Efterfesten.com hackat alla uppgifter på vift!

[stormis]

Då var det dags igen, alla uppgifter finns ute på nätet tänker inte länka till det.

Deras databas ska tydligen inte ens ha varit krypterad

 

"Tänk om jag har 500 000 användares lösenord och mailadresser "

"Här kommer 99% av alla användarna på efterfesten.com"

[sandsater]

säkerheten på diverse ställen är skrämmande.

 

Här hemma i Göteborg skickade västtrafik ut en jävla massa lösenord i klartext i brev. Vilket alltså betyder att även dom lagrar lösenorden i klartext.

[dandelion169]

.

Redigerad 16 Oktober , 2015 av dandelion169

[LuckyStar5.1]

provade att logga in på ett admin konto ...när man sitter på makten att ändra på saker så kliar det i fingrarna

 

Men loggade ut utan att göra något

[jacobmal]

den här gången måste det fan komma ut nakenbilder

[freddola]

Hehe, inatt har man haft sjukt kul med kompisars msn

Gjorde en snabb sökning, välldigt många som har poker med i sin mail o uppenbart spelar.

Man får hoppas dom har annat password eller ingen klient kopplad till deras mail.

 

LuckyStar5.1, du använder proxy va?

[hager]

den här gången måste det fan komma ut nakenbilder

 

Det gjorde det vid bdb.

[LuckyStar5.1]

Hehe, inatt har man haft sjukt kul med kompisars msn

Gjorde en snabb sökning, välldigt många som har poker med i sin mail o uppenbart spelar.

Man får hoppas dom har annat password eller ingen klient kopplad till deras mail.

 

LuckyStar5.1, du använder proxy va?

 

Nej, använde inte detta på min dator.

Var hos en kompis som höll på med sådant här innan, han får mail när något är hackat så jag loggade in via hans dator ...kan inget sådant här men han menade på att det inte hjälper med proxy ...lämnar ip-spår iaf ?!?!

...kan inte detta, men han går via ett biblioteks uppkoppling (bor granne med bibblan)

[LuckyStar5.1]

den här gången måste det fan komma ut nakenbilder

 

Jävla gottegris

[freddola]

Nej, använde inte detta på min dator.

Var hos en kompis som höll på med sådant här innan, han får mail när något är hackat så jag loggade in via hans dator ...kan inget sådant här men han menade på att det inte hjälper med proxy ...lämnar ip-spår iaf ?!?!

...kan inte detta, men han går via ett biblioteks uppkoppling (bor granne med bibblan)

 

Ok, kör han via bibblan äre lungt.

Lungan sålänge man inte gör nått "roligt" oavsett proxy lr inte.

 

Men man vart ju lite sugen på att blogga nått kul på expressen via marcus björlings blogg

 

Fast kör man via proxy ska det vara lungt.

[Matfrid]

Ok, kör han via bibblan äre lungt.

Lungan sålänge man inte gör nått "roligt" oavsett proxy lr inte.

 

Men man vart ju lite sugen på att blogga nått kul på expressen via marcus björlings blogg

 

Fast kör man via proxy ska det vara lungt.

 

Era fulingar

[freso]

Jag fattar inte... har man kompetensen att skapa ett community så ska man väl fan ha den lilla säkerhetskompetensen som behövs för att spara alla lösenord krypterat?

 

Jag blev hyffsat störd på att när jag använde en "forgot your password" på en pokerklient fick jag ut mitt password i klartext. DE SKA FÖR FAN INTE KUNNA TA UPP DEN INFORMATIONEN!

[brainslicer]

Jag fattar inte... har man kompetensen att skapa ett community så ska man väl fan ha den lilla säkerhetskompetensen som behövs för att spara alla lösenord krypterat?

 

Jag blev hyffsat störd på att när jag använde en "forgot your password" på en pokerklient fick jag ut mitt password i klartext. DE SKA FÖR FAN INTE KUNNA TA UPP DEN INFORMATIONEN!

 

Hur ska glömt lösen komma till din mail då?

i hashat format? men vilken nytta har du av det då?

lösen må vara krypterade i databasen, men när man använder den funktionen så kommer ju det i klartext, annars vore ju hela funktionen onödig.

 

sajten har ju nyckeln för att avkryptera från databasen o skicka lösen till användaren, ska du avkryptera där hemma så behöver du nyckeln

[mr-flow]

Nej såklart ska dom aktivera ett nytt lösen och skicka iväg till honom.

[brainslicer]

Nej såklart ska dom aktivera ett nytt lösen och skicka iväg till honom.

Jodå, men även de kommer ju i klartext(kontrollerar nån redan mailen spelar de ju ingen roll om det är nytt eller gammalt som kommer)

[MikeTime]

Jodå, men även de kommer ju i klartext(kontrollerar nån redan mailen spelar de ju ingen roll om det är nytt eller gammalt som kommer)

 

Korrekt!

[freso]

Jodå, men även de kommer ju i klartext(kontrollerar nån redan mailen spelar de ju ingen roll om det är nytt eller gammalt som kommer)

 

Exakt, de ska aktivera ett nytt lösen. Poängen med det är ju förstås att man då inte kan använda det till fler ställen... eftersom man såklart har samma lösen överallt.

 

Sedan ska de inte kunna avkryptera heller. Det är en säkerhetsrisk.

[brainslicer]

Exakt, de ska aktivera ett nytt lösen. Poängen med det är ju förstås att man då inte kan använda det till fler ställen... eftersom man såklart har samma lösen överallt.

 

Sedan ska de inte kunna avkryptera heller. Det är en säkerhetsrisk.

 

tjaa, dom har ju nyckeln som dom krypterat med... den kan dom knappast bara kasta bort

 

har nån väl kontroll över mailen så kan dom ju använda glömt lösen på flera ställen...spelar ju inte så stor roll då om det är samma eller ej

man är väldigt sårbar om nån kommer över mailkontot, dom kan ju i stort sätt kika lite en stund va de kommer för nyhetsbrev osv var man kan tänkas vara medlem osv innan dom slår till

[flaxlax]

tjaa, dom har ju nyckeln som dom krypterat med... den kan dom knappast bara kasta bort

 

En vettig säkerhetslösning använder ingen nyckel som lösenorden krypteras med. I stället skapas en checksumma (Secure Hash) sån att man inte kan återskapa lösenordet från det och att det är (ska vara) i praktiken omöjligt att hitta ursprungslösen från checksumman. Vid inloggning kör man checksumma på givet lösenord och kollar att checksumman stämmer. (Sökning på "SHA hash" ger mer info)

 

På det viset behöver inte siten känna till lösenorden, de måste då skapa nytt lösenord när användaren har glömt sitt gamla.

 

Men jag håller med att om mailen är hackad så hjälper det ändå inte.

[freso]

Precis, man använder ju en hash.

 

Om mailen är hackad... men nu var det ju inte mailen vi pratade om, utan alla communitys/sajter blahaj...

 

Man kommer ju inte över mailkontot när sajten krypterat/hashat lösenordet så att hackaren inte kan använda samma lösen på mailkontot...

 

Personligen använder jag numer KeePass dock, så man inte har samma lösen på alla ställen, men större delen av folket gör ju inte det

[jm_j]

Som han nedan skev... Var finns nakenbilderna?

 

den här gången måste det fan komma ut nakenbilder

[brainslicer]

Precis, man använder ju en hash.

 

Om mailen är hackad... men nu var det ju inte mailen vi pratade om, utan alla communitys/sajter blahaj...

 

Man kommer ju inte över mailkontot när sajten krypterat/hashat lösenordet så att hackaren inte kan använda samma lösen på mailkontot...

 

Personligen använder jag numer KeePass dock, så man inte har samma lösen på alla ställen, men större delen av folket gör ju inte det

 

Ok, jag är kanske inte riktigt med(grind) ...du vill använda samma lösen på flera ställen utan att oroa dig? Lösen försvinner väl nog oftast från början pga att sajt ansvariga inte bryr sig att uppdatera och nån tar sig in o stjäl databaser. Har man simpelt lösen är man ju rätt loose särskilt om man kör samma på mailen även om det är krypterat när det stals.

tex http://www.idg.se/2.1085/1.140392

Enligt en nyligen genomförd undersökning hoppar två tredjedelar av alla administratörer över att uppdatera Oracledatabaser när säkerhetspatchar släpps.

klar man vill alla ska använda maximala krypteringar o säkerhet osv, men så kommer de ju aldrig att bli

 

Som han nedan skev... Var finns nakenbilderna?

moore va lite modifierat tidigare idag med "nakenbilder" finns sceenshots på fb om dom fixat de nu(inte för känsliga)

[freso]

Ok, jag är kanske inte riktigt med(grind) ...du vill använda samma lösen på flera ställen utan att oroa dig? Lösen försvinner väl nog oftast från början pga att sajt ansvariga inte bryr sig att uppdatera och nån tar sig in o stjäl databaser. Har man simpelt lösen är man ju rätt loose särskilt om man kör samma på mailen även om det är krypterat när det stals.

tex http://www.idg.se/2.1085/1.140392

klar man vill alla ska använda maximala krypteringar o säkerhet osv, men så kommer de ju aldrig att bli

 

Nja, jag VILL ju inte att man ska kunna använda samma lösen på flera ställen, men jag vill att om man gör det ska det ske så lite skada som möjligt. Varför skulle man vara loose (lost?) även om det är krypterat?

 

Visserligen går det att hitta collisions för md5 inom några timmar tror jag, vilket man kanske skulle kunna använda för att logga in på någon annan sajt som använder md5-hash (osäker på hur tekniken går till, så det är möjligt att det blir svårare när många har en begränsning på antalet bokstäver).

[brainslicer]

tar väl inte många minuter att få fram det om lösen är 6-7tecken? (särskilt om det är i form av ord, eller endast små bokstäver osv?

m$ säger själv att 8 eller mindre tecken är bra i en vecka, sedan bör man byta

http://www.microsoft.com/protect/yourself/password/create.mspx

[freso]

Sparar man bara hashen spelar inte längden på lösenordet någon roll (såvitt jag vet... men jag kan mycket väl ha fel här ).

 

Men har man en vecka på sig innan det knäcks hinner man ju iaf byta.

 

Men som KeePass använder...

# SHA-256 is used as password hash. SHA-256 is a 256-bit cryptographically secure one-way hash function. Your master password is hashed using this algorithm and its output is used as key for the encryption algorithms.

# In contrast to many other hashing algorithms, no attacks are known yet against SHA-256.