Zmeňte si heslo do linkedin.com

Unikli hashe hesiel linkedin.com a vy si radšej zmeňte svoje heslo. To spravte teraz a až potom čítajte ďalej.

Linkedin

Linkedin

Michal Illich 10:32 AM (edited) – Public
Co víme o uniklých heslech z LinkedInu
1. Existuje soubor s více jak 6 miliony hashi hesel (jde poměrně jednoduše sehnat, sám mám doma kopii).
2. LinkedIn potvrdil, že ty hashe odpovídají jeho heslům.
3. Hesla v uniklém souboru jsou unikátní. Odpovídají tedy víc jak 6 milionům uživatelů.
4. Hash mého hesla (středně složitého) v souboru není. Hash hesla +Michal Špaček (velmi složitého) tam je.
5. Z těch 6 milionů hesel je zatím známo, že se podařilo rozlousknout 300 tisíc (update: sophoslabs už hlásí, že rozlouskli 3,5 milionů hesel z toho souboru)

Když si dám dvě a dvě dohromady, tak můj názor je:
– unikla všechna hesla, resp. jejich hashe
– tipoval bych, že původní hackeři i vědí, kterým účtům hesla patří
– většinu hesel rozlouskli sami (rozlousknout většinu hesel v nesaltovaném SHA1 je totiž jednoduché – existují obrovské databáze, které se pro zpětný převod dají použít)
– hackeři zveřejnili jen ty hashe, které sami rozlousknout neumí, tedy ta složitá.

Jediným řešením pro LinkedIn je imho všechna stará hesla zablokovat a vyzvat všechny uživatele ke změně. Nová hesla minimálně saltovat. A prověřit, kudy utekly, aby se to nestalo podruhé. Pokud vím, tak už něco v tomhle směru dělají, ale divím se, že na hlavní stránce linkedin.com ani na přihlašovacím formuláři o tom není ani slovo.

Takže asi tak.

Written by rony