»

Yahoo nadaljuje odpravljanje gesel

Yahoo News - Yahoo je marca krenil na pot odprave gesel (takrat so predstavili On-Demand Passwords), kar še vedno ostaja njihov cilj. Po besedah Jeffa Bonforteja, podpredsednika za komunikacijske izdelke, uporabniška imena in gesla zaradi svoje množičnosti ne opravljajo več svojega dela. Uporabniki zato pogosto uporabljajo ista gesla na različnih straneh ali pa uporabljajo izrazito ne varna gesla. Z gesli na enostaven in intuitiven način ni mogoče zagotoviti visoke varnosti, zaključuje. Zato želi Yahoo postopno odpraviti gesla.

Novi korak so naredili z aplikacijo Yahoo Mail za pametne telefone, kamor vpišemo Yahoojev elektronski naslov in geslo. Če vključimo funkcijo Yahoo Account Key, se bo telefon enolično povezal z elektronskim predalom, zato ne bomo nikoli več potrebovali gesla za dostop. Ob vsakem dostopu bo...

27 komentarjev

Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino

BBC - Če berete besedilo zaradi dvoumnega naslova, kar takoj k dejstvom. Govorimo o geslih. Per Thorsheim je za svoje predavanje nabral skupaj nekaj informacij o geslih. O geslih, ki jih izbirajo uporabniki, vemo namreč že veliko. Nekaj podatkov dajo različne raziskave, veliko pa jih dobimo tudi iz analiz ukradenih gesel. Vdori v Adobe, LinkedIn in RockYou so le največji primeri, iz katerih so raziskovalci dobili ogromno podatkov.

Nekatere študije kažejo, da najboljša gesla izbirajo rdečelaske, najslabša gesla pa bradati, neurejeni moški. Ženske si raje izberejo daljša gesla, moški pa nekoliko krajša, a z več nealfanumeričnimi znaki. Sicer pa pri vseh študijah izstopa...

53 komentarjev

Hotmail gesla kar po domače rezal na 16 znakov

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...

80 komentarjev

Hekerji dobili pol milijon gesel uporabnikov Yahoo! Voices

vir: ZDNet
ZDNet - Hekerska skupina z vzdevkom D33ds Company je napadla Yahoojevo storitev Yahoo! Voices in pridobila uporabniška imena in gesla več kot 450.000 uporabnikov. Svoje besede so podkrepili tudi z dejanji, in sicer so pridobljene podatke javno priobčili. V tekstovni obliki so objavljena tudi gesla, kar pomeni, da jih Yahoo ni hranil šifrirano. Napadalci so zapisali, da so Yahoo želeli le opozoriti na malomarno varnost in da ne gre za grožnjo. Ali ste med prizadetimi, lahko preverite na posebej v ta namen postavljenih straneh.

Yahoo je potrdil, da se je vdor zgodil, a poizkušajo škodo prikazati kot minimalno. V izjavi za javnost so zapisali, da datoteka z ukradenimi podatki izvira s starega sistema Yahoo! Contributor Network, ki ga je Yahoo dobil s prevzemom Associated Content. Trdijo, da je med...

16 komentarjev

Google želi tvoriti in hraniti vaša gesla

Google - Z naraščanjem števila spletnih strani, ki za uporabo polne funkcionalnosti zahtevajo prijavo z uporabniškim imenom in geslom, se uporabniki na internetu znajdejo pred problemom prevelikega števila gesel. To vodi v zapisovanje gesel na listke, uporabo enostavnih in ne varnih gesel ter recikliranje gesel, ko isto geslo uporabijo na več straneh. Ob hekerskih napadih na eno izmed strani so potem ogroženi še vsi profili na drugih straneh, ki so jih uporabniki tvorili z istim geslom.

Ena od rešitev je uporaba standarda OpenID, kjer si uporabnik ustvari identiteto pri centralnem ponudniku (OpenID provider) in jo potem uporabi za registracijo in prijavo v več različnih strani, brez da bi jim rabil...

58 komentarjev

Vizualizacija recikliranja gesel za večjo varnost

Heise - Pogost problem pri računalniški varnosti, na katerega redno opozarjamo, a še vedno trdovratno vztraja, je recikliranje gesel. S tem izrazom označujemo pojav, ko ljudje za različne spletne strani oziroma aplikacije uporabljajo isto geslo za dostop. Dokler je isto geslo omejeno na nepomembne strani (elektronski predal za prejemanje spama, registracija na obskurnih forumih itd.), na katerih v profilu nimamo zapisanih osebnih podatkov, to ne predstavlja težav. Toda veliko ljudi si življenje poenostavi tako, da isto geslo uporabljajo...

10 komentarjev

Hotmail z novimi metodami za varovanje elektronskih predalov

Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, je rezultat vedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.

Po novem tako ne bo več mogoče registrirati uporabniškega računa z...

22 komentarjev

Analiza Sonyjevih gesel

Slashdot - Odlično nadaljevanje današnje novice o za več razredov večji ranljivosti gesel pri napadu z močnimi grafičnimi procesorji je analiza ukradenih gesel pri napadu na Sony. Ker so več kot milijon gesel hranili v tekstovni obliki, so gesla odprta na vpogled vsakomur, ki ukrade bazo podatkov. Analiza pokaže, da so nič hudega sluteči uporabniki izbirali šibka gesla.

Analizirali so dolžino gesel, uporabljene vrste znakov (male in velike črke, številke, ločila, posebne znake), slovarskost in unikatnost. Ugotovili so, da smo ljudje še vedno leni, kar se tiče pomnjenja gesel. Velika večina (93 odstotkov) je imela od šest do deset znakov, polovica gesel pa je bilo krajših od osem znakov. Prav tako ima polovica gesel le male črke, nekaj več pa jih ima še...

21 komentarjev

Francija prepoveduje zgoščeno obliko gesel

Takole so po napadu pri Gawker Media od bralcev zahtevali zamenjavo gesel - v Franciji to ne bi pretirano pomagalo

vir: Slashdot
Slashdot - Na Slashdotu so prek BBC-ja objavili vest, da je nov zakon v Franciji prepovedal shranjevanje gesel na spletnih straneh in spletnih servisih v zgoščeni vrednosti (hash value), namesto česar morajo upravljalci storitev, npr. spletne elektronske pošte, ponudniki glasbe in videa, spletne trgovine, itd., v svojih bazah shranjevati gesla v obliki običajnega besedila (plain-text). Poleg neposredno zapisanega gesla naj bi pri vsakemu uporabniku imeli napisan še ime in priimek, naslov prebivališča in telefonske številke, vse te podatke pa bi v primeru sprejetja zakona morali posredovati oblastem, če bodo te to zahtevale. Podatke lahko zahteva policija, davčni in socialni urad, carina in urad za boj proti...

29 komentarjev

Analiza pobeglih gesel: še vedno nič novega

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru...

17 komentarjev

Gawker Media napaden, bralci zamenjajte gesla

Ta vnosna polja bo videla obilica bralcev popularnih blogov

vir: Slashdot
Slashdot - Pretekli vikend je še neznanim hekerjem uspelo pridobiti dostop do spletne strani Gawker.com ter do njihovega računa na Twitterju, na obe spletni strani pa so prilepili povezavo do datoteke .torrent na ThePirateBay, v kateri se skriva obilica kočljivih informacij. Javnosti je tako na ogled celotna baza podatkov omenjene skupine, poleg izvorne kode spletnih strani in sistema za upravljanje z vsebino. Med pobeglimi podatki so jasno tudi informacije o uporabniških računih.

Prizadetih uporabnikov naj bi bilo kar 1,3 milijona, saj skupina Gawker Media ne predstavlja le bloga Gawker.com, temveč še druge znane spletne strani, npr. Gizmodo.com, Jalopnik.com, Kotaku.com in Lifehacker.com. Bralci vseh spletnih...

13 komentarjev

Analiza slovenskih gesel

Infosec.si - Gorazd Žagar je na svojem blogu Infosec.si tokrat objavil zanimiv prispevek o geslih, ki jih za različne internetne storitve izbiramo uporabniki.

Na spletu najdemo kar nekaj analiz gesel, vendar gre večinoma zgolj za gesla iz angleškega govornega področja. Gorazd Žagar pa je tokrat pripravil analizo gesel slovenskih uporabnikov. Seznam zajema skupno 55.096 gesel, pridobljenih v letih od 2001 do 2006 iz različnih virov.

Najpogostejše slovensko geslo je 123456, precej pa jih vsebuje tudi lastna imena. Vsekakor gre za zanimivo analizo, ki kaže na pogoste napake uporabnikov pri izbiri gesel, zato si jo vsekakor velja ogledati.

39 komentarjev

Večina gesel ni varnih

RockYou celo ni dovoljeval posebnih znakov

vir: HotHardware
HotHardware - Varnostno podjetje Imperva je podrobneje analiziralo bazo 32 milijonov gesel, ki so postala javna zaradi varnostne luknje na strani RockYou.com in prišli do nadvse zanimivih ugotovitev. Večina gesel je daleč od varnih in zanje pravzaprav ni potrebno razbijanje, saj je dokaj visoka verjetnost za pravilen rezultat že ugibanje. Deset najpogosteje uporabljanih gesel v bazi je (številka v oklepaju pove število uporabe):
  • 123456 (290,731)
  • 12345 (79,078)
  • 123456789 (76,790)
  • Password (61,958)
  • iloveyou (51,622)
  • princess (35,231)
  • rockyou (22,588)
  • 1234567 (21,726)
  • 12345678 (20,553)
  • abc123 (17,542)
Skoraj tretjina gesel je tako dolgih le 6 ali celo manj znakov, skoraj dve tretjini jih vsebuje zaporedje številk oz. črk (npr. qwerty, 20. najpogostejše geslo z dobrimi 13.000...

46 komentarjev

Analiza ukradenih gesel: nič novega

Slashdot - Ta teden so neznanci vdrli na stran phpBB.com in svoj napad natančno popisali. S pedagoškega vidika je opis poučen, s psihološkega pa je zanimivejša analiza gesel uporabnikov, ki so jih odtujili. Še enkrat več se je izkazalo, da uporabniki kaj pretirano inovativni niso, saj je najpogostejše geslo 123456, ki mu sledijo password, phpbb, qwerty, 12345 in 12345678. Podatki še kažejo, da je 16 odstotkov gesel enakih kot je ime uporabniku, 14 odstotkov predstavljajo vzorci na tipkovnici (denimo 1234, asdf ipd.), štiri odstotke gesel je variacij na temo password (passw0rd, password1 ipd.), pet odstotkov je pobranih iz popkulture (pokemon, blink182 ipd.). Tretjina gesel vsebuje šest znakov, samo poldrugi odstotek ljudi pa uporablja geslo z vsaj desetimi znaki.

27 komentarjev