[Zunk]

• 0

Ja, men det gäller att veta hur dom har saltat lösenordet också. Samt att hacken måste veta vad som är hashen och vad som är saltet.

Under 6 tecken är inget problem så länge dom inte vet hur man har hashat samt om hashen är tillgänglig:
Har han saltet och vet hur man gör så kan det bli problem (39^6+39^5+...+39^2+39 kombinationer)

Som jag sa, kan man dumpa databaser så är det nog barnmat att ta reda på vilken algoritm som lösenorden är hashade med. Om inte annat så ser man ju såklart till att man själv är medlem på sidan innan. Sen så är det ju bara att testa sitt dumpade hash och det kända lösenordet med olika algoritmer.

Jag tror du inte har förstått konceptet salta riktigt. Man saltar för att stoppa folk från att använda förgenererade rainbow tabeller. bevisa mig gärna fel. Tror jag har rätt dock...

Låt oss säga att du är medlem på en site som inte saltar och att jag har kommit över din hash. Låt oss också säga att du har lösenordet abc. Då börjar jag med att testa bokstav a, funkar ej.. testar b. osv tills dess att jag kommer till... "abc" och det är rätt. Nu har jag ditt lösen.

Samma sak gäller ju för hashet på prisjakt, oavsett om det är saltat eller inte. Du testar hashet med a, b, tills du kommer till abc och vips så har jag ditt lösenord. Enda skillnaden är ju att jag inte kan använda mig av rainbow tables.

Som jag har förståt det så har hackern fått tag på ett admin-interface och kunnat dumpa databasen vilket tyder på att han inte har tillgång till källkoden.

Kan hackern dumpa databasen så tyder det väl även på att det är möjligt att han lyckades dumpa källkoden.

[-Palle-]

• 0

Alla som har lösenord med a-ö, 1-10 och 6 tecken och under ligger ju jäkligt risigt till

Låter som mitt gamla lösen

Nytt lösen med 20 tecken. Siffror, gemener och versaler blandat, borde vara lite mer svårtknäckt

[Garagekungen]

• 0

Tack för snabbt agerande och ett bekvämt sätt att ändra lösenord.
Trodde först att mailet var ett "spam" men efter en koll på sidan så förstod jag att det var OK

Hoppas ni slipper detta i framtiden - Tack för en bra site !
MVH / Garagekungen

[fhe]

• 0

Meh, varför gå på Prisjakt för?

144000 användare vore inte helt fel att få tag på om det skulle varit så att prisjakt likt allt för många sajter sparade lösenordet i klartext (lätt att kolla, bara att be sin favorit-sajt skicka det glömda lösenordet i ett mail, får man tillbaka "sitt" lösenord är sajten definitionsmässigt sårbar för sånt här).

[Unregistered30319cf3]

• 0

Som jag sa, kan man dumpa databaser så är det nog barnmat att ta reda på vilken algoritm som lösenorden är hashade med. Om inte annat så ser man ju såklart till att man själv är medlem på sidan innan. Sen så är det ju bara att testa sitt dumpade hash och det kända lösenordet med olika algoritmer.

Jag tror du inte har förstått konceptet salta riktigt. Man saltar för att stoppa folk från att använda förgenererade rainbow tabeller. bevisa mig gärna fel. Tror jag har rätt dock...

Låt oss säga att du är medlem på en site som inte saltar och att jag har kommit över din hash. Låt oss också säga att du har lösenordet abc. Då börjar jag med att testa bokstav a, funkar ej.. testar b. osv tills dess att jag kommer till... "abc" och det är rätt. Nu har jag ditt lösen.

Samma sak gäller ju för hashet på prisjakt, oavsett om det är saltat eller inte. Du testar hashet med a, b, tills du kommer till abc och vips så har jag ditt lösenord. Enda skillnaden är ju att jag inte kan använda mig av rainbow tables.


Kan hackern dumpa databasen så tyder det väl även på att det är möjligt att han lyckades dumpa källkoden.

Jag förstår principen, har gjort flertalet loginscript.
Och nej, det är inte säkert att man kan får tag i källkoden. Som jag tolkat det så fick hackern till ett interface liknande phpmyadmin, det ger dig bara databaserna

[umehume]

• 0

Meh, varför gå på Prisjakt för? Vad har hackern emot dem? Han kunde väl inte få tag på pengar precis?

Det finns många på Minhembio med dyra prylar så ett syfte kan vara att få tag på folks adresser för att göra riktade inbrott som någon skrev på Flashback. Ett annat mål kan vara att ta sig in i folks mailkonton för att få fram paypalkonton etc.

[Zunk]

• 0

Jag förstår principen, har gjort flertalet loginscript.
Och nej, det är inte säkert att man kan får tag i källkoden. Som jag tolkat det så fick hackern till ett interface liknande phpmyadmin, det ger dig bara databaserna

Uppenbarligen förstår du inte principen, eller så skriver du inte vad du tänker.

Vad jag läste så lyckades personen utnyttja en sårbarhet i admingränssnittet, om det då var phpmyadmin eller dylikt vet jag inte. Det kanske inte stämmer dock. Om det dock var så att en sårbarhet utnyttjades så verkar det ju lagom korkat att sonika bestämma att en annan sårbarhet inte nyttjades för att även läsa php filerna.

[Yobo1987]

• 0

Oavsätt vad som dom tänkt så kan dom som gjort det läsa detta forum så var försiktig med vad för info ni ger ut. t.ex. så skrev admin att dom inte byter lössen så ofta vilket kanske inte är så bra att säga. Så vi bör inte disskutera säkerhet här eller ge ut för mycket info, så vi inte underlättar för dom. Menar inte att hacka på nån och ni vet det säkert, men ett tips bara...

[Ohlzzon]

• 0

Skulle någon vänlig själ vilja tala om var man tar bort kontot här? Kan fan inte hitta hur man gör. Kan inte fan va medlem på en sajt som uppenbarligen ser så lätt på medlemmarnas säkerhet. Lärde man sig inte skit efter Bilddagboken med mera..

[jonasbonde]

• 0

Skulle någon vänlig själ vilja tala om var man tar bort kontot här? Kan fan inte hitta hur man gör. Kan inte fan va medlem på en sajt som uppenbarligen ser så lätt på medlemmarnas säkerhet. Lärde man sig inte skit efter Bilddagboken med mera..

Kontakta support(at)prisjakt(dot)nu så får du hjälp.


//Jonas

Redigerat av jonasbonde, 17 February 2009 - 21:18.

[Upp_o_ner]

• 0

Skulle någon vänlig själ vilja tala om var man tar bort kontot här? Kan fan inte hitta hur man gör. Kan inte fan va medlem på en sajt som uppenbarligen ser så lätt på medlemmarnas säkerhet. Lärde man sig inte skit efter Bilddagboken med mera..

Står på sidan 2. Vad ger dig intrycket att detta inte tas på allvar? Bilddagboken har ingen koppling till forumet eller prisjakt, har du någon information som motsäger detta?

Sen de som rekommenderar diverse lösenordsprogram: det innebär att programmet blir den svagaste länken istället, vilket inte är så jättebra om man valt ett program som har ingen säkerhet eller har egna säkerhetshål.

De program man skall använda är brandvägg + antivirus.

[Zunk]

• 0

Står på sidan 2. Vad ger dig intrycket att detta inte tas på allvar? Bilddagboken har ingen koppling till forumet eller prisjakt, har du någon information som motsäger detta?

Sen de som rekommenderar diverse lösenordsprogram: det innebär att programmet blir den svagaste länken istället, vilket inte är så jättebra om man valt ett program som har ingen säkerhet eller har egna säkerhetshål.

De program man skall använda är brandvägg + antivirus.

Instämmer. Människor med den inställningen klarar vi oss nog dessutom lika bra utan här på forumet.

Man kan aldrig vara helt säkert. Tangentbordet kan avlyssnas fysiskt, en "skräddarsydd"/unik keylogger/trojan kan ha planterats på din dator. Etc. Långa och komplexa unika lösenord till varje sajt är väl vad som måste betraktas som säkrast (om man ser till vanliga lösningar), sen måste ju långa unika och komplexa lösenord som lagras i ett program i datorn vara det som är näst mest säkrast.

Oavsett vart man har lösenorden så måste dem gå genom den svaga punkten, dit tangentbord, din dator och ut i nätverket. Att byta att spara komplexa lösenord i ett program mot att använda halvtaskiga lösenord som man kan hålla i huvudet anser iaf jag vara sämre. Och ja självklart så flyttar du den svaga punkten. Men ex. keepass lär väl ha en miljon användare eller något, dessutom open source. Vilken lösning lägger du helst ditt lösenord på? Keepass på din dator eller hos prisjakt?

[Ohlzzon]

• 0

En keylogger stjäl bara mitt lösenord, inte 144.000 lösenord. Nånstans har det brustit. Det är ju kalas om man har uppfattningen "Shit happens". Undrar om ni säger det även om er internetbank hypotetiskt skulle hackas? Shit happens, men de gjorde nog vad de kunde. Även jag tror att denna sajt gjort vad de kan vad gäller säkerheten men det räckte uppenbarligen inte. Trisi men så är det. Det lär väl visa sig framigenom vilka problem som kommer att drabba medlemmarnarna. Långr ifrån alla internetanvändare är medvetna om vikten av unika lösen för varje plats man är på. Därmed ställer det höga krav på de som driver sajterna att hålla i grejorna. Iaf de som är seriösa. Till de räknar jag denna.

Och varför ska det vara så svårt att klämma dit en "Avaktivera mitt konto" ?

[MiBook84]

• 0

Är det bara jag som får Mission Impossibe 1-vibbar? NOC-lista som är oanvändbar utan båda delarna osv.

Helt okej hemmabiofilm, för det är väl just sådant vi här är intresserade av?

http://www.youtube.c...h?v=R4oWJ2169fE

[fhe]

• 0

Det är ju kalas om man har uppfattningen "Shit happens".

Du måste prata om någon annan än prisjakt/minhembio... De har ju haft allt annat än den inställningen. När jag vaknade i morse hade jag ett mail som berättade om problemet och om konsekvenserna det kunde få och vad de gör åt det, långt innan det hamnat i media eller någon annanstans. De har öppnad för diskussion här och svarat på frågor. Jag kan inte minnas ett enda annat likande angrepp som hanterats ens i närheten av så bra.

Vad begär du att de ska göra? Lägga ner sajten? Ta tillbaka lösenorden? Det fungerar inte riktigt så.

[e3henri]

• 0

Jag är inte orolig för lösenordet (vill någon skriva PM i mitt namn får de väl göra det).
Är mer frustrerad över att mailadresserna kommit iväg. 144000 e-mail adresser kan man säkert sälja till någon spamkung...

[dirtpop]

• 0

Tråkigt det som hänt men nu har man bytt i alla fall. Kan tipsa om att använda Mac OS X, ett väldigt säkert operativ som gör att denna typ av händelser blir mindre troliga

Och jag rekommenderar samtliga användare att inte äta fisk, för att minska risken för inbrott när ni lagrar ost.

Skrattar verkligen rakt ut varje gång jag läser dessa två inlägg och jag tror jag läst igenom tråden minst 5 gånger nu .

Redigerat av dirtpop, 17 February 2009 - 22:45.

[ted1001]

• 0

Tips är att använda meningar som lösenord.... kanske en favoritreplik från en film:
Ohmygoditsfullofstars
Theysaylifeislikeaboxofcholotate

Ett långt lösen är oftast bättre än ett kort med siffror.

[Zunk]

• 0

Tips är att använda meningar som lösenord.... kanske en favoritreplik från en film:
Ohmygoditsfullofstars
Theysaylifeislikeaboxofcholotate

Ett långt lösen är oftast bättre än ett kort med siffror.

och en kombination av dem är det bästa! Gärna med inslag av skumma tecken...

[Unregisteredb2bcb2c1]

• 0

Ar det bara jag som inte tycker att det inte ar jattealvarligt? bara lite kul att se att nagon klarar av det... det ar ju dessutom kapplopningen mella hackare och brandvaggsprogrammerare som far utvecklingen att ga framat. man ar ju bara korkad om man har samma pass pa alla sidor.

jag hade rattsa kul at att lasa om all med 20 stora och sma bokstaver i sitt losenord som nu lagger till ett antal siffror, som i sig sakert hade utgjort ett normalsvart losenord att knacka.

[Tompa123]

• 0

Ar det bara jag som inte tycker att det inte ar jattealvarligt? bara lite kul att se att nagon klarar av det...

Hoppas att det är väldigt få som tycker som du.
_________

Jag var guskelov hemma under lunchen och bytte lösenordet då. Dessutom har alla mina inloggningar ett unikt lösen...

Redigerat av Tompa123, 17 February 2009 - 23:48.

[Noobman]

• 0

Ar det bara jag som inte tycker att det inte ar jattealvarligt? bara lite kul att se att nagon klarar av det...

Med största sannolikhet JA!


Mvh.
Mats

[Walkhome]

• 0

Jag har haft samma lösen i flera år på alla hemsidor, bestående av ett 20tal bokstäver/specialtecken/siffror, trist och behöva byta ut det.. det sitter i ryggmärgen.

hoppas 12åringarna åker fast.

[mudu]

• 0

Jag tänkte byta den mejladress jag kopplat till mitt konto också. Men det går inte. Får hela tiden felmeddelandet "Denna mailadress kan inte användas, den finns redan i vår databas" trots att jag testat flera olika (garanterat unika) adresser. Vad är felet?

[Unregisteredb2bcb2c1]

• 0

Med största sannolikhet JA!


Mvh.
Mats

ok jag ger mig

[Unregistered30319cf3]

• 0

Uppenbarligen förstår du inte principen, eller så skriver du inte vad du tänker.

Vad jag läste så lyckades personen utnyttja en sårbarhet i admingränssnittet, om det då var phpmyadmin eller dylikt vet jag inte. Det kanske inte stämmer dock. Om det dock var så att en sårbarhet utnyttjades så verkar det ju lagom korkat att sonika bestämma att en annan sårbarhet inte nyttjades för att även läsa php filerna.

Att säga att det tar längre tid att knäcka lösenorden med en randomsaltad hash är verkligen inte samma sak...
Att inte kunna utnyttja rainbow tables är samma sak som att säga att det tar längre tid.

Allt jag har sagt är att vet hacker inte hur det saltas eller saltet så blir det mycket svårare.
Att sen det går relativt fort att knäcka ett 6 tecken långt lösenord om man vet hur det saltas, algoritmen samt saltet har jag aldrig sagt något om. Säger bara att en dictionary attack blir meningslös om man lagt till stora/små bokstäver eller siffror...

[Dreadlock]

• 0

En keylogger stjäl bara mitt lösenord, inte 144.000 lösenord. Nånstans har det brustit.
Och varför ska det vara så svårt att klämma dit en "Avaktivera mitt konto" ?

Hade det funnits en avaktivera-mitt-konto-knapp kunde man med ett stulet lösenord plocka bort användare, något vi inte gärna vill. Därför har vi valt att man skall kontakta supporten om man vill bli avaktiverad, något som också betyder att du kan komma tillbaka om du vill i framtiden då vi just bara avaktiverar dig - inte raderar.

När incidenten uppdagades såg vi ingen annan utväg än att så snart luckan var täppt gå ut och informera alla medlemmar och därefter informera bla. IDG om det inträffade då vi hoppas och tror att genom att göra så har vi begränsat den skada vårt förtroende hos medlemmarna kan ha fått.

[mudu]

• 0

Jag tänkte byta den mejladress jag kopplat till mitt konto också. Men det går inte. Får hela tiden felmeddelandet "Denna mailadress kan inte användas, den finns redan i vår databas" trots att jag testat flera olika (garanterat unika) adresser. Vad är felet?

Problemet kvarstår. HALLÅ?

[pege_amp]

• 0

Det finns många på Minhembio med dyra prylar så ett syfte kan vara att få tag på folks adresser för att göra riktade inbrott som någon skrev på Flashback.

Ja, så kan det vara.
Inloggningsuppgifterna kanske inte alls var det primära målet.
I första hand kanske de endast var ute efter mailadresser också, för att sälja vidare, vem vet.
Eller så kanske de fick med sig info utan att alls vilja använda den till något...

[tomtefiluren]

• 0

Riktigt dåligt att en sån här sak ska hända, moden som inte kan se till att hålla sin dator fri från sån skit borde kickas.
Har en mod inte koll på säkerheten på sin egen dator då har man inte utfört sina åtaganden korrekt, och har det hänt en gång så är det möjligt att det kommer upprepas, för att öka säkerheten så borde ni göra er av med denna person.

[Dreadlock]

• 0

Jag håller inte med, det är självklart olyckligt att det inträffar, men det är, precis som vi skrivit, läckt lösenord i kombination med andra omständigheter som gjort att det inträffat.

[Numero1]

• 0

Oavsätt vad som dom tänkt så kan dom som gjort det läsa detta forum så var försiktig med vad för info ni ger ut. t.ex. så skrev admin att dom inte byter lössen så ofta vilket kanske inte är så bra att säga. Så vi bör inte disskutera säkerhet här eller ge ut för mycket info, så vi inte underlättar för dom. Menar inte att hacka på nån och ni vet det säkert, men ett tips bara...

Helt rätt, jag har PM:at om detta.

Många klagar på hackers som gör detta....visst är de idioter, kan inte annat än hålla med om det, MEN det de gör har ganska liten effekt och blir betydligt jobbigare om vi användare lär oss använda bättre lösenord än vovvens namn eller samma lösen som användarnamn och dessutom återanvänder samma lösenord på alla websidor vi kan tänka oss. Vi hjälper hackern i deras arbete och de tackar självklart och tar emot.

Det är dessutom lätt att klaga på Prisjakt/Minhembio som användare om man aldrig har jobbat med informationssäkerhet. Vi som jobbar i branshen (jag är själv CISSP certifierad) vet att det är en stor, kostsam och svår process att alltid ha rätt nivå av informationssäkerhet på plats.

Prisjakt - keep up the good work
Användare - Gör livet surt för hackers och använd komplexa lösenord och inte samma lösenord på olika siter!!

/Numero1

[Numero1]

• 0

Ja, så kan det vara.
Inloggningsuppgifterna kanske inte alls var det primära målet.
I första hand kanske de endast var ute efter mailadresser också, för att sälja vidare, vem vet.
Eller så kanske de fick med sig info utan att alls vilja använda den till något...

Jag tror att de vill åt dina uppgifter och sedan:
1) Se om du har har paypal eller andra likande konton där det går att beställa/betala varor
2) Sälja din e-postadress till spammare

Det är mycket enklare för en bedragare att komma undan på nätet än att göra ett fysiskt indrott...

[ktn]

• 0

Problemet kvarstår. HALLÅ?

Skicka ett mail till admin(snabel-a)minhembio(punkt)com så kan du få hjälp.
Uppge gärna kontonamn, gammal e-postadress och vilka e-postadresser du har försökt ändra till. Ange även vilken sida du använde för att byta.

[Unregistered72aefc0b]

• 0

Bra att ni har saltat med unika salt för varje användare. Det gör, förutsatt att saltet är svårt att gissa, att lösenorden är mer eller mindre värdelösa för de som stulit dem.

Ponera att saltet är 4 tecken långt. Bestående av små/stora bokstäver + siffror och specialtecken. Framtaget med en för hackern okänd algoritm. Då finns det ~70 olika möjliga tecken på varje plats. Dvs 70^4 kombinationer. Låt oss sedan anta att användaren använt ett vanligt ord som lösen. Dvs ett av 100 000 vanliga svenska ord. För att knäcka lösenordet måste man således beräkna 100000*70^4 olika hashar och jämföra med hashen i databasen.

Låt oss säga att beräkningen av hashen och jämförelsen tar 0,01s. Då kommer tiden för att i genomsnitt hitta ett lösenord att vara 100000*70^4*0,01*0,5 = 12 000 000 000 sekunder. Eller 380 år. per lösenord!

[Unregisteredb2bcb2c1]

• 0

Ok, jag blev rejalt nedrostad i mitt forra inlagg men jag fortsatter enda.

Tank sahar: det ar bra att saker som denna intraffar lite da och da. Hade det inte hant sa hade ju bristen kvarstatt, men nu atgardas den, och det ar ju hogre sakerhet vi vill ha. Tank lite langsiktigt! dessutom ar det bra for andra hemsidor som denna att detta hander, for da blir dom oroliga och atgardar sina brister vilket ger hogre sakerhet och det ar ju det vi vill ha. Det ar ju battre att et hander har an pa en sida som paypal eller tradera. detta ar ju trots allt bara ett forum

dessutom verkar det som personen (som jag for min del tvivlar pa ar en kriminell liga som har en valutarbetad plan) inte har nagon nytta av alla dessa saltade losenord, just eftersom dom ar individuellt saltade vad jag har forstatt

Låt oss säga att beräkningen av hashen och jämförelsen tar 0,01s. Då kommer tiden för att i genomsnitt hitta ett lösenord att vara 100000*70^4*0,01*0,5 = 12 000 000 000 sekunder. Eller 380 år. per lösenord!

[Dreadlock]

• 0

Vi har alltid försökt arbeta hårt med säkerheten på sidan, vilket gör det extra tråkigt att det händer, och vi uppskattar att ni har förståelse för det inträffade. Vi vill samtidigt passa på att tacka alla som skrivit uppmuntrande kommentarer.

[Franz]

• 0

Du blev just bestulen på ditt lösenord så du kanske skall akta dig för att kasta sten i glashus. Jag vill inte ge dig skulden för det inträffade så klart utan bara peka lite på att lösenord kan snappas upp på oväntade sätt. Någon som filmar ditt tangentbord när du loggar in t.ex. (eller någon som bara kollar).

Vårdslös och okunnig admin som blivit keyloggad eller liknande. Skrämmande lamt.

[Unregisterede6970ea2]

• 0

Tråkigt när sånt här händer men det är svårt att skydda sig emot det när packet sätter gång.
Det går inte att skydda sig mot allt.

Tycker ni har skött det hela utomordentligt bra.

[Zunk]

• 0

Att säga att det tar längre tid att knäcka lösenorden med en randomsaltad hash är verkligen inte samma sak...
Att inte kunna utnyttja rainbow tables är samma sak som att säga att det tar längre tid.

Allt jag har sagt är att vet hacker inte hur det saltas eller saltet så blir det mycket svårare.
Att sen det går relativt fort att knäcka ett 6 tecken långt lösenord om man vet hur det saltas, algoritmen samt saltet har jag aldrig sagt något om. Säger bara att en dictionary attack blir meningslös om man lagt till stora/små bokstäver eller siffror...

Okej. Då ber jag om ursäkt. Jag missförstod dig.

Det går relativt snabbt att knäcka ett sex tecken långt lösenord oavsett. Vet man inte algoritmen kan man ta reda på den, ska man inte utnyttja rainbow tables så spelar det ingen roll om lösenordet är saltat eller ej.

Och ja. En dictionary attack blir meningslös om man har lagt till siffror/special tecken på rätt ställen.

Redigerat av Zunk, 18 February 2009 - 15:20.

[Franz]

• 0

Oj, det var en öm tå det där.. Var det ditt lösenord "hackaren" kom över? Jag använder ALDRIG samma lösenord på två ställen. Se mitt lösenord som jag använde på minhembio.com (Som NI har slarvat bort) är inte till mycket nytta för någon. Jag tänker på de tusentals andra som använder samma lösenord till kanske sin mail, blogg, bank, vad vet jag? Och nä, JAG blev inte bestulen på MITT lösenord. NI blev bestulna på MITT lösenord. Rätt stor skillnad. Jag blir inte av med mina lösenord, för jag loggar inte in på publika datorer, kompisars datorer eller datorer jag inte känner till. Jag loggar inte in någonstanns när någon person står nära mig heller för den delen.

Nej, det var inte mitt lösenord. Jag var inte ute efter att flytta över skulden utan ville bara påpeka att någon nu har haft möjligheten att knäcka ditt lösenord på grund av något som du inte kunde rå för. Nu har du säkert ett jättebra lösenord som tar tusentals år att knäcka men poängen är ändå den att man ju kan bli av med dem på lite oväntade sätt. Du skickar ju t.ex. gladeligen ditt lösenord okrypterat vid inloggningar etc.

Forumet har ett stort antal moderatorer och adminastratörer som jobbar ideellt. I regel är det väldigt bra att man kan komma åt forumet för att t.ex. kunna svara på PM lite var som helst. Ungefär som om folk loggar in på hotmail, gmail etc. när man ute och far. Vi har ändrat så att det krävs ytterligare lösenord för att komma åt den del som blev utsatt samtidigt som de specifika delarna stängts av helt och hållet.

[Unregistered1331]

• 0

Oj, det var en öm tå det där.. Var det ditt lösenord "hackaren" kom över? Jag använder ALDRIG samma lösenord på två ställen. Se mitt lösenord som jag använde på minhembio.com (Som NI har slarvat bort) är inte till mycket nytta för någon. Jag tänker på de tusentals andra som använder samma lösenord till kanske sin mail, blogg, bank, vad vet jag? Och nä, JAG blev inte bestulen på MITT lösenord. NI blev bestulna på MITT lösenord. Rätt stor skillnad. Jag blir inte av med mina lösenord, för jag loggar inte in på publika datorer, kompisars datorer eller datorer jag inte känner till. Jag loggar inte in någonstanns när någon person står nära mig heller för den delen.

Nu får du nog allt varva ner lite. Vad kul för dig att du har olika lösenord överallt, loggar aldrig in på en publik dator eller när någon person är i närheten. Om det nu är så livsviktigt med ditt lösenord för dig så borde du kanske fundera över vad du har på din dator och dina konton egentligen. Är det värt att sitta på Internet överhuvud taget?

Du är ett praktexemplar för oss alla i hur en lösenordsnörd agerar. Hur gör du när du står i kassan och ska betala med kort? Fäller du ut ett litet paraply och döljer allt? Om magnetremsan är trasig, vägrar du lämna över kortet då och hoppar över "shoppingen"? (Dvs. när du har en kundvagn fulll med varor på ICA Maxi)

Vad jag försöker säga är, vissa bryr sig och andra lite mindre. Skulle mitt konto blivit knäckt, ja, då hade jag bett Admin stänga ner det och sedan skapat ett nytt. Simple as that..

Hackers, bedragare, magiker och mytomaner är några typer man ALDRIG kan lita på. Och det bästa är, du vet aldrig vem det är! Så du kan ALLTID bli förd bakom ljuset..

/Christian

PS Sov aldrig med ryggen mot frun.. hon KAN ju hugga dig i rygge.. nej, försök tro på att alla inte är illsinnade..

[beejay]

• 0

Som jag sa, kan man dumpa databaser så är det nog barnmat att ta reda på vilken algoritm som lösenorden är hashade med. Om inte annat så ser man ju såklart till att man själv är medlem på sidan innan. Sen så är det ju bara att testa sitt dumpade hash och det kända lösenordet med olika algoritmer.

Jag tror du inte har förstått konceptet salta riktigt. Man saltar för att stoppa folk från att använda förgenererade rainbow tabeller. bevisa mig gärna fel. Tror jag har rätt dock...

Låt oss säga att du är medlem på en site som inte saltar och att jag har kommit över din hash. Låt oss också säga att du har lösenordet abc. Då börjar jag med att testa bokstav a, funkar ej.. testar b. osv tills dess att jag kommer till... "abc" och det är rätt. Nu har jag ditt lösen.

Samma sak gäller ju för hashet på prisjakt, oavsett om det är saltat eller inte. Du testar hashet med a, b, tills du kommer till abc och vips så har jag ditt lösenord. Enda skillnaden är ju att jag inte kan använda mig av rainbow tables.


Kan hackern dumpa databasen så tyder det väl även på att det är möjligt att han lyckades dumpa källkoden.

Öh, det räcker inte med att knäcka ett salt / hash här och sedan fritt köra på resterande lösenord. Prisjakt har mycket bra säkerhet och har med andra ord dynamiska saltar dvs ett unikt för varje användare som om en person ska göra sig besvär att knäcka 10 lösenord som t.ex. består av 6 tecken med små bokstäver så måste denne först knäcka hash & salt 10 gånger vilket kommer ta ett bra ###### tag och sedan kan han ge sig på lösenorden. Om personen mot alla förmodan skulle lyckas med detta så kommer vi till de riktiga lösenordet där användare har 8+ tecken med bra kombinationer, de kommer ta TID att knäcka dem om de ens går. Vi kan väl se om några år som vi blir utsatta!

Btw, som någon sa att ett lösenord av en filmreplik är ett bra lösenord är helt bullshit. Ett lösenord som "komochtamigdinidiot" är lika värdelöst som "djehdfkjhdskjfhjksd" och tar inte särskilt lång tid att knäcka. Ett med 8 tecken av olika slag är betydligt säkrare!

Uppenbarligen förstår du inte principen, eller så skriver du inte vad du tänker.

Vad jag läste så lyckades personen utnyttja en sårbarhet i admingränssnittet, om det då var phpmyadmin eller dylikt vet jag inte. Det kanske inte stämmer dock. Om det dock var så att en sårbarhet utnyttjades så verkar det ju lagom korkat att sonika bestämma att en annan sårbarhet inte nyttjades för att även läsa php filerna.

Hackern har väl använt sig utav forumet och gått in via ett säkerhetshål i forumet när man är inloggad som admin, exempelvis ett formulär som man kan stoppa in kod i eller liknande sätt som gör att man får tillgång till PHP-kod på root. Eftersom inte prisjakt skrivit forumet själv kan man inte klandra dem för det. Inte enligt min mening. De täppte som sagt till hålet så fort de märkte något och informerade alla kunder SAMT så hade de återigen MYCKET starkare kryptering av lösenorden än någon annan stor site som blev hackad 2008!

Om man inte har en aning om vad man hade för lösenord på Minhembio, finns det då något sätt att få reda på vad man hade? Jag bytte lösen med hjälp av länken i mailet.

Se om du kan få tag på hackerns mail och fråga honom höhöhö

[Mentos]

• 0

För er som tänker byta lösenord eller bara behöver ett bra & säkert lösen kan jag rekommendera Perfect Passwords från Gibsons Research Corp, använder själv denna för att generera säkra lösenord.

[Zunk]

• 0

Öh, det räcker inte med att knäcka ett salt / hash här och sedan fritt köra på resterande lösenord. Prisjakt har mycket bra säkerhet och har med andra ord dynamiska saltar dvs ett unikt för varje användare som om en person ska göra sig besvär att knäcka 10 lösenord som t.ex. består av 6 tecken med små bokstäver så måste denne först knäcka hash & salt 10 gånger vilket kommer ta ett bra ###### tag och sedan kan han ge sig på lösenorden. Om personen mot alla förmodan skulle lyckas med detta så kommer vi till de riktiga lösenordet där användare har 8+ tecken med bra kombinationer, de kommer ta TID att knäcka dem om de ens går. Vi kan väl se om några år som vi blir utsatta!

I see. Har läst på lite om salt och jag hade hängt upp mig på vad "salta hash" innebar för kanske 2 år sedan. Då saltade man i genereringsfasen för att stoppa rainbow tables. Nu mera (iaf om man är seriösa, som prisjakt) saltar man även med en ett värde som bara gå att få ut genom att läsa i php koden vilket värde det egentligen är. Jag ber om ursäkt för att jag tänkte fel. Är ovanstående korrekt? Det är mycket mycket smart i sådana fall. Good Work Invision board. och Ännu bättre gjort av prisjakt att utnyttja det till fullo =)

[björnj]

• 0

Visst kan man jobba ihjäl sig med att kryptera sitt lösenord men vad tusan är nyttan med det HÄR??
Det är inte direkt mycket att ha mitt lösenord, ska dom som snott löenordet sitta och tipsa här eller lämna omdömen om produkter fast de låtsas vara jag?
Om de hade snott mitt lösenord till min bank DÅ hade jag varit betydligt nervösare.

[Zunk]

• 0

Visst kan man jobba ihjäl sig med att kryptera sitt lösenord men vad tusan är nyttan med det HÄR??
Det är inte direkt mycket att ha mitt lösenord, ska dom som snott löenordet sitta och tipsa här eller lämna omdömen om produkter fast de låtsas vara jag?
Om de hade snott mitt lösenord till min bank DÅ hade jag varit betydligt nervösare.

Men faktum är ju att flera människor använder ETT lösenord överallt. Samma lösenord till prisjakt, samma lösenord till mailadressen dem registrerade sig med. Och ja. Sen ligger troligen ganska mycket öppet..

[bigbadboogie]

• 0

Jag trodde det mailet var spam eller phishing när jag läste det.
Dvs att de gjort en liknande sida där man skulle logga in för att de skulle kunna få ens lösen o i värsta fall mail om man ombetts att logga in med email ist. för användarnamn.

Som jag tolka mailet kunde man bara ändra lösen om man klicka på länken så jag var tvungen att testa att byta lösenord på vanligt sätt o det gick bra. Vilket fick mig att tro ännu mer att det var phishing.
Var på väg för att skriva här för att fråga men när jag ser detta meddelande förstod jag att det var sant, såvidare inte en mod phishar

Men men, lösen är bytt o det verkar inte som någon hunnit göra det innan så frhoppningsvis ingen skada skedd.
Hehe - nu kan man ju vräka ur sig vad som helst o skylla på att det var tjuvarna som prata o inte jag

Mvh
Boogieman

[Unregisteredbb649a5e]

• 0

Men men, lösen är bytt o det verkar inte som någon hunnit göra det innan så frhoppningsvis ingen skada skedd.
Hehe - nu kan man ju vräka ur sig vad som helst o skylla på att det var tjuvarna som prata o inte jag

Mvh
Boogieman

hört talas om ipnummer?
finns visserligen många sätt att dölja det på men ändå =D

[tobbz]

• 0

faan... Märkte detta idag , och min mail adress har skickat ut länk till ngn ###### hemsida till hela min adressbok.... Vad ska jag göra bara att ändra lösen eller skall jag byta mail adress o allt??