[Minhembio]

Uppdaterad: Mycket viktig information till alla som har ett konto hos Prisjakt/Minhembio
Läs mer här

[Nyqa]

Alltså att folk orkar... Jäkla idioter som hackar och snor sådär...

mvh, Krille
http://www.bloggdesign.nu

[jockeleu]

Minhembio Feb 17 2009, 03:34 skrev:

Mycket viktig information till alla som har ett konto hos Prisjakt/Minhembio
Läs mer här

Rätt undermålig kryptering om vanliga ord kan räknas ut så fort!

[Joakim_A]

Jag har nu bytt lösenord...

Mäkta irriterad på detta!

[Se_BBB_e]

jockeleu Feb 17 2009, 01:54 skrev:

Rätt undermålig kryptering om vanliga ord kan räknas ut så fort!

Alla krypterade lösenord kan knäckas så fort. Det är inget som räknas ut, man bara testar alla ord blixtsnabbt. Man räknar alltså inte ut något. Om man däremot har ett långt lösenord med slumpmässiga tecken eller liknande så är det ju oerhört svårt att gissa, även om man systematiskt arbetar sig genom alla kombinationer.

[Franz]

jockeleu Feb 17 2009, 01:54 skrev:

Rätt undermålig kryptering om vanliga ord kan räknas ut så fort!

Lösenorden är ju i regel bara några tecken långa. Det är helt enkelt begränsat hur många kombinationer som finns. När det gäller vanliga ord finns det färdiga ordlistor att prova sig fram med. Det behövs dock inte så väldigt många tecken för att det skall ta miljontals år för en dator att räkna fram alla tänkbara fall.

[staple84]

Strong Password Generator ---> http://www.mytsoftwa...en/PassGen.html
Jag brukar använda 15 tecken (base64) "Should protect you against mortal civilizations."

Det här är ju vardagsföreteelser på allehanda skumma torrentsidor man befinner sig på.
Bara att hoppas att ungen som snodde lösenorden inte har ett nyare Nvidia-kort med CUDA.
---> http://www.engadget.com/2008/10/13/elcomso...-to-crack-wpa2/

Det här inlägget har ändrats av staple84 17 februari 2009 - 13:01

[Toxicarea]

Mer password tips:
https://www.grc.com/passwords.htm

[Djungelmeister]

Suck, har folk inget bättre för sig än att förstöra för andra?

[Avregistrerad523]

Frågan som dock är obesvarad ..
Hur har någon kommit över ett lösenord till ett administrationskonto ?

Det vill jag veta .. resten säger ju sig själv.

Det här inlägget har ändrats av MaVeRiC 17 februari 2009 - 04:08

[Avregistrerad1043]

Ja man tycker ju att det borde vara det svåraste av allt,
men det verkar ju ha varit rätt enkelt i och med att någon lyckades.

[beejay]

Om man inte fått något mail från er, innebär det att ens lösenord inte blivit bestulet eller vad är det frågan om?

[demisnoopy]

ja, nu har det hänt och..
använd lång och blanda gärna ASCI tecken det blir aningen svårare att knäcka.

[Avregistrerad1043]

Man får ju ändå fundera lite över vad man har för lösenord innan sådant här händer för det är ju inget ovanligt nuförtiden att personer hackar sidor

MVH:HighEnd-Perra

[Mange76]

Själv klickade jag bara att jag glömt lösen så fick minhembio generera ett nytt åt mig på 15 slumpade tecken, borde nog va rätt svårknäckt?

[Toby]

Jag trodde mailet var fejkat först för att försöka få oss att logga in på en skum sida.
Men så var alltså inte fallet... Verkligen trist det som hänt! :/

Jag tror dock inte att jag behöver byta mitt lösen, 'qwerty' är ganska svårt att knäcka... *obs ironi*!

[Pulver]

Själv kan jag avslöja att jag hade det sämsta tänkbara lösenordet: samma som användarnamnet (numera bytt)

Sedan kan jag väl visserligen tycka att det finns andra sidor där ett stulet konto skulle få värre konsekvenser än här på minhembio, men jag vill givetvis inte råka ut för det.

[fhe]

Minhembio Feb 17 2009, 01:34 skrev:

Mycket viktig information till alla som har ett konto hos Prisjakt/Minhembio
Läs mer här

Kryptering i all ära men var lösenorden saltade? Annars hjälper det ju inte speciellt myclet.

[masp86]

Nu är det säkert jag som är ovanligt obildad, men vad menar du med "saltade" =)

[ogren]

Det är en följd av ettor och nollor som används som startdata i krypteringsalgoritmen.

http://en.wikipedia...._(cryptography)

Och sedan måste jag fråga om det verkligen är bra att ha en direktlänk från ett mejlutskick till sajten för att byta lösenord. Visst, det är bekvämt och ofarligt i det här fallet eftersom man inte anger sitt gamla lösenord. Men det är snarlikt fishing-attacker.

[Dreadlock]

Ja lösenorden var saltade.

[masp86]

aha, tack för svaret!

Ja, jag håller med. Jag var mycket tveksam till länken i mailet och gick istället till hemsidan för att ändra lösenord den vägen... Man har ju hört så många som går i fällan och till och med lämnar ut bankuppgifter så... Fast nu var det ju inget farligt som tur var =)

[mattiasj]

Dreadlock Feb 17 2009, 07:47 skrev:

Ja lösenorden var saltade.

*applåder*

[Dreadlock]

ogren Feb 17 2009, 07:45 skrev:

Och sedan måste jag fråga om det verkligen är bra att ha en direktlänk från ett mejlutskick till sajten för att byta lösenord. Visst, det är bekvämt och ofarligt i det här fallet eftersom man inte anger sitt gamla lösenord. Men det är snarlikt fishing-attacker.

Vi övervägde nackdelarna med fördelarna, som i dethär fallet är ett betydligt minskat tryck på vår supportavdelning med frågor som "var hittar jag byt lösenord knappen" eller "Jag har inte kvar samma epostadress som innan, kan ni hjälpa mig att byta lösenord".

Då det är viktigt för oss att våra medlemmar verkligen byter lösenord var denna lösningen i våra ögon den bästa framförallt om någons lösenord redan blivit kompromentterat och någon obehörig därför har tillgång till länkar som används inne på forumet.

[masse70]

MaVeRiC Feb 17 2009, 04:08 skrev:

Frågan som dock är obesvarad ..
Hur har någon kommit över ett lösenord till ett administrationskonto ?

Det vill jag veta .. resten säger ju sig själv.

Ja, det skulle jag också faktiskt vilja veta.

Det i sig tycker jag är mer alarmernade än det faktum att lösenorden blivit stulna i sig.

Sånt händer ju trots allt lite då och då och är inget man kan göra så mycket åt mer än att informera och beklaga.

Det här inlägget har ändrats av masse70 17 februari 2009 - 08:07

[POi2]

Vet inte om detta har besvarats... men hur upptäckte ni intrånget?

[ungern]

Man kan ju undra, vad ska hackern göra? Skriva arga inlägg i våra namn?
Lite menlöst att sno lösenord här, det kanske bara är ett exjobb på FRA?

[Hylle]

Joakim_A Feb 17 2009, 02:16 skrev:

Jag har nu bytt lösenord...

Mäkta irriterad på detta!

Samma här... borde väl dock finnas möjlighet att luska ut vem/vilka/var någonstans dessa suspekta typer huserar och sen "råka" lämna ut denna info....??

[Dreadlock]

Att ett lösenord till ett adminkonto kommit ut är självklart mycket dåligt, och vi försöker ta reda på vad som hänt. Det pekar mot att en dator inom bekantskapskretsen blivit utrustad med en sk. keylogger men närmare än så vet vi inte idag.

Åter igen ber vi 1000 gånger om ursäkt men är av åsikten att det är bättre att vi informerar än att lösenorden skall dyka upp ett efter ett på något suspekt forum.

[ungern]

Dreadlock Feb 17 2009, 08:20 skrev:

Åter igen ber vi 1000 gånger om ursäkt men är av åsikten att det är bättre att vi informerar än att lösenorden skall dyka upp ett efter ett på något suspekt forum.

Helt rätt tänkt. Tack!

[bitcomplex]

En fråga om er saltning; Är den unik för var användare eller är det ett statiskt salt? Jag hoppas verkligen att det är ett unikt salt/användare så att de måste knäcka vart lösenord för sig... Om ni har ett unikt salt / användare samt ett hashat lösenord bör det vara i stort sett omöjligt att knäcka ett lösenord med ordlisteattacker eller brute force. OM ni kan verifiera att det är så tänker jag nog låta bli att byta lösenord... Även om "hackaren" lyckas hitta någons lösenord så kommer inte den informationen hjälpa henne/honom att hitta någon annan användares. Har man då ett rimligt krångligt lösenord från början så skulle i alla fall jag känna mig säker... Men jag skulle givetvis uppmana mina användare att byta lösenord ändå...

/Bobo - Kodstationen AB

Det här inlägget har ändrats av bitcomplex 17 februari 2009 - 08:26

[lifter]

Klantar!

Hoppas ni skärper er efter dethär och ser över era rutiner grundligt så att detta inte händer igen.

[wildegnux]

Hur raderar man sitt konto?

[Dreadlock]

Jag ser inte någon anledning till att avregistrera sig enbart av det inträffade, då den säkerhet vi håller är betydligt högre än andra stora medie-siter i Sverige.

Citat

För de som undrar har vi använt så kallad saltning när lösenorden krypterats. Det innebär att man måste lägga lika mycket krut på varje lösenordsknäckning som man annars skulle ha lagt på allihopa.

För er som dock vill bli bortplockade, ta en fundering på varför, och om ni efter den fortfarande vill bli avregistrerade kontakta admin(at)minhembio(dot)com.

[Monshi]

Min åsikt är enkel, detta är tyvärr sånt som sker idag. Det sker för att det går och för att det finns potential att användare här har samma nick och lösen på andra ställen där det kan vara intressant att logga in.

Var? Vilka sidor? Det vet jag inte men tidigare exempel har ju gett att hackare kunnat nå in på tidningar.

Mitt knep är enkelt, jag låter lilla programmet KePass spara och genererar mina lösenord. Olika för varje site.
Visst finns det svagheter i detta, den som vill komma över alla mina lösenord behöver bara sno denna fil från min dator och knäcka den, men å andra sidan ser jag det som mindre troligt än att någon av de sidor jag är reggad på blir hackad.
Samt, de lösen som KePass skapar är inte direkt enkla att komma ihåg, dvs utan KePass kan jag inte logga in någonstans (nästan)

Grundregeln är, att oavsett hur enkelt lösenord du har så ska du inte ha det på mer än ett ställe. Eller några få av samma dignitet. Du använder inte samma nyckel för dörren till ditt hem som för kassaskåpet.

Det här inlägget har ändrats av Monshi 17 februari 2009 - 08:49

[Svenskgurka]

För mig är det inget problem, jag använder unika lösenord på varje ställe jag har lösenord. Det är värre för dem som har samma lösenord på flera ställen. E-post, Facebook, osv.

Man får ju hoppas att de som har samma lösenord överallt lär sig nu att inte ha det.

Jag hoppas samtidigt att ingen blir drabbad på något sätt, utan bara får en tankeställare.

[Ovisen]

###### puckon det finns asså. Igår så var det Pirate Bay-rättegången och idag är det intrång på Minhembio!

[Franz]

Varje lösenord har sitt eget salt.

bitcomplex Feb 17 2009, 08:25 skrev:

En fråga om er saltning; Är den unik för var användare eller är det ett statiskt salt? Jag hoppas verkligen att det är ett unikt salt/användare så att de måste knäcka vart lösenord för sig... Om ni har ett unikt salt / användare samt ett hashat lösenord bör det vara i stort sett omöjligt att knäcka ett lösenord med ordlisteattacker eller brute force. OM ni kan verifiera att det är så tänker jag nog låta bli att byta lösenord... Även om "hackaren" lyckas hitta någons lösenord så kommer inte den informationen hjälpa henne/honom att hitta någon annan användares. Har man då ett rimligt krångligt lösenord från början så skulle i alla fall jag känna mig säker... Men jag skulle givetvis uppmana mina användare att byta lösenord ändå...

/Bobo - Kodstationen AB

[khaan]

Glädjande att läsa att ni både hashat och saltat lösenorden. Det minskar ju kraftigt riskerna för att en enskild person ska få sitt lösenord knäckt och eliminerar helt risken för stora listor med lösenord på skumma forum. Risken då ligger ju snarare i om den som tagit lösenorden hittar enskilda personer som ser intressanta ut och koncentrerar sig kring dessa. Och det är det tekniskt svårt att skydda sig från om man inte inför hårda regler för hur lösenord ska se ut (vilket slutanvändare brukar irritera sig på).

[Dreadlock]

Det är därför det känns extra tråkigt när det händer eftersom vi lagt ned stor energi på att försöka skydda oss mot liknande händelser.

[Norre63]

Tråkigt det som hänt men nu har man bytt i alla fall. Kan tipsa om att använda Mac OS X, ett väldigt säkert operativ som gör att denna typ av händelser blir mindre troliga

[Eufemism]

Norlund Feb 17 2009, 09:06 skrev:

Tråkigt det som hänt men nu har man bytt i alla fall. Kan tipsa om att använda Mac OS X, ett väldigt säkert operativ som gör att denna typ av händelser blir mindre troliga

Och jag rekommenderar samtliga användare att inte äta fisk, för att minska risken för inbrott när ni lagrar ost.

Trist att det blev så här, men nu fick jag åtminstone tummen ur arslet med lösenordsbytet som jag menat att genomföra de senaste två åren.

[Dreadlock]

Eufemism Feb 17 2009, 09:11 skrev:

Trist att det blev så här, men nu fick jag åtminstone tummen ur arslet med lösenordsbytet som jag menat att genomföra de senaste två åren.

Tur att man alltid hittar något positivt i det negativa

[Niklas F]

Eufemism Feb 17 2009, 09:11 skrev:

Och jag rekommenderar samtliga användare att inte äta fisk, för att minska risken för inbrott när ni lagrar ost.

Trist att det blev så här, men nu fick jag åtminstone tummen ur arslet med lösenordsbytet som jag menat att genomföra de senaste två åren.

Helt underbart att det finns humor kvar trots allt skrattade rakt ut här hemma

[marre66]

Dreadlock Feb 17 2009, 09:20 skrev:

Tur att man alltid hittar något positivt i det negativa

.

Det här inlägget har ändrats av marre66 17 februari 2009 - 09:31

[sintran]

MaVeRiC Feb 17 2009, 04:08 skrev:

Frågan som dock är obesvarad ..
Hur har någon kommit över ett lösenord till ett administrationskonto ?

Det vill jag veta .. resten säger ju sig själv.

Måste tyvärr hålla med... Hur fräcka system med kryptering och saltning så kan man ju inte skydda sig om man slarvar med "huvydnyckeln".

Hur ofta byter ni lösen på admin och hur "svåra" lösenord måste man ha?

(missförstå mig rätt. Ni gör ett fantastiskt jobb och bara för en dörr är "upplåst" är det ändå inte tillåtet att gå in så det är ju hackaren som gjort fel)

Antar att ni admins kommer att ändra era rutiner efter detta?

[Linken]

Under kontrollpanelen finns knappen byt lösenord.

[obiwan]

Jag försöker byta mitt lösenord, men kan inte eftersom det påstås att jag uppger fel originallösenord. Jag har testat att logga på och av ett flertal gånger och mitt gamla lösenord funkar bevisligen. Vad är felet?

Edit: glöm det, använde länken i mailet istället och då funkade det.

Det här inlägget har ändrats av obiwan 17 februari 2009 - 09:46

[Petter Lindgren]

Väldigt trist att det inträffat; både för er och användarna.

Dock så gjorde detta att jag tog mig i kragen och fixade starka unika lösenord för de tjugo viktigaste sidorna jag använder mig av på Internet.

[CG-47]

JA detta var ju inte bra..vad som är värre är ju att förtroendet kan ju få sig en törn , man jag tycker att detta är väldigt bra att ni infomerar ..mailet var väldigt bra skrivet. bra jobbat staff

Har ett stark lösen innan med stora och små bokstäver men jag förstärkte det ännu mer med siffror och tecken

vad jag tycker är skrämande att det finns dom som tycker det är roligt att förstöra för andra på detta vis..hoppas att ni får fast henne/honom och att det får rätsliag efterföljder.

Tack för info och det snabba agerandet

//CG-47