Navigatie overslaan.
Start

SHA1

Blijkbaar zijn de SHA-1 hashes van alle LinkedIn accounts gelekt: 6.458.020 stuks in totaal.

SHA-1 is natuurlijk al een stuk veiliger dan MD5, hetgeen niet meer van deze tijd is.
(Zelfs de autheur van Unix md5crypt vraagt met aandrang MD5 niet meer te gebruiken.)

Maar het onbegrijpelijke is dat alle LinkedIn passwords blijkbaar "unsalted" waren.
Meer nog, voor de meeste wachtwoorden hashes zijn de eerste 5 karakters vervangen door een "0".

Password salts zijn geen optie, het is een vereiste om wachtwoorden op een veilige manier te kunnen opslaan.
Dit is niet nieuw.
De issues met unsalted password zijn zijn al jarenlang bekend.

Zie ook http://blog.knudde.be/wachtwoorden+opslaan en http://blog.knudde.be/pw_hash_salt

Zelfs in 1978, dat is 34 jaar geleden, was er al een paper met best practices voor password storage, waarin ook salts ter sprake komen.
Zie http://cm.bell-labs.com/cm/cs/who/dmr/passwd.ps (Ook lokaal bijgevoegd.)

Het zou fantastisch zijn als mensen de kennis die er 34 jaar gelden al was ook eens daadwerkelijk zouden gebruiken.
Maar zoals altijd zijn degenen die niet leren uit het verleden gedoemd om steeds dezelfde fouten te maken.
Hierdoor wordt er geen vooruitgang geboekt, en moeten steeds opnieuw dezelfde problemen opgelost worden.

Omdat Twitter en andere media natuurlijk niet stil staan, kan je nagaan of jouw wachtwoord in die lijst van 6.458.020 hashes voorkomt op http://www.leakedin.org/

Uiteraard is dit vrij dom om te doen.
De website heeft de lijst met hashes en het enige waar jij voor zorgt is dat deze lijst met hashes mooi wordt aangevuld met het niet-gehashte equivalent.

Trouwens, als je dit niet zelf kan verifiëren, dan heb je waarschijnlijk absoluut geen voordeel om te weten of je wachtwoord in de lijst voorkomt of niet.
Hoe dan ook is het nu het moment om je wachtwoord van LinkIn te wijzigen, maar ik veronderstel dat iedereen zijn wachtwoorden zeer geregeld wijzigt. ;-)



BijlageGrootte
passwd.ps69.37 KB