Klopt. Is potentieel risico vol :o)
Ik laat iedereen maar zijn eigen inschatting maken, op basis van info van de makers, op basis van vesleuteld verzenden wachtwoord, etc of dit bruikbaar is.
Ik heb de code van de pagina even bekeken. Wat er gebeurt is het volgende.
1. Je voert je wachtwoord in
2. zodra je op “check” klikt (of het veld de focus verliest) wordt de functie hashIt() gedraaid.
3. Deze functie berekent de gecodeerde versie van je wachtwoord OP jouw computer
4. het gecodeerde wachtwoord wordt opgestuurd naar de site.
Conclusie: Die site krijgt je wachtwoord dus niet, alleen maar de hash. Mochten ze zin hebben om vervolgens jouw wachtwoord daarbij te berekenen, dan wordt dat een brute force aanval.
Afhankelijk van het aantal karakters dat je wachtwoord is (veilige aanname dat dat minder dan 9 is) duurt het ongeveer drie uur, als een je een botnet van 100.000 pc’s inzet (of 50.000x de server van Sargasso).
En dat heeft niet iedereen. Het gaat een stuk sneller als je waarde in een rainbow tabel (voorgecalculeerde wachtwoorden) staat. Als je een simpel (of velvoorkomend) wachtwoord hebt a la 12345, linkedin oid kan je ervan uitgaan dat de site er direct mee aan de slag kan.
Maar dan moeten ze nog wel even de 6,5 miljoen verschillende usernames proberen om te kijken bij welk account het hoort. :-)
De hashes die zijn gepubliceerd zijn SHA-1 zonder salt. Vooral dit laatste is het probleem, omdat hiermee heel eenvoudig valt uit te zoeken of een wachtwoord voorkomt.
Wanneer je nu je wachtwoord invoert, wordt diezelfde hash berekend (met JavaScript, op je eigen computer, tot zover nix aan de hand), maar als je dan deze hash opstuurt naar de site om hem te vergelijken met de hashes in het bestand, en er is een match, weet men dat dit password gebruikt wordt, en kunnen ze deze toevoegen aan hun dictionaries voor attacks (met de nadruk op kunnen).
Dus, gewoon niet doen, of zelf het hash-bestand downloaden en even zelf zoeken (ctrl+f).
Bovendien, meteen je wachtwoorden wijzigen bij al je accounts als je op LinkedIn zit/zat, en hetzelfde wachtwoord ook bij andere sites gebruikt.
Ook is het niet aan te raden het wachtwoord ooit weer te gebruiken.
Aangezien een groot aantal mensen maar 1 tot 5 passwords heeft, is niet het feit dat linkedin ‘open’ staat he probleem. Da los je op door e wijzigen. Maar het feit dat het password ook elders gebruikt kan worden.
@Noortje, daar heb je een goed punt en juist daarom denk ik dat je in dit soort gevallen niet meer van jezelf moet prijsgeven (ip, cookies etc)
(via webwereld) hier een lijstje van 2,2 miljoen veel gebruikte passwords – als een van je favo passwords hier tussen zit, heb je hoe dan ook een zwak wachtwoord [2.2M std passwords] (bron: [x])
Although we do not show the cracked passwords in cleartext, it is worth noting that close to 70% of the 6.4 million hashes have actually been cracked in under 24 hours as per reported by CrackMeIfYouCan[x]
Reacties (12)
Leakedin.org – checken of je in het gelekte bestand stond.
Briljant. ‘Veee vould like yoe to enter your pazzword here. Nothings would happen to your account.’
Klopt. Is potentieel risico vol :o)
Ik laat iedereen maar zijn eigen inschatting maken, op basis van info van de makers, op basis van vesleuteld verzenden wachtwoord, etc of dit bruikbaar is.
Ik heb de code van de pagina even bekeken. Wat er gebeurt is het volgende.
1. Je voert je wachtwoord in
2. zodra je op “check” klikt (of het veld de focus verliest) wordt de functie hashIt() gedraaid.
3. Deze functie berekent de gecodeerde versie van je wachtwoord OP jouw computer
4. het gecodeerde wachtwoord wordt opgestuurd naar de site.
Conclusie: Die site krijgt je wachtwoord dus niet, alleen maar de hash. Mochten ze zin hebben om vervolgens jouw wachtwoord daarbij te berekenen, dan wordt dat een brute force aanval.
Afhankelijk van het aantal karakters dat je wachtwoord is (veilige aanname dat dat minder dan 9 is) duurt het ongeveer drie uur, als een je een botnet van 100.000 pc’s inzet (of 50.000x de server van Sargasso).
En dat heeft niet iedereen. Het gaat een stuk sneller als je waarde in een rainbow tabel (voorgecalculeerde wachtwoorden) staat. Als je een simpel (of velvoorkomend) wachtwoord hebt a la 12345, linkedin oid kan je ervan uitgaan dat de site er direct mee aan de slag kan.
Maar dan moeten ze nog wel even de 6,5 miljoen verschillende usernames proberen om te kijken bij welk account het hoort. :-)
Ehm, niet helemaal…
De hashes die zijn gepubliceerd zijn SHA-1 zonder salt. Vooral dit laatste is het probleem, omdat hiermee heel eenvoudig valt uit te zoeken of een wachtwoord voorkomt.
Wanneer je nu je wachtwoord invoert, wordt diezelfde hash berekend (met JavaScript, op je eigen computer, tot zover nix aan de hand), maar als je dan deze hash opstuurt naar de site om hem te vergelijken met de hashes in het bestand, en er is een match, weet men dat dit password gebruikt wordt, en kunnen ze deze toevoegen aan hun dictionaries voor attacks (met de nadruk op kunnen).
Dus, gewoon niet doen, of zelf het hash-bestand downloaden en even zelf zoeken (ctrl+f).
Bovendien, meteen je wachtwoorden wijzigen bij al je accounts als je op LinkedIn zit/zat, en hetzelfde wachtwoord ook bij andere sites gebruikt.
Ook is het niet aan te raden het wachtwoord ooit weer te gebruiken.
Eh… Dat zeg ik toch in mijn conclusie?
Leuk, kan je passwords uitproberen. Er had iemand password “linkedin”, en “linkedin123” zat er ook bij, alsmede het altijd populaire 123456789…
jij bent lekker, even je login + ip weggeven
tip: niets daarvan, direct zelf inloggen en pw veranderen /2 cnt ;)
Aangezien een groot aantal mensen maar 1 tot 5 passwords heeft, is niet het feit dat linkedin ‘open’ staat he probleem. Da los je op door e wijzigen. Maar het feit dat het password ook elders gebruikt kan worden.
@Noortje, daar heb je een goed punt en juist daarom denk ik dat je in dit soort gevallen niet meer van jezelf moet prijsgeven (ip, cookies etc)
(via webwereld) hier een lijstje van 2,2 miljoen veel gebruikte passwords – als een van je favo passwords hier tussen zit, heb je hoe dan ook een zwak wachtwoord [2.2M std passwords] (bron: [x])
Although we do not show the cracked passwords in cleartext, it is worth noting that close to 70% of the 6.4 million hashes have actually been cracked in under 24 hours as per reported by CrackMeIfYouCan[x]
LinkedSoup
Klaarblijkelijk heeft LinkedIn de accounts geblokkeerd en de houders een mailtje gestuurd:
http://www.nu.nl/internet/2828977/linkedin-reset-accounts-lekken-wachtwoorden.html
Dat lijkt me de juiste respons.