkedIn и использовать тот же пароль для других услуг (например, mtgox), пожалуйста, измените пароль. Если вы не знаете, визит LeakedIn Проверять.

Другие новости здесь: https://news.ycombinator.com/item?id=4073309

И помните, чтобы всегда соль паролей

Цитата: gweedo от 06 июня 2012 года, 7:15:32 PM

И помните, чтобы всегда соль паролей

Кто солит пароль? Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли?

Цитата: kjlimo от 06 июня 2012 года, 7:29:22 PM

Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли?

Последний.

Цитата: kjlimo от 06 июня 2012 года, 7:29:22 PM

Кто солит пароль? Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли?

kjlimo,

Это, к сожалению, до оператора веб-сайта, чтобы сделать. Самое безопасное, что вы можете сделать, как потребитель пользователь случайный пароль на каждом сайте.

Честно говоря, я чувствую, что собирается принять компании, являющиеся силу публично раскрывать их точный механизм для хранения паролей и лица гражданской ответственности за неточные раскрытия. Я имею в виду, что это не 2012 1971. Там нет абсолютно никакого возможного оправдания не использовать bcypt (или аналогичный) гораздо меньше, даже не соления паролей. Безопасность через неизвестность никакой безопасности на всех.

Может быть, мы можем получить такую информацию от веб-сайтов Bitcoin через общественное давление.

Таким образом, основные Bitcoin бизнеса и обмены, как вы хранить ваши пароли?
MtGox?
CampBX?
Bitcointalk?
Bitmit?
Deepbit?
Bitcoinica?

Все добровольцы?

~~Проклятье, я не могу найти зеркало утечки.~~
О, нашел его. Это весело.

Цитата: TangibleCryptography от 06 июня 2012 года, 7:37:38 PM

Bitcointalk?

bitcointalk соли своих паролей, так как я видел нить об этом говорить

CoinDL и ExchB оба используют соль и несколько раундов хэширования.

Цитата: i_rape_bitcoins от 06 июня 2012 года, 7:13:12 PM

Если у вас есть учетная запись LinkedIn и использовать тот же пароль для других услуг (например, mtgox), пожалуйста, измените пароль. Если вы не знаете, визит LeakedIn Проверять.

Серьезно люди не идут в LEAKEDin и введите свой пароль. Будь честен или нет, вы не получите ничего от потенциально вручая пароль к некоторому случайному сайт в Интернете.

Цитата: realnowhereman от 06 июня 2012 года, 7:55:28 PM

Цитата: i_rape_bitcoins от 06 июня 2012 года, 7:13:12 PM

"Просто укажите свой пароль (который мы хэширования с JavaScript; просмотр источника для проверки) Или SHA-1 хэш пароля ниже, и мы проверим."

браузер хэш пароля ----- посылает на сервер -----> сервер отвечает, если хэш совпадает.

Цитата: TangibleCryptography от 06 июня 2012 года, 7:37:38 PM

Bitcointalk?

SMF использует SHA-1 хеши соленых с именем пользователя. Не самый большой, хотя и лучше, чем LinkedIn. (Я пытаюсь улучшить безопасность паролей.)

Цитата: i_rape_bitcoins от 06 июня 2012 года, 8:07:39 PM

О том, что все в порядке, то ... до тех пор, как он говорит "мы честны" на веб-сайте, его должен будь умницей.

Цитата: realnowhereman от 06 июня 2012 года, 8:11:25 PM

Цитата: i_rape_bitcoins от 06 июня 2012 года, 8:07:39 PM

О том, что все в порядке, то ... до тех пор, как он говорит "мы честны" на веб-сайте, его должен будь умницей.

Источник доступен для тех, кто читать.

Цитата: mcorlett от 06 июня 2012 года, 8:14:00 PM

Цитата: realnowhereman от 06 июня 2012 года, 8:11:25 PM

Цитата: i_rape_bitcoins от 06 июня 2012 года, 8:07:39 PM

О том, что все в порядке, то ... до тех пор, как он говорит "мы честны" на веб-сайте, его должен будь умницей.

Источник доступен для тех, кто читать.

Просто измените пароль на LinkedIn, то вам не нужно беспокоиться о том, если источник чтения состоянии или что-нибудь. Задача решена

Я ожидаю, что они не получают пароли всех пользователей.

Я скачал просочилась текстовый файл и убедиться, что хэш моего пароля НЕ был там. Проверил хэш другого друга от работы здесь, и его не было ни. Так как они не получили все пароли, они получили все пароли, но не освободить всех из них, или список является подделкой. Вероятно, один из первых двух (я сомневаюсь, что это подделка)

EDIT: Кроме того, имена пользователей не были включены в файл. Так как они не имеют имен пользователей, чтобы пойти с паролями или более вероятно, они есть, но просто не отпускали их. Вероятно, только и ждут, чтобы продать имя пользователя + пароль список хэш самую высокую цену.

они получили 6.5mil из 150 миллионов пользователей

Цитата: Serge от 06 июня 2012 года, 8:48:49 PM

они получили 6.5mil из 150 миллионов пользователей

Ну, там было 6,5 миллиона различных паролей. Принимая во внимание многих пользователей выбрать те же самые плохие пароли, что очень вероятно, представляет собой намного больше, чем 6,5 миллиона пользователей.

Цитата: ErebusBat от 06 июня 2012 года, 7:31:56 PM

Цитата: kjlimo от 06 июня 2012 года, 7:29:22 PM

kjlimo,
Это, к сожалению, до оператора веб-сайта, чтобы сделать. Самое безопасное, что вы можете сделать, как потребитель пользователь случайный пароль на каждом сайте.

+1
Прохладный инструмент для работы > Keepass

Цитата: ErebusBat от 06 июня 2012 года, 7:31:56 PM

Самое безопасное, что вы можете сделать, как потребитель пользователь случайный пароль на каждом сайте.

Делать это гораздо проще с выделенным менеджером паролей, как LastPass.

6 июня 2012, 7:13:12 PM	# 1
i_rape_bitcoins Сообщений: 70 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Этим утром, дамп уникальных паролей из баз данных LinkedIn была размещена. От свалки, он показал, что хэши паролей не включают в себя соль. Это позволяет злоумышленнику создать таблицу радуги, которая действует со всеми хэшей. Так ожидать, что ваш пароль скомпрометирован. (Чувствовать то же самое, как если бы ваш пароль просочилась в текстовом виде) Если у вас есть учетная запись LinkedIn и использовать тот же пароль для других услуг (например, mtgox), пожалуйста, измените пароль. Если вы не знаете, визит LeakedIn Проверять. Другие новости здесь: https://news.ycombinator.com/item?id=4073309

6 июня 2012, 7:15:32 PM	# 2
gweedo Сообщения: 1246 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Получил 1806 Биткоинов Реальная история. И помните, чтобы всегда соль паролей

6 июня 2012, 7:29:22 PM	# 3
kjlimo Сообщения: 1708 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: gweedo от 06 июня 2012 года, 7:15:32 PM И помните, чтобы всегда соль паролей Кто солит пароль? Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли?

6 июня 2012, 7:30:12 PM	# 4
mcorlett Сообщения: 308 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: kjlimo от 06 июня 2012 года, 7:29:22 PM Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли? Последний.

6 июня 2012, 7:31:56 PM	# 5
ErebusBat Сообщения: 560 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: kjlimo от 06 июня 2012 года, 7:29:22 PM Кто солит пароль? Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли? kjlimo, Это, к сожалению, до оператора веб-сайта, чтобы сделать. Самое безопасное, что вы можете сделать, как потребитель пользователь случайный пароль на каждом сайте.

6 июня 2012, 7:37:38 PM	# 6
TangibleCryptography Сообщения: 476 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Честно говоря, я чувствую, что собирается принять компании, являющиеся силу публично раскрывать их точный механизм для хранения паролей и лица гражданской ответственности за неточные раскрытия. Я имею в виду, что это не 2012 1971. Там нет абсолютно никакого возможного оправдания не использовать bcypt (или аналогичный) гораздо меньше, даже не соления паролей. Безопасность через неизвестность никакой безопасности на всех. Может быть, мы можем получить такую информацию от веб-сайтов Bitcoin через общественное давление. Таким образом, основные Bitcoin бизнеса и обмены, как вы хранить ваши пароли? MtGox? CampBX? Bitcointalk? Bitmit? Deepbit? Bitcoinica? Все добровольцы?

6 июня 2012, 7:47:34 PM	# 7
Nimda Сообщения: 784 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn ~~Проклятье, я не могу найти зеркало утечки.~~ О, нашел его. Это весело.

6 июня 2012, 7:48:40 PM	# 8
gweedo Сообщения: 1246 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: TangibleCryptography от 06 июня 2012 года, 7:37:38 PM Bitcointalk? bitcointalk соли своих паролей, так как я видел нить об этом говорить

6 июня 2012, 7:52:31 PM	# 9
weex Сообщения: 1105 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn CoinDL и ExchB оба используют соль и несколько раундов хэширования.

6 июня 2012, 7:55:28 PM	# 10
realnowhereman Сообщения: 504 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: i_rape_bitcoins от 06 июня 2012 года, 7:13:12 PM Если у вас есть учетная запись LinkedIn и использовать тот же пароль для других услуг (например, mtgox), пожалуйста, измените пароль. Если вы не знаете, визит LeakedIn Проверять. Серьезно люди не идут в LEAKEDin и введите свой пароль. Будь честен или нет, вы не получите ничего от потенциально вручая пароль к некоторому случайному сайт в Интернете.

6 июня 2012, 8:07:39 PM	# 11
i_rape_bitcoins Сообщений: 70 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: realnowhereman от 06 июня 2012 года, 7:55:28 PM Цитата: i_rape_bitcoins от 06 июня 2012 года, 7:13:12 PM Если у вас есть учетная запись LinkedIn и использовать тот же пароль для других услуг (например, mtgox), пожалуйста, измените пароль. Если вы не знаете, визит LeakedIn Проверять. Серьезно люди не идут в LEAKEDin и введите свой пароль. Будь честен или нет, вы не получите ничего от потенциально вручая пароль к некоторому случайному сайт в Интернете. "Просто укажите свой пароль (который мы хэширования с JavaScript; просмотр источника для проверки) Или SHA-1 хэш пароля ниже, и мы проверим." браузер хэш пароля ----- посылает на сервер -----> сервер отвечает, если хэш совпадает.

6 июня 2012, 8:08:27 PM	# 12
theymos Сообщения: 2870 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: TangibleCryptography от 06 июня 2012 года, 7:37:38 PM Bitcointalk? SMF использует SHA-1 хеши соленых с именем пользователя. Не самый большой, хотя и лучше, чем LinkedIn. (Я пытаюсь улучшить безопасность паролей.)

6 июня 2012, 8:11:25 PM	# 13
realnowhereman Сообщения: 504 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: i_rape_bitcoins от 06 июня 2012 года, 8:07:39 PM "Просто укажите свой пароль (который мы хэширования с JavaScript; просмотр источника для проверки) Или SHA-1 хэш пароля ниже, и мы проверим." браузер хэш пароля ----- посылает на сервер -----> сервер отвечает, если хэш совпадает. О том, что все в порядке, то ... до тех пор, как он говорит "мы честны" на веб-сайте, его должен будь умницей.

6 июня 2012, 8:14:00 PM	# 14
mcorlett Сообщения: 308 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: realnowhereman от 06 июня 2012 года, 8:11:25 PM Цитата: i_rape_bitcoins от 06 июня 2012 года, 8:07:39 PM "Просто укажите свой пароль (который мы хэширования с JavaScript; просмотр источника для проверки) Или SHA-1 хэш пароля ниже, и мы проверим." браузер хэш пароля ----- посылает на сервер -----> сервер отвечает, если хэш совпадает. О том, что все в порядке, то ... до тех пор, как он говорит "мы честны" на веб-сайте, его должен будь умницей. Источник доступен для тех, кто читать.

6 июня 2012, 8:16:48 PM	# 15
gweedo Сообщения: 1246 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: mcorlett от 06 июня 2012 года, 8:14:00 PM Цитата: realnowhereman от 06 июня 2012 года, 8:11:25 PM Цитата: i_rape_bitcoins от 06 июня 2012 года, 8:07:39 PM "Просто укажите свой пароль (который мы хэширования с JavaScript; просмотр источника для проверки) Или SHA-1 хэш пароля ниже, и мы проверим." браузер хэш пароля ----- посылает на сервер -----> сервер отвечает, если хэш совпадает. О том, что все в порядке, то ... до тех пор, как он говорит "мы честны" на веб-сайте, его должен будь умницей. Источник доступен для тех, кто читать. Просто измените пароль на LinkedIn, то вам не нужно беспокоиться о том, если источник чтения состоянии или что-нибудь. Задача решена

6 июня 2012, 8:18:37 PM	# 16
epetroel Сообщения: 428 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Я ожидаю, что они не получают пароли всех пользователей. Я скачал просочилась текстовый файл и убедиться, что хэш моего пароля НЕ был там. Проверил хэш другого друга от работы здесь, и его не было ни. Так как они не получили все пароли, они получили все пароли, но не освободить всех из них, или список является подделкой. Вероятно, один из первых двух (я сомневаюсь, что это подделка) EDIT: Кроме того, имена пользователей не были включены в файл. Так как они не имеют имен пользователей, чтобы пойти с паролями или более вероятно, они есть, но просто не отпускали их. Вероятно, только и ждут, чтобы продать имя пользователя + пароль список хэш самую высокую цену.

6 июня 2012, 8:48:49 PM	# 17
саржа Сообщения: 1050 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn они получили 6.5mil из 150 миллионов пользователей

6 июня 2012, 8:55:35 PM	# 18
epetroel Сообщения: 428 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: Serge от 06 июня 2012 года, 8:48:49 PM они получили 6.5mil из 150 миллионов пользователей Ну, там было 6,5 миллиона различных паролей. Принимая во внимание многих пользователей выбрать те же самые плохие пароли, что очень вероятно, представляет собой намного больше, чем 6,5 миллиона пользователей.

6 июня 2012, 9:03:00 PM	# 19
серенада Сообщения: 251 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: ErebusBat от 06 июня 2012 года, 7:31:56 PM Цитата: kjlimo от 06 июня 2012 года, 7:29:22 PM Кто солит пароль? Это то, что я должен сделать при создании пароля, или что направлен на менеджер паролей, чтобы убедиться, посолить пароли? kjlimo, Это, к сожалению, до оператора веб-сайта, чтобы сделать. Самое безопасное, что вы можете сделать, как потребитель пользователь случайный пароль на каждом сайте. +1 Прохладный инструмент для работы > Keepass

6 июня 2012, 9:03:20 PM	# 20
justusranvier Сообщения: 1400 Цитировать по имени цитировать ответ	Re: [пароль Leak] взломана база данных LinkedIn Цитата: ErebusBat от 06 июня 2012 года, 7:31:56 PM Самое безопасное, что вы можете сделать, как потребитель пользователь случайный пароль на каждом сайте. Делать это гораздо проще с выделенным менеджером паролей, как LastPass.

Заголовок