Epic Games hackade, 800 000 kontouppgifter stulna

Robot
Epic Games hackade, 800 000 kontouppgifter stulna

Vikten av säkra unika lösenord blir tyngre för var dag.


Releasehästryttare
Epic Games hackade, 800 000 kontouppgifter stulna

Så trött på det här nu, är ju ett stor företag som hackas i veckan, för 2 veckor sen va det ju dota 2 forumen .. vad är näst ? fz ?

Medlem
Quake-konnässsör

KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.

Medlem

Är många diskussionsforum baserade på vBulletin som åker dit just nu, tydligen är folk väldigt dåliga på att underhålla sina installationer så när ett nytt hack kommer ut så finns det ofta gott om äldre installationer att suga ut data ur.

https://www.troyhunt.com/self-hosted-vbulletin-youre-doing-it...

/ LordDaimos

ELF
Medlem

Varför ska folk hacka riktiga forum..... Kan de inte sätta upp ett eget och försöka knäcka det.


signatur

www.fckdrm.com - DRM år 2024? Ha pyttsan.

Gnällkuk
Skrivet av ELF:

Varför ska folk hacka riktiga forum..... Kan de inte sätta upp ett eget och försöka knäcka det.

Öhh... va? Vad skulle syftet med det vara? Varför tror du de hackar stora forum för?


signatur

..:: trickeh2k ::..
Windows 11 Pro - Ryzen 7 7800X3D - ASUS TUF B650-PLUS - Kingston FURY Beast DDR5 64GB CL36 - MSI MAG A850GL - MSI RTX 4080 VENTUS 3X OC - Acer Predator XB271HU - ASUS VG248QE - QPAD MK-85 (MX-Brown)/Logitech G PRO Wireless - Samsung 960 EVO 250GB, Samsung EVO 860 500GB, SanDisk Ultra II 480GB, Crucial MX500 1TB, Kingston KC3000 2TB - Steelseries Arctic 5 - Cooler Master Masterbox TD500 Mesh V2

Inaktiv

Inget nytt direkt, förut fanns det saltade phbBB baser att ladda ner.

Medlem
Skrivet av ELF:

Varför ska folk hacka riktiga forum..... Kan de inte sätta upp ett eget och försöka knäcka det.

För att det finns en stor efterfrågan på något som få företag verkar bry sig om att skydda, mail adresser.

Medlem

Har kört Lastpass i några år nu och det har funkat fint än så länge.


signatur

Nothing is power without Control

Medlem
Skrivet av almblad:

KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.

Jo jag kommer ihåg mitt. Det är 8rt923jklSklKeuiyu82s10djL8uo23kd9uKi2lidaskeio3ks02klwi ... nej vänta, det ska vara ett P nånstans på slutet också....hm.
/ LordDaimos

Megadelux
Skrivet av erazerswe:

Har kört Lastpass i några år nu och det har funkat fint än så länge.

Samma här. Slumpade långa lösenord. betalar dessutom så man kan synca till mobilen. Så jävla smidigt.

Medlem
Skrivet av almblad:

KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.

Använd LastPass, så fylls alla inloggningsfält i automatiskt. Funkar både på dator och mobil och allt synkas mellan enheter Tjänsten kan till och med automatiserat byta lösenord hos många stora hemsidor utan att man behöver logga in och göra det manuellt.

Medlem
Skrivet av almblad:

KeePass är också ett bra program som genererar lösenord, kan välja hur de genererar med vilka variabler. Dock måste man kopiera lösenorden via programmet, inte en chans att man kommer ihåg ett lösenord med tecken och bokstäver på en längd av 60.

Jag har börjat använda KeePass på både datorn och mobilen, och är toknöjd. Det tog en bra stund att ändra alla lösenord på alla mina användarkonton, men det får det vara värt.


signatur

🖥️ RTX 4090 | i9-13900KF | 64GB

Medlem

Om det är kopplat till kreditkortsuppgifter eller liknande så är det bekymmersamt. Annars brukar jag helt enkelt strunta i att det hackats. Inget har hänt heller. Vad ska de göra? Gå in på 800 000 konton och jävlas? De tycker mest det är roligt att hacka.


signatur

Har jag drabbats av PMA? Positiv Mental Attityd.

Medlem

Så inga lösenord. I värsta fall saltade lösenord.

Med andra ord fick hackarna ett... kundregister?


signatur

I'm a snake, follow me!

Medlem
Skrivet av SuperTank:

Så inga lösenord. I värsta fall saltade lösenord.

Med andra ord fick hackarna ett... kundregister?

Saltet kan du komma åt genom att bruteforca korta usla lösenord med alla saltkombos mot en databasdump.

För övrigt bör ni tänka över om ni ska använda password managers som automatiskt trycker in uppgifterna i fälten:
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-giv...

Det ovan är bara en av flera sårbarheter som drabbat PW managers de senaste åren. Bättre att klippa/klistra eller se till att programmet skjuter in lösenordet i fältet - när du begär det. Då minskas attackytan till enbart klientsidan (typ du måste vara infekterad med skadlig kod för att få ditt lösenord snott).

Problemet med PW mangers är att om huvudlösenordet kommer på vift så är alla andra komprometterade. Bättre är att köra generativa lösenordsmanagers, har skrivit en själv och det finns ingen lösenordsinfo att komma över.

Men jämfört med postits eller att lagra PW i textfiler eller "qwe123" som lösen så är PW managers generellt en bra ide.

Medlem
Skrivet av Ichinin:
Skrivet av SuperTank:

Så inga lösenord. I värsta fall saltade lösenord.

Med andra ord fick hackarna ett... kundregister?

Saltet kan du komma åt genom att bruteforca korta usla lösenord med alla saltkombos mot en databasdump.

Låter oehört, oehört tid och processorkrävande. Per lösenord. En vettig kryptering avslöjar inte heller längden av ett lösenord så det går ju inte att se vilka lösenord som är korta.


signatur

I'm a snake, follow me!

Medlem
Skrivet av SuperTank:
Skrivet av Ichinin:
Skrivet av SuperTank:

Så inga lösenord. I värsta fall saltade lösenord.

Med andra ord fick hackarna ett... kundregister?

Saltet kan du komma åt genom att bruteforca korta usla lösenord med alla saltkombos mot en databasdump.

Låter oehört, oehört tid och processorkrävande. Per lösenord. En vettig kryptering avslöjar inte heller längden av ett lösenord så det går ju inte att se vilka lösenord som är korta.

Hashalgoritm, inte kryptering.

Korta och icke komplexa lösenord går fort att gissa, de vanliga "secret, password,123456, letmein" brukar finnas om kvalitetskontroll saknas för lösenord, sen kan det vara så att saltet kan vara sajt specifikt och inte nödvändigtvis unikt per lösenord. Som jag sa, de som skapar forummjukvaror är sällan säkerhetsexperter.

Salt brukar vara ~16-24 bitar, det tar några sekunder att knäcka per lösenord och iom internet så är du inte enbart beroende av din hemmadator. GPU kan också användas i beräkningar.

Proper hashning av lösenord i professionella kretsar brukar iterera ca 1000+ gånger, vilket ökar mängden processorkraft som krävs, forum kan också implementera det, men det måste vägas mot slöa scriptbaserade språk som PHP/ASP/JSP och användaren ska inte behöva dö av hög ålder under autenticeringen...

1
Skriv svar