LinkedIn: Keine Konto-Verletzungen in Folge der Kerbe

2014-01-10  |  Comebuy News

Social-networking-Site LinkedIn hat Details der Versuche zur Erhöhung der Sicherheit im Zuge der 6,5 Millionen Benutzernamen enthüllt und gehashte Passwörter auf einem russischen Hacker-Forum veröffentlicht wird.

Comebuy Verwandte Artikel: LinkedIn Verletzung, bestätigt fordert Mitglieder kompromittierten PasswordsLinkedIn Untersuchung von 6,5 Millionen undichte passwords6.5M LinkedIn Kennwörter Posted Online nach scheinbaren HackLinkedIn Passwort Verletzung erscheint Spam Campaign3 Dinge müssen Sie wissen, über wie LinkedIn Kalender Werke ändern

Ein Blog-Eintrag des Regisseurs Vicente Silveira ergab, dass LinkedIn keine Berichte von unberechtigten Kontozugriff im Gefolge von dem Sicherheitsverstoß erhalten hat.

Das Unternehmen zeigte auch, dass die Kennwörter der Benutzer den Dienst jetzt gesalzen sowie werden gehasht. "Übergang vor der Nachricht von der Passwort-Diebstahl brechen am Mittwoch abgeschlossen wurde," schrieb Silveira.

Ty Miller, chief Technology Officer bei der Firma Pure hacking, sagte, dass, obwohl das Salzen der Passwort-Hashes für eine lange Zeit gewesen herum für Penetrationstests, "Wir finden, dass viele Web-Anwendungen entweder keine-ihre Passwörter überhaupt Hash, oder gemeinsame Hash Algorithmen, z. B. MD5, ohne ein Salz verwenden".

"Soziale und berufliche networking-Sites wie LinkedIn sind wesentliche Ziele für Hacker", sagte Miller. "Kombination mit der Komplexität dieser Arten von Web-Anwendungen, dürfte die Chance auf eine kritische Schwachstelle anwesend zu sein. Dies bedeutet, dass ein Verteidigung-in-Depth-Ansatz eine Notwendigkeit für LinkedIn, einschließlich Passwörter durch starke kryptografische Methoden zu schützen."

Miller sagte, social-networking-Dienste wie LinkedIn eine Fülle von persönlichen Informationen über ihre Nutzer zu speichern und haben die Verantwortung, die ein Höchstmaß an Sicherheit mit Sicherheitsmaßnahmen wie Salzen Passwort-Hashes, als Teil der Anwendungsentwurf implementiert implementieren.

Ein Kennwort Salzen macht es unwahrscheinlicher, dass ein Konto wird anfällig für Hacker Regenbogentabellen, d. h. im wesentlichen Wörterbücher von Hashes, die Person zu entdecken, was ist das Kennwort eines Benutzers unverschlüsselte gestatten.

"Salze sollen sicherstellen, dass der generierte Hash unterscheidet, auch wenn das gleiche Passwort gehasht werden wird,", sagte Miller. "Je größer das Salz gibt es mehr unterschiedliche Hashes für das gleiche Kennwort. Dies bedeutet normalerweise, dass Rainbow-Tabellen keine praktikable Option sind für salted Hashes knacken, denn es zu viele Kombinationen gibt zu erstellen.

"Dies bedeutet, dass die Angreifer haben sich auf wörterbuchbasierte Passwort-Attacken, die jede mögliche salted Hash für jedes Kennwort in das Kennwort-Wörterbuch zu berechnen. Dies bedeutet, dass schwache Kennwörter werden können leicht geknackt werden und stärkere Passwörter sind eher gesichert bleiben."

Rohan Pearce ist Herausgeber des Techworld Australien. Erreichen Sie ihn unter Rohan_pearce bei idg.com.au.

Rohan auf Twitter folgen: @rohan_p

Techworld Australien auf Twitter folgen: @techworld_au

« Back