Παραβίαση των διακομιστών της Opera

[8anos]

Σύμφωνα με ανακοίνωση της εταιρίας, λίγες μέρες πριν ανιχνεύθηκε παραβίαση των διακομιστών που χρησιμοποιούνται για στην υπηρεσία συγχρονισμού που προσφέρει η Opera.

Η εταιρία ερευνά το περιστατικό και πιστεύει οτι ορισμένα στοιχεία χρηστών ανάμεσα στα οποία και κωδικοί πρόσβασης στην υπηρεσία συγχρονισμού έχουν υποκλαπεί.
Όλοι οι κωδικοί ιστοσελίδων που είναι συγχρονισμένοι στην υπηρεσία είναι κρυπτογραφημένοι και όλοι οι κωδικοί πρόσβασης στην υπηρεσία είναι κατακερματισμένοι και αλατισμένοι (hashed and salted).

Παρόλα αυτά η εταιρία για προληπτικούς λόγους εχει κάνει επαναφορά όλων των κωδικών πρόσβασης και απέστειλε ενημερωτικό ηλεκτρονικό μήνυμα σε όλους τους χρήστες της υπηρεσίας.

Η εταιρία ενθαρρύνει τους χρήστες να αλλάξουν και τους κωδικούς τρίτων ιστοσελίδων που είχαν συγχρονιστεί με την υπηρεσία της.


Πηγή: Opera server breach incident

[keysmith]

και όλοι οι κωδικοί πρόσβασης στην υπηρεσία είναι κατακερματισμένοι και αλατισμένοι (hashed and salted).

και έτσι για να σπάσουν οι κωδικοί ας πούμε κάτω από 7 χαρακτήρες θα χρειαστεί αντί για μία ώρα, καμιά 3-4 μέρες να σπάσουν (ότι και να είναι) και όχι με σοβαρή υπολογιστική δομή.

Προσωπικά δεν ήξερα ότι συγχρονίζονται "κωδικοί" από τον όπερα. Ποτέ δεν πατάω save password, έτσι και αλλιώς αλλα σίγουρα κάποιοι το κάνουν. Οπότε όσοι (μάλλον απερίσκεπτα) το χρησιμοποιούσαν πρέπει οπωσδήποτε να αλλάξουν κωδικούς από παντού.

[8anos]

μας πήδηξε η όπερα , πήρα πριν απο λίγο και εμαιλ από το spotify

Please update your Spotify password.



Hi Spotify User

To protect your Spotify account, we've reset your password. This is because we believe it may have been compromised during a leak on another service with which you use the same password.

Don't worry! This is purely a preventative security measure. Nobody has accessed your Spotify account, and your data is secure.

To create a new password so you can log back into Spotify, simply click the big green button below

κοίταξα την λίστα με τους κωδικούς μου και εχω πάνω από 600.
ευτυχώς πολλοί απο τους ιστότοπους δεν υπάρχουν πια



ευκαιρία να αλλάξω κωδικούς παντου και να δοκιμάσω κάποιον password manager

[CopyPaste]

Αν κατάλαβα καλά....

Το πρόβλημα υπάρχει με τους χρήστες που χρησιμοποιούσαν την υπηρεσία συγχρονισμού της Opera.

Για κάποιον που απλά έκανε ένα login σε ένα site απο το κινητό του χωρίς να κάνει login στην υπηρεσία της Opera δεν υπάρχει θέμα;

[gerstavros]

Αν κατάλαβα καλά....

Το πρόβλημα υπάρχει με τους χρήστες που χρησιμοποιούσαν την υπηρεσία συγχρονισμού της Opera.

Για κάποιον που απλά έκανε ένα login σε ένα site απο το κινητό του χωρίς να κάνει login στην υπηρεσία της Opera δεν υπάρχει θέμα;

Όχι .

[8anos]

Αν κατάλαβα καλά....

Το πρόβλημα υπάρχει με τους χρήστες που χρησιμοποιούσαν την υπηρεσία συγχρονισμού της Opera.

Για κάποιον που απλά έκανε ένα login σε ένα site απο το κινητό του χωρίς να κάνει login στην υπηρεσία της Opera δεν υπάρχει θέμα;

δεν υπάρχει θέμα

[odd]

και έτσι για να σπάσουν οι κωδικοί ας πούμε κάτω από 7 χαρακτήρες θα χρειαστεί αντί για μία ώρα, καμιά 3-4 μέρες να σπάσουν (ότι και να είναι) και όχι με σοβαρή υπολογιστική δομή.

Προσωπικά δεν ήξερα ότι συγχρονίζονται "κωδικοί" από τον όπερα. Ποτέ δεν πατάω save password, έτσι και αλλιώς αλλα σίγουρα κάποιοι το κάνουν. Οπότε όσοι (μάλλον απερίσκεπτα) το χρησιμοποιούσαν πρέπει οπωσδήποτε να αλλάξουν κωδικούς από παντού.

Ανάλογα το αλάτισμα. Αν το αλάτι είναι ένα string 10 χαρακτήρων τότε το 4ψήφιο pass γίνεται 14ψήφιο.

μας πήδηξε η όπερα , πήρα πριν απο λίγο και εμαιλ από το spotify



κοίταξα την λίστα με τους κωδικούς μου και εχω πάνω από 600.
ευτυχώς πολλοί απο τους ιστότοπους δεν υπάρχουν πια



ευκαιρία να αλλάξω κωδικούς παντου και να δοκιμάσω κάποιον password manager

Προσωπικά δεν συγχρονίζω ποτέ passes. Από passwork managers τσέκαρε τον keepass2.

[Zus]

Σε κάποια φάση είχα χρησιμοποιήσει opera, είχα συγχρονίσει κωδικούς αλλά δεν θυμάμαι αν ήτανε σε κρίσιμα site.

[turboirc]

Ευτυχως που το ανακοινωσε η ιδια, διαφορετικα ποιος θα το επαιρνε χαμπαρι.
1.1% market share και οσο παει πεφτει. Θα αρχισω και εγω να κανω τετοιες ανακοινωσεις μπας και βγω απο την αφανεια.

Οσο για τις μεταφρασεις 'κατακερματισμενοι' = τελειως λαθος, 'αλατισμενοι' = μηπως εχουν και κρεμμυδι μεσα; ελεος.

[Zus]

Ευτυχως που το ανακοινωσε η ιδια, διαφορετικα ποιος θα το επαιρνε χαμπαρι.
1.1% market share και οσο παει πεφτει. Θα αρχισω και εγω να κανω τετοιες ανακοινωσεις μπας και βγω απο την αφανεια.

Οσο για τις μεταφρασεις 'κατακερματισμενοι' = τελειως λαθος, 'αλατισμενοι' = μηπως εχουν και κρεμμυδι μεσα; ελεος.

Και 0,1 να είχε καλά έκανε και το ανακοίνωσε.

Όσο για τις μεταφράσεις, την επόμενη φορά να το κάνεις μόνος σου. Και μέχρι τότε, αναρωτήσου γιατί είσαι τόσο επιθετικός σε οτιδήποτε και αν κάνεις σχόλιο...

[turboirc]

Και 0,1 να είχε καλά έκανε και το ανακοίνωσε.

Όσο για τις μεταφράσεις, την επόμενη φορά να το κάνεις μόνος σου. Και μέχρι τότε, αναρωτήσου γιατί είσαι τόσο επιθετικός σε οτιδήποτε και αν κάνεις σχόλιο...

Σε θεματα που αφορουν την ελληνικη γλωσσα τσαντιζομαι ευκολα. Και γενικως ειμαι τσαντιλας.
Τι να γινει εχω και εγω τα ελαττωματα μου.

Ωστοσο δεν συμφωνω με αυτο που ειπες για την ανακοινωση. Σημασια για μια εταιρια τετοιου τυπου ειναι να ασχολουνται αλλοι με αυτην και να βρισκουν τα καλα και τα κακα της, οχι ο εαυτος της.

[keysmith]

Ανάλογα το αλάτισμα. Αν το αλάτι είναι ένα string 10 χαρακτήρων τότε το 4ψήφιο pass γίνεται 14ψήφιο.

όχι φίλε μου δεν πάει έτσι. Το 'αλάτι' είναι γνωστή πληροφορία. φυλάσσεται δίπλα στο hash. Δεν προστατεύει (έναν) τον κωδικό να μην σπάσει. Σπάει πρακτικά ακριβώς το ίδιο με ή χωρίς αλάτι ένας (στοχευμένος) κωδικός. Προστατεύει να μην εντοπίζονται δύο (ή περισσότεροι) ίδιοι κωδικοί σε ένα πλήθος κωδικών (ότι δύο ή περισσότερα άτομα/οντότητες έχουν το ίδιο κωδικό).

Η μάλλον να το πω καλύτερα το να δοκιμάζεις κωδικούς για να δεις ποιος ταιριάζει σε ποιον (σκέτο hash) πρέπει ως διαδικασία να γίνει ξεχωριστά για κάθε ένα υποψήφιο θύμα. Αν δλδ ένας κωδικός 7 χαρακτήρων σπάει ας πούμε σε 3 μέρες (πάνω κάτω με α υπολογιστική δύναμη). Αν έχεις 10 χρήστες με κωδικούς 7 χαρακτήρων για να τους σπάσεις όλους όταν υπάρχει άλάτι θέλεις 10Χ3 μέρες (30 μέρες). Αν δεν υπήρχε το αλάτι ΟΛΟΙ θα έσπαγαν με ένα (το ίδιο) brute force (σε πάνω κάτω 3 μέρες).

To Αλάτι σίγουρα προστατεύει να μην σπάσουν όλοι οι κωδικοί που έχουν στην διάθεσή τους εύκολα. Αυτούς που θέλουν όμως θα τους σπάσουν (εκτός αν ο κωδικός του υποψήφιου θύματος ήταν 12-15 χαρακτήρες με κόλπα, οπότε με ή χωρίς αλάτι δεν σπάει)

[Zus]

Σε θεματα που αφορουν την ελληνικη γλωσσα τσαντιζομαι ευκολα. Και γενικως ειμαι τσαντιλας.
Τι να γινει εχω και εγω τα ελαττωματα μου.

Βάλε και κανένα τόνο όμως.

[turboirc]

Βάλε και κανένα τόνο όμως.

Δυσκολα απο το iPad.

- - - Updated - - -

όχι φίλε μου δεν πάει έτσι. Το 'αλάτι' είναι γνωστή πληροφορία. φυλάσσεται δίπλα στο hash. Δεν προστατεύει (έναν) τον κωδικό να μην σπάσει. Σπάει πρακτικά ακριβώς το ίδιο με ή χωρίς αλάτι ένας (στοχευμένος) κωδικός. Προστατεύει να μην εντοπίζονται δύο (ή περισσότεροι) ίδιοι κωδικοί σε ένα πλήθος κωδικών (ότι δύο ή περισσότερα άτομα/οντότητες έχουν το ίδιο κωδικό).

Η μάλλον να το πω καλύτερα το να δοκιμάζεις κωδικούς για να δεις ποιος ταιριάζει σε ποιον (σκέτο hash) πρέπει ως διαδικασία να γίνει ξεχωριστά για κάθε ένα υποψήφιο θύμα. Αν δλδ ένας κωδικός 7 χαρακτήρων σπάει ας πούμε σε 3 μέρες (πάνω κάτω με α υπολογιστική δύναμη). Αν έχεις 10 χρήστες με κωδικούς 7 χαρακτήρων για να τους σπάσεις όλους όταν υπάρχει άλάτι θέλεις 10Χ3 μέρες (30 μέρες). Αν δεν υπήρχε το αλάτι ΟΛΟΙ θα έσπαγαν με ένα (το ίδιο) brute force (σε πάνω κάτω 3 μέρες).

To Αλάτι σίγουρα προστατεύει να μην σπάσουν όλοι οι κωδικοί που έχουν στην διάθεσή τους εύκολα. Αυτούς που θέλουν όμως θα τους σπάσουν (εκτός αν ο κωδικός του υποψήφιου θύματος ήταν 12-15 χαρακτήρες με κόλπα, οπότε με ή χωρίς αλάτι δεν σπάει)

[icsd08063]

Off Topic

Επειδή πρόσφατα μου έτυχε και αντί για MD5 χρησιμοποίησα hash and salt μέθοδο σε ms db, υπάρχει η δυνατότητα να κάνει κάποιος (attacker) retrieve το pass από τα προηγούμενα 2?
Τι εννοοώ: πεδίa pass, hash, salt στην βάση. Με simple php/sql κάνω one time user creation (admin) και βλέπω ότι στην βάση έχει γραφτεί hash και salt αλλά το πεδίο pass παραμένει κενό.

Το log on μου δουλέυει αλλά θα με ενδιέφερε να ξέρω αν είναι και secure enough, τουλάχιστον παραπάνω από MD5...