LinkedIn wachtwoorden op straat

[Sabra]

Ik weet niet of er al een topic over loopt, maar dit kreeg ik net via Twitter binnen: LinkedIn wachtwoorden op straat.

[willemj]

Mmmmm, zou wel heel treurig zijn als dit waar is. Te meer omdat de wachtwoorden dan amper beveiligd opgeslagen zouden zijn bij linkedin (voor de liefhebber: SHA-1 hash zonder salt)

 

Alleen staan in het bestand alleen wachtwoorden, geen accountgegevens. Kan dus net zo goed een willekeurig bestand zijn. Beetje slimme hacker gaat nu mailtjes rondsturen met een link om je linkedin wachtwoord te wijzigen. Die dus in ieder geval niet aanklikken.

[Sabra]

 

Alleen staan in het bestand alleen wachtwoorden, geen accountgegevens. Kan dus net zo goed een willekeurig bestand zijn. Beetje slimme hacker gaat nu mailtjes rondsturen met een link om je linkedin wachtwoord te wijzigen. Die dus in ieder geval niet aanklikken.

 

Dit zegt The Next Web hierover:

Finnish security firm CERT-FI is warning that whilst user details have not been posted, it is believed that the attackers will have access to user data as well as their passwords.

 

Ik kom niet verder dan standaard security protocollen, dus dit gaat te ver voor mij. :) LinkedIn zelf heeft echter nog niet gereageerd.

[P.J.]

Volgens mij gaat het alleen om gebruikers die via een Linkedin app vanaf hun PDA ook hun adresgegevens e.d. synchroniseren. Die app blijkt de gegevens zonder encryptie te verzenden.

[willemj]

Volgens mij gaat het alleen om gebruikers die via een Linkedin app vanaf hun PDA ook hun adresgegevens e.d. synchroniseren. Die app blijkt de gegevens zonder encryptie te verzenden.

 

Die app stuurt alleen kalenderinformatie (waar potentieel wachtwoorden in notities staan) geen linkedin wachtwoord. Heeft er dus niets mee te maken.

[Jazzy]

Alleen staan in het bestand alleen wachtwoorden, geen accountgegevens. Kan dus net zo goed een willekeurig bestand zijn.

Diverse mensen hebben al aangegeven hun wachtwoord wat zij alleen voor LinkedIn gebruiken terug te hebben gevonden.

 

En zeg eens eerlijk, wie gebruikt hier het zelfde wachtwoord voor alle websites? :)

[willemj]

Diverse mensen hebben al aangegeven hun wachtwoord wat zij alleen voor LinkedIn gebruiken terug te hebben gevonden.

 

Heb ik ook gezien maar nog géén die het aandurft om z'n wachtwoord erbij te zetten zodat je kunt zien dat het ook een sterk wachtwoord is.

 

Maar het lijkt toch echt te zijn. Ik heb bestand bekeken en het forum waarop het gepost is. Ze zouden ca. 200.000 wachtwoorden gekraakt hebben. In de lijst zijn precies dat aantal codes gewijzigd; vermoedelijk om aan te geven dat die al gekraakt zijn. En mijn linkedin wachtwoord staat daar ook tussen (wel redelijk sterk maar durf hem ook niet te posten ;) )

[member123]

En mijn linkedin wachtwoord staat daar ook tussen (wel redelijk sterk maar durf hem ook niet te posten )

waar kan je dan bekijken of je wachtwoord er ook tussenzit?

[JoeriT]

Ik denk dat het verstandiger is om je wachtwoord te wijzigen, al is het alleen al om er zeker van te zijn dat niemand jouw profiel veranderd of toegang heeft tot gegevens waar alleen jijzelf toegang voor hoort te krijgen. Zelf heb ik al actie ondernomen, scheelt ook weer tijd om in lijsten te snuffelen etc.

[willemj]

En mijn linkedin wachtwoord staat daar ook tussen (wel redelijk sterk maar durf hem ook niet te posten )

waar kan je dan bekijken of je wachtwoord er ook tussenzit?

 

Dat kan niet online en dat zou ook niet verstandig zijn ;)

 

Controleren kan door het downloaden van het bestand en wat technisch gegoochel. Details en link(s) naar het bestand staan op tweakers.net.

[Sabra]

Ik moet toegeven dat ik ook wel eens hetzelfde wachtwoord gebruik, maar alleen voor accounts die geen gevoelige informatie bevatten. Ik ken echter wel mensen die inderdaad een 'algemeen' wachtwoord hebben, en zich vrolijk met de emailaccount waar ze alles mee registreren, een PayPal account aanmaken en hun bankrekeningen koppelen. ::)

 

Is er al een reactie van LinkedIn eigenlijk?

 

EDIT: Sorry, ik lees net dat LinkedIn nog steeds niet kan bevestigen dat het uberhaupt een lek in de beveiliging heeft plaats gevonden.

[Seneca]

Ik heb net mijn wachtwoord veranderd in 150 willekeurige (hoofd)letters en cijfers. Hoe snel zal deze te kraken zijn?

[Sabra]

Ik heb net mijn wachtwoord veranderd in 150 willekeurige (hoofd)letters en cijfers. Hoe snel zal deze te kraken zijn?

 

Lol, wel goed bewaren he? :)

[willemj]

Bevestigd door LinkedIn en wachtwoorden die gehacked zijn zijn niet meer geldig (weet je meteen of je op de lijst staat)

[willemj]

Ik heb net mijn wachtwoord veranderd in 150 willekeurige (hoofd)letters en cijfers. Hoe snel zal deze te kraken zijn?

 

2 * 24 + 10 = 58 mogelijke karakters, dat zijn dus 58^150 = 3,2E264 (264 nullen) mogelijkheden. Een beetje videokaart doet er 4 miljard per seconden. Dus 3,2E254 seconden om alle combinaties uit te proberen. Dus ongeveer 1,353E252 jaar. Nu heeft SHA-1 maar 160 bits dus dat zijn maar 1,46E48 combinaties. Die zijn in 1,1E31 jaar te testen. Dat komt ongeveer overeen met 28 karakters. Conclusie je gebruikt teveel letters ;)

 

Even voor het idee hoe onveilig een wachtwoord tegenwoordig kan zijn:

 

Mijn 11-karakter lange wachtwoord was dus wel gekraakt. Combinatie van 2 Nederlandse woordenboekwoorden, cijfers en een leesteken. Blijkbaar is dat tegenwoorden dus niet meer veilig genoeg. Een compleet random wachtwoord van 7 karakters is trouwens ook in luttele uren (ca 13) te kraken, 8 karakters in 57 dagen (met een redelijk eenvoudige pc)

[P.J.]

Ik was niet gekraakt. Ik heb Linkedin ook nog nooit op enige wijze via de iPhone gebruikt. Willem Joosten wel via zijn mobiele?

[willemj]

Ik was niet gekraakt. Ik heb Linkedin ook nog nooit op enige wijze via de iPhone gebruikt. Willem Joosten wel via zijn mobiele?

 

Nope.

[daniel f]

Daarbij komt nog dat random combinaties gegenereerd door de computer meestal nog niet eens zo random zijn. Het is nog bijzonder lastig voor een (standaard) computer om een random combinatie te maken.

 

In het algemeen geldt dan ook random maar logisch ;)

[Jeannine vdLinden]

En mijn linkedin wachtwoord staat daar ook tussen (wel redelijk sterk maar durf hem ook niet te posten )

waar kan je dan bekijken of je wachtwoord er ook tussenzit?

 

LastPass heeft een tool ontwikkeld om het eenvoudig te checken. Hier een artikel erover.

 

[Jazzy]

Ik heb net mijn wachtwoord veranderd in 150 willekeurige (hoofd)letters en cijfers. Hoe snel zal deze te kraken zijn?

De vraag is vooral hoe goed jij hem kunt onthouden. :) De oude adviezen van een leesteken, hoofdletter en een cijfer en dan het liefst 8 karakters lang zijn achterhaald. Veel beter is het om een zinnetje te gebruiken, bijvoorbeeld een stukje uit de tekst van een liedje of gewoon een paar willekeurige woorden.

 

Zie ook deze cartoon:

[Jazzy]

waar kan je dan bekijken of je wachtwoord er ook tussenzit?

Dat kan op twee manieren. Om te beginnen kun je je wachtwoord coderen op de zelfde manier als LinkedIn dat heeft gdaan. Dan krijg je een lange code en die code kun je dan opzoeken in de lijst.

 

Maar inmiddels zijn een aantal mensen al aan de slag gegaan met het decoderen van de wachtwoorden in de lijst en hebben het resultaat op internet gezet. Dit is zo'n bestand met gedecodeerde wachtwoorden: http://www.mediafire.com/?bq8bd5iojp50zci

[member123]

je schijnt ondertussen ook diverse sites te hebben waar je je wachtwoord kan invullen en die dat omzet naar sha-1 en dan op de lijst kijkt of het gekraakt is.

Kan ook handige site van hackers zijn, hoeven ze zelf niet meer te kraken maar geef je hun je wachtwoord gelijk zelf al.

[JoeriT]

waar kan je dan bekijken of je wachtwoord er ook tussenzit?

Dat kan op twee manieren. Om te beginnen kun je je wachtwoord coderen op de zelfde manier als LinkedIn dat heeft gdaan. Dan krijg je een lange code en die code kun je dan opzoeken in de lijst.

 

Maar inmiddels zijn een aantal mensen al aan de slag gegaan met het decoderen van de wachtwoorden in de lijst en hebben het resultaat op internet gezet. Dit is zo'n bestand met gedecodeerde wachtwoorden: http://www.mediafire.com/?bq8bd5iojp50zci

 

@Jazzy, ik heb het bestand gedownload, maar kreeg een apart bestandsformaat, hoe kan ik dit openen of uitlezen?

[Jazzy]

Gewoon met een teksteditor zoals Notepad. Of vi, maar dan had je deze vraag waarschijnlijk niet gesteld. :)

[Wouter33]

Of via http://www.leakedin.org/

[JoeriT]

Gewoon met een teksteditor zoals Notepad. Of vi, maar dan had je deze vraag waarschijnlijk niet gesteld. :)

 

Nee inderdaad, dank je. Ik kreeg namelijk een hele (voor mij) onbekende bestandsextensie na het downloaden, vandaar de vraag.