[Mentos]

• 0

Hur bytar man lösenord?

Min kontrollpanel ---> Ändra lösenord

[Mentos]

• 0

Jag hade själv ett ganska långt lösen med blandade små/stora bokstäver, siffror & specialtecken som jag själv tror hade varit svårt att knäcka men valde ändå idag att byta lösen till ett ännu längre & starkare.
Alltid tråkigt när sånt här händer och tyvärr är det ju många idag som har alldeles för enkla lösenord och samma lösen till många olika sidor.

[Unregistered47746e95]

• 0

Då ni både saltat och pepprat lösenorden olika för varje användare så anser jag att mitt lösenord fortfarande är i säkert förvar och tänker inte byta lösenord.

Det är p0intman som är hackern!!
Han försöker med ovanstående inlägg lura folk att behålla sina gamla lösenord!

[PureWater]

• 0

Hur kan någon få tag på de hashade lösenorden utan att hacka databasen?
Fyller väl ingen funktion att kunna ta fram dessa genom forumet, administratör eller ej?

[Unregistered426cc7d0]

• 0

Det är p0intman som är hackern!!
Han försöker med ovanstående inlägg lura folk att behålla sina gamla lösenord!

Crap, they're on to me...

Hur kan någon få tag på de hashade lösenorden utan att hacka databasen?
Fyller väl ingen funktion att kunna ta fram dessa genom forumet, administratör eller ej?

Är det någon som har tillgång till att editera källkod så kan man snabbt lägga in en query som hämtar en lista på den info man vill ha från databasen och sparar till en fil, utan att behöva hacka något mer.

Redigerat av Unregistered426cc7d0, 17 februari 2009 - 13:55.

[ikercasillas]

• 0

Min kontrollpanel ---> Ändra lösenord

Tack!
Var helt säker på att det skulle vara i Inställningar.. men icke!

[Unregistered4fd183bf]

• 0

Känns inte bra helt enkelt!

[Flame]

• 0

Har nu ändrat alla mina lösenord till diverse sidor. Vart en hel del jobb, men jag borde nog ha gjort det här tidigare, då jag hade samma lösenord till alla mina konton för enkelhetens skull. Nu är de dock lite mer krux att logga in på alla sidor. Sket i lösenordprogram utan körde ut allting på ett papper, känns ännu mer säkert om man gömmer papret vill säga.

[Unregistered0b87209e]

• 0

Trist när hackare ska hålla på.

Om man byter lösen här, byts det då också på Prisjakt?

De delar väl samma databas eller nåt?

[Unregisteredbb649a5e]

• 0

tråkigt som fan när sånt här händer. nu har man iallafall bytt till ett betydligt säkrare lösenord.

för er som vill ha ännu mer tips på program så är password safe ett väldigt bra program med.

jobbigt bara när man ska logga in på andra datorer >.<

[ronald1457]

• 0

Otroligt irriterande att sånt här händer. Tycker dock att ni på minhembio.com skötte detta galant.

[hottuna]

• 0

Förklara för en novis vad man ska med andras lösenord till
Dom måste ju först ta reda på vilka andra forum jag är på (finns ju några att välja på ), veta mitt användarnamn där, och hoppas att jag använder samma lösenord... Samma sak med mailkonton mm.

[Franz]

• 0

Det stämmer!

Trist när hackare ska hålla på.

Om man byter lösen här, byts det då också på Prisjakt?

De delar väl samma databas eller nåt?

[Unregistered0b87209e]

• 0

Det stämmer!

Fint, då behöver man inte gå in där och byta då.

[galactus]

• 0

Förklara för en novis vad man ska med andras lösenord till
Dom måste ju först ta reda på vilka andra forum jag är på (finns ju några att välja på ), veta mitt användarnamn där, och hoppas att jag använder samma lösenord... Samma sak med mailkonton mm.

Problemet är, som sagts tidigare, att många (noviser eller ej) de facto använder samma användarnamn och/eller lösenord på flera olika sajter.
Eftersom filen även innehåller användarens mail-adress, kan det leda till att de enkelt kan komma in på t ex Hotmail eller PayPal om samma lösenord används där (om de nu lyckats knäcka detta från listan vill säga).

Redigerat av galactus, 17 februari 2009 - 15:14.

[beejay]

• 0

Jag vill bara säga tack till er och dela ut lite beröm, förstår inte varför vissa användare tenderar på att "skälla ut" er för att ni blivit angripna. Först och främst så visar det uppenbarligen på att ni har mycket starkare säkerhet än MÅNGA andra sidor som man registrerar sig på då ni både hashar och saltar, det känns väldigt tryggt och man måste inse att ni inte kan hållas ansvariga för säkerhetshåll på ett forum som ni själva inte programmerat så länge ni uppdaterar det när det kommer säkerhetspatchar!

Sen tycker jag inte att man ska döma den personen som blivit utsatt för en keylogger då det finns många olika sätt och metoder att använda för att göra dessa så "osynliga" som möjligt. Tråkigt att personen kände till ett säkerhetshål i forumet samtidigt som han kommit över ett adminlösen bara!

Hur som helst, jag tycker ni har hanterat situationen utmärkt och känner inte att jag tappat något förtroende för er!

Jag har dock inte fått något mail ännu! =)

Edit: Doh, nu har det kommit!

Redigerat av beejay, 17 februari 2009 - 15:13.

[fhe]

• 0

Förklara för en novis vad man ska med andras lösenord till

Om du googlar efter intrången hos Aftonbladet så kommer du att hitta fantastiskt många fina exempel.

Att gissa att folk har konton hos facebook, linkedin, eller för all del sin epost-leverantör (när man har e-postadresserna) är inte så jättesvårt och ruskigt många kör exakt samma userid och lösenord på alla sajter de använder.

Man kanske hittar sin favoritjournalist bland de kapade kontona, testar hans/hennes inloggningsuppgifter mot t.ex facebook för nöjet att skicka barnporrbilder till halva mediasverige. Säkert skitkul för den drabbade.

Det är därför det är bra att prisjakt har gjort vad de kunnat för att sånt inte ska drabba ens de som inte har vett att ha olika lösenord på olika sajter.

Edit: Vad gäller saltet kan de ju naturligtvis inte berätta vad de haft för salt (då faller hela idén) men man får väl hoppas att de inte saltat med e-post-adressen eller nåt annat uppenbart.

Redigerat av fhe, 17 februari 2009 - 15:36.

[Unregisteredda3d858e]

• 0

Hej,

Bara lite varning, Jag var inte tillräckligt snabb att byta mitt (viktig) gmail lösenord och 15:11 idag så har någon bytt den (ja jag hade samma löse som här).

Så saltade per användare eller ej så har dom lyckats knäcka en del redan.

[beejay]

• 0

Hej,

Bara lite varning, Jag var inte tillräckligt snabb att byta mitt (viktig) gmail lösenord och 15:11 idag så har någon bytt den (ja jag hade samma löse som här).

Så saltade per användare eller ej så har dom lyckats knäcka en del redan.

Hade du "hejhej" som lösenord? =))

Har du lust att berätta ungefär vad du hade för lösenord? Hur många tecken, bara små bokstäver?, inga tecken?

[Svenskgurka]

• 0

Hej,

Bara lite varning, Jag var inte tillräckligt snabb att byta mitt (viktig) gmail lösenord och 15:11 idag så har någon bytt den (ja jag hade samma löse som här).

Så saltade per användare eller ej så har dom lyckats knäcka en del redan.

Shit vad tråkigt...

[Unregisteredda3d858e]

• 0

Shit vad tråkigt...

Ja - tur är att jag fick tillbaka det där jag hade tillgång till mitt "Secondary" konto och lyckades sätta om lösenordet snabbt nu. Nu har jag hunnit byta alla mina konto. Först jag såg var min Gmail Notifier kunde inte kolla min mail låda, och när jag provade logga in gick det inte....

Jag kan inte säga 100% att det är kopplade till Prisjakt/MinHembio intrång, men inträffade samma dag - får väl se om fler råka ut för det.

[Stringfellow]

• 0

Lösenord som sparas av Firefox går att läsa i klartext med t.ex. SIW: http://www.gtopala.com/

Så låna inte ut datorn...

[Unregistered30319cf3]

• 0

Ni ska veta att det antagligen inte är någon större fara, följ bara detta resonemang:

Om vi först antar att du har ett vanligt svenskt ord som t.ex. köttbullar och prisjakt har en 32 tecken lång random salt med bara hexadecimala tecken.

Sen antar vi att hackern har en ordlista med 200 000 svenska ord.
Om hackern vet hashningsalgoritmen, vad saltet är samt samt hur saltet läggs till (om hacken bara fick tillgång till databasen så vet han antagligen inte det) så måste han testa 200 000 hasher.

Om han INTE vet saltet så blir det 200 000 * 16^32 ~ 6.8*10^43 kombinationer och vet han inte ens algroritmen så blir den MYCKET svårare.

Om personen i fråga INTE har ett svenskt ord som lösenord eller om han/hon har siffror i sitt lösenord så växer kombinationerna väldigt fort.

Att hackern skulle knäcka folks lösenord är orimiligt skulle jag säga.
Var bara glada att prisjakt inte lagrar lösenord i plaintext som vissa andra sidor gör...

2 frågor till någon admin:
1. Lagrar ni hashen i databasen eller beräknas den utifrån kontouppgifter, dvs fick hackern tag i saltet i plaintext?
2. Fick hackern tillgång till servern (och därmed all källkod) eller bara databasen?

PS: Firefox lösenordfunktion är väldigt osäker, speciellt om man inte satt ett masterpassword. Antar iof att FF använder RSA vilket gör det lite säkrare hehe

[malmjako]

• 0

Kan man se nånstans när man (eller någon annan) senast loggade in på sitt konto? Eller, ännu bättre, de senaste N gångerna?

Då borde man (om det var ett tag sen man själv gjorde det) kunna se om någon annan varit inne. Fast det är väl förstås inte så lösenorden knäcks...

[woicer]

• 0

Lösenord som sparas av Firefox går att läsa i klartext med t.ex. SIW: http://www.gtopala.com/

Så låna inte ut datorn...

Lösenord du sparar i Firefox går att läsa i klartext UTAN något som helst tilläggsprogram.
Verktyg > Inställningar > Säkerhet > Sparade lösenord .. > Visa lösenord.
Ja, en säkerhetsrisk som man antagligen inte tänker på.

[TheOvermind]

• 0

Meh, varför gå på Prisjakt för? Vad har hackern emot dem? Han kunde väl inte få tag på pengar precis?

[Unregistered89a7be48]

• 0

Hej!
Tråkigt det som hänt!
/Mats

[Unregistered1092]

• 0

Voicer är det verkligen så illa?

Använder själv firefox men när man installerar det så finns det väl även ett annat läge man kan köra den i?
Felsäkert läge står det att man kan köra den i.

Men om det gör någon skildnad vet jag inte.

Får ta & se över mitt firefox då jag tycker det är flera ljusår bättre än IE!

[AlexanderE]

• 0

Tråkigt när sånt här händer men det är otroligt svårt att skydda sig emot det. Det är bara att bita i det sura äpplet och byta lösenord.

[Breiz]

• 0

Kom hem från jobbet och såg mailet.......bytte pass så fort det gick!!

Jobbar i it brancen och vet hur fort det kan gå fel!!

tack för att ni meddelade!

//Breiz

[Unregistered30319cf3]

• 0

Voicer är det verkligen så illa?

Använder själv firefox men när man installerar det så finns det väl även ett annat läge man kan köra den i?
Felsäkert läge står det att man kan köra den i.

Men om det gör någon skildnad vet jag inte.

Får ta & se över mitt firefox då jag tycker det är flera ljusår bättre än IE!

Ja, så länge du inte har satt ett Master password så går det att se dom i klartext. Bäst att du tar och sätter ett master password

[Myllerman]

• 0

Ja, så länge du inte har satt ett Master password så går det att se dom i klartext. Bäst att du tar och sätter ett master password

Måste man inte fylla i det varje gång man besöker en sida som har en sparad inloggning då ? har för mig det.

[Unregistereda8d246d3]

• 0

Lösenord du sparar i Firefox går att läsa i klartext UTAN något som helst tilläggsprogram.
Verktyg > Inställningar > Säkerhet > Sparade lösenord .. > Visa lösenord.
Ja, en säkerhetsrisk som man antagligen inte tänker på.

Mmm oxå tänkt på att det är så där lätt att kolla alla lösenord i FF. Men nån nämnde nått om ett master password men hittar inget sånt.

[Saturnus]

• 0

Min åsikt är enkel, detta är tyvärr sånt som sker idag. Det sker för att det går och för att det finns potential att användare här har samma nick och lösen på andra ställen där det kan vara intressant att logga in.

Var? Vilka sidor? Det vet jag inte men tidigare exempel har ju gett att hackare kunnat nå in på tidningar.

Mitt knep är enkelt, jag låter lilla programmet KePass spara och genererar mina lösenord. Olika för varje site.
Visst finns det svagheter i detta, den som vill komma över alla mina lösenord behöver bara sno denna fil från min dator och knäcka den, men å andra sidan ser jag det som mindre troligt än att någon av de sidor jag är reggad på blir hackad.
Samt, de lösen som KePass skapar är inte direkt enkla att komma ihåg, dvs utan KePass kan jag inte logga in någonstans (nästan)

Grundregeln är, att oavsett hur enkelt lösenord du har så ska du inte ha det på mer än ett ställe. Eller några få av samma dignitet. Du använder inte samma nyckel för dörren till ditt hem som för kassaskåpet.

Tackar! Det här testas f n. Nackdelen är väl om man loggar in från flera olika datorer och då måste komma ihåg dessa säkra (och därmed omständiga) passwords. Nån som har en lösning på det?

Redigerat av Saturnus, 17 februari 2009 - 17:59.

[Unregistered1092]

• 0

Det där med att sätta ett huvudlösen gick helt åt pipan för mig.
Kommer inte ihog vad mitt gamla lösen var & om jag ens satt nåt sånt.

Hur gör man då?

[Enicar]

• 0

Var i hela friden ändrar man sitt lösenord? Eller hur avslutar man sitt medlemskap eller konto eller vad det kallas på denna sajt.
Jag hittar inga sådan möjligheter bland Mina Inställningar eller MinProfil

[HkanW]

• 0

Enicar:

Högre upp på sidan så hittar du en blå avlång ruta där det skall stå:
Inloggad som: Enicar ( Logga ut )
Våra regler · Min kontrollpanel · Visa nya inlägg · Bloggar · Min assistent · Mina vänner · 0 Nya PM


Klicka på Min kontrollpanel
I menyn till vänster så scrollar du ned tills du hittar Alternativ och där under skall du hitta Ändra lösenord

Redigerat av HkanW, 17 februari 2009 - 18:49.

[wettdinho]

• 0

NO LIFER!!

[Enicar]

• 0

Tack HkanW

[PureWater]

• 0

Ännu en anledning att använda sig av OpenID exempelvis. Skulle stoppa problemet med att många har samma lösen på olika sajter.

OpenID is an open, decentralized user identification standard, allowing users to log onto many services with the same digital identity. It is a Single sign-on (SSO) method of access control. As such it replaces the common login process with login-name and password and enables a user to log in once and gain access to the resources of multiple software systems without being prompted to log in again.

http://en.wikipedia.org/wiki/OpenID

[Zunk]

• 0

Ni ska veta att det antagligen inte är någon större fara, följ bara detta resonemang:

Om vi först antar att du har ett vanligt svenskt ord som t.ex. köttbullar och prisjakt har en 32 tecken lång random salt med bara hexadecimala tecken.

Sen antar vi att hackern har en ordlista med 200 000 svenska ord.
Om hackern vet hashningsalgoritmen, vad saltet är samt samt hur saltet läggs till (om hacken bara fick tillgång till databasen så vet han antagligen inte det) så måste han testa 200 000 hasher.

Om han INTE vet saltet så blir det 200 000 * 16^32 ~ 6.8*10^43 kombinationer och vet han inte ens algroritmen så blir den MYCKET svårare.

Om personen i fråga INTE har ett svenskt ord som lösenord eller om han/hon har siffror i sitt lösenord så växer kombinationerna väldigt fort.

Att hackern skulle knäcka folks lösenord är orimiligt skulle jag säga.
Var bara glada att prisjakt inte lagrar lösenord i plaintext som vissa andra sidor gör...

Att salta hashen gör ju bara rainbow tables (en tabell med uträknade lösenord och hashar, som gör att det går EXEREMT snabbt att cracka lösenord som inte är saltade) verkningslösa. Eller tänker jag galet då? Har hackern en lista på 200.000 ord så tar det bråkdelen av en sekund att testa. Sen så är det väl åtminstone i detta fall världens enklaste sak att ta reda på vilken hashalgoritm som sidan sparar lösenord i..

Alla som har lösenord med a-ö, 1-10 och 6 tecken och under ligger ju jäkligt risigt till och alla med 9-10 tecken och över kan väl andas ut (Så tillsvida det inte är en bestämd jävel vi har att göra med). Dem mitt emellan får be till vår herre

[Colan]

• 0

Vet inte om det har framgått någonstans i tråden (kan ha missat), Det som är intressant är att veta HUR dom kom åt lösenorden, är det via SQL-Injections, dålig kod i botten eller en slarvig administratör som haft för enkelt lösenord?

Att sedan användarnas lösenord är krypterade i databasen är tacksamt oavsett algoritm, tyvärr är det inte allt för vanligt att utvecklare ens orkar lägga energi på att att kryptera användarnas information.

Att skicka ut ett e-mail till alla och varna är beundransvärt, vet många som råkat ut för liknande men lagt locket på istället, bra jobbat!

[Unregisteredd51b7e75]

• 0

Ingen fara med firefox, dom ända som kan se det är ju dom som sätter sig vid "min" dator.
Och dom vet jag ju vilka det är...

[PureWater]

• 0

Vet inte om det har framgått någonstans i tråden (kan ha missat), Det som är intressant är att veta HUR dom kom åt lösenorden, är det via SQL-Injections, dålig kod i botten eller en slarvig administratör som haft för enkelt lösenord?

Att sedan användarnas lösenord är krypterade i databasen är tacksamt oavsett algoritm, tyvärr är det inte allt för vanligt att utvecklare ens orkar lägga energi på att att kryptera användarnas information.

Att skicka ut ett e-mail till alla och varna är beundransvärt, vet många som råkat ut för liknande men lagt locket på istället, bra jobbat!

Det handlar om en administratör som blivit key-loggad. Men hur detta kan leda till att man kommer åt hashade lösenorden i databasen förstår jag inte. Någon nämnde att med källkodsaccess kan man enkelt hämta dessa lösenord, men med ovan nämnda förklaring borde man inte ha källkodsaccess.

[Colan]

• 0

Det handlar om en administratör som blivit key-loggad. Men hur detta kan leda till att man kommer åt hashade lösenorden i databasen förstår jag inte. Någon nämnde att med källkodsaccess kan man enkelt hämta dessa lösenord, men med ovan nämnda förklaring borde man inte ha källkodsaccess.

Okey, såg det i originaltexten
Det finns både mer eller mindre sofistikerade sätt att komma åt databasen , eftersom denna verkar ha haft möjlighet att påverka innehåll i databasen (ex via formulär och ett admin-konto) så är det inte allt för svårt om koden bakom inte är skyddad att dumpa ut alla tabeller / rader i databasen på skärmen. Finns en del videos mm på ex youtube som visar hur snabbt det går för en relativt rutinerad person att hacka en webbsajt. Tyvärr är det vardagsmat att ta hand om sådant eller skydda sig emot det när man sitter med webbutveckling.

[Unregistered1113]

• 0

jag vill bara säga att det är inte är bara så att bara för att man använder 1 lösenord som gör det farligare, utan det är hur bra lösenordet är...att ha ett lösen för många ställen är bra oxå..men då får man se till att det är ett BRA sådant och svårt att ens komma på....blir lite konfunderad på hur många bara säger att det beror på att alla inte har olika lösen på alla sajter, det spelar ingen som helst roll hur många lösen man har så länge dom är rellativt lätta att lösa, det ligger i svårhetgraden och inget annat.

Precis som Franz sa så är ett lösen med många variationer det bästa, dvs teckemn ,stora och små bokstäver och siffror i lösenordet då blir det omöjligt att knäcka, lite missvisande att häva ur sig att det beror på att man använder samma lösen på fler ställen är faran, för det är inte så enkelt.

//CG-47

[stock]

• 0

Om man inte har en aning om vad man hade för lösenord på Minhembio, finns det då något sätt att få reda på vad man hade? Jag bytte lösen med hjälp av länken i mailet.

Redigerat av stock, 17 februari 2009 - 19:47.

[Unregistered30319cf3]

• 0

Att salta hashen gör ju bara rainbow tables (en tabell med uträknade lösenord och hashar, som gör att det går EXEREMT snabbt att cracka lösenord som inte är saltade) verkningslösa. Eller tänker jag galet då? Har hackern en lista på 200.000 ord så tar det bråkdelen av en sekund att testa. Sen så är det väl åtminstone i detta fall världens enklaste sak att ta reda på vilken hashalgoritm som sidan sparar lösenord i..

Alla som har lösenord med a-ö, 1-10 och 6 tecken och under ligger ju jäkligt risigt till och alla med 9-10 tecken och över kan väl andas ut (Så tillsvida det inte är en bestämd jävel vi har att göra med). Dem mitt emellan får be till vår herre

Ja, men det gäller att veta hur dom har saltat lösenordet också. Samt att hacken måste veta vad som är hashen och vad som är saltet.

Under 6 tecken är inget problem så länge dom inte vet hur man har hashat samt om hashen är tillgänglig:
Har han saltet och vet hur man gör så kan det bli problem (39^6+39^5+...+39^2+39 kombinationer)

Om dom t.ex. gör någon beräkning som t.ex. hashen av ens användarnamn så står inte saltet i databasen (så skulle iaf jag göra) och då är det EXTREMT mycket svårare.
Som jag har förståt det så har hackern fått tag på ett admin-interface och kunnat dumpa databasen vilket tyder på att han inte har tillgång till källkoden.

EDIT: Master Password i FF:
Verktyg -> Inställningar -> Säkerhet -> Huvudlösenord.

Det funkar så att varje gång du startar FF så matar du inte ditt lösenord för att få tillgång till dina sparade lösenord.

Redigerat av Unregistered30319cf3, 17 februari 2009 - 20:00.

[Zunk]

• 0

jag vill bara säga att det är inte är bara så att bara för att man använder 1 lösenord som gör det farligare, utan det är hur bra lösenordet är...att ha ett lösen för många ställen är bra oxå..men då får man se till att det är ett BRA sådant och svårt att ens komma på....blir lite konfunderad på hur många bara säger att det beror på att alla inte har olika lösen på alla sajter, det spelar ingen som helst roll hur många lösen man har så länge dom är rellativt lätta att lösa, det ligger i svårhetgraden och inget annat.

Precis som Franz sa så är ett lösen med många variationer det bästa, dvs teckemn ,stora och små bokstäver och siffror i lösenordet då blir det omöjligt att knäcka, lite missvisande att häva ur sig att det beror på att man använder samma lösen på fler ställen är faran, för det är inte så enkelt.

//CG-47

Jag ser självklart din poäng men den faktan att en hacker har hashat till ditt lösenord som du använder på prisjakt, gmail, bank-id, etc etc är åtminstone för mig skrämmande. Vad säger att det inte imorgon presenteras ett stor hål i just den hash algoritmen eller att hackern är en idog jävel och crackar just ditt lösen med ett botnät, eller med hjälp av dem 10 datorerna han av någon anledning disponerar. Då handlar det bara om månader oavsett hur komplext ens lösenord är (Till en viss gräns självklart). Eller ännu simplare någon site där du är medlem, hackas, där lösenorden sparas i klartext. Helt plötsligt har hackern tillgång till allt..

[Audio Code 3]

• 0

Usch vad tråkigt