Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...

Slo-Tech - Skladno z napovedjo smo danes anonimizirali račune, katerih uporabniki se niso prijavili od 1.1.2010. Izbrisali smo vse podatke računa razen uporabniškega imena, prijavnih podatkov ter email naslova. V prihodnjih dneh (do konca tedna), bomo na podoben način anonimizirali tudi račune, ki niso v uporabi od 1.1.2011, pri danes anonimiziranih računih pa bomo anonimizirali še podatek o naslovu elektronske pošte.

V primeru, da tovrstnega postopka z vašim računom ne želite, se enostavno prijavite.

Ars Technica - Po vsakem vdoru v računalniške sisteme, kadar se nato izvaja analiza odtujenih gesel, je rezultat vedno enak - ogromen delež uporabnikov nima varnih gesel. Tisoči in tisoči menijo, da so gesla 123456, password, qwertz in podobna varna. To je voda na mlin napadalcem, ki jim sploh ni treba vdreti v bazo podatkov, ampak se enostavno prijavijo kot uporabnik in preizkusijo nekaj najpogostejših gesel. Hotmail je obupal nad opozarjanjem uporabnikov, zato bodo najbolj pogosta nevarna gesla preprosto prepovedali.

Po novem tako ne bo več mogoče registrirati uporabniškega računa z...

The New York Times - Medtem ko po spletu še vedno odmeva napad na Citigroup, še zlasti zaradi neverjetne varnostne luknje, je banka po zahtevku generalnega tožilca iz Connecticuta razkrila nekoliko več informacij.

Vdor so zabeležili 10. maja, nakar so nemudoma zagnali preiskavo in odpravo ranljivosti. Do 24. maja so ugotovili, da so napadalci dobili imena, številke bančnih računov in...

Ars Technica - Sony je po le dveh dneh delovanja spet s spleta odklopil del svojega PlayStation Networka, saj je bil ta daleč od varnega. Pozabili so na manjšo napako pri procesu povračila izgubljenega gesla, ki se od napada ni spremenil. Pred napadom in v preteklih dveh dneh je bilo za zamenjavo izgubljenega gesla namreč dovolj, da so uporabniki vpisali naslov elektronske pošte in svoj rojstni datum, nato pa so enostavno vnesli novo geslo, ki bi bilo v idealnem svetu zelo varno in lahko za pomnenje. V tem procesu najdemo napako v dolgih seznamih uporabnikov, njihove elektronske pošte, rojstnih datumov, krajev prebivališča in drugih informacij, ki so jih z napadom pred slabim mesecem dni odtujili hekerji s PlayStation Network.

Le hiter pogled na te sezname je tako v...

The Wall Street Journal - Vsakokrat, ko ukradejo kakšno veliko bazo podatkov, se prej ali slej na internetu pojavijo analize gesel. Katero geslo je najpogostejše, kakšne napake delajo uporabniki pri izboru gesel, koliko so ta predvidljiva in podobno, so klasični izsledki. Žalostno je, da ostajajo več ali manj enaki. In če bi pomislili, da so uporabniki Gawkerja nekolikanj tehnološko bolje osveščeni, bi se grdo zmotili. Njihova gesla so prav tako predvidljiva kot drugod.

The Wall Street Journal je objavil analizo 188.279 gesel, ki so jih uspeli dešifrirati in analizirati. Vodilno je še vedno geslo 123456, ki se pojavi več kot 3000-krat. Sledijo password, 12345678, lifehack, qwerty, abc123, 111111 in monkey. Nekaj izbranih gesel je tipičnih za stran, v tem primeru...

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...

The Register - Na internetu se je znašlo približno deset tisoč uporabniških imen s pripadajočimi gesli za dostop do računov Microsoft Live, kamor sodi tudi elektronski predal Hotmail. Na spletni strani Pastebin.com, kamor lahko uporabniki s celega sveta nalagajo datoteke, so našteli 10.028 parov podatkov. Ker so si sledili po abecedi od ararat973@hoymail.com do blando2713@hotmail.com, je verjetno, da je to le en del večje zbirke podatkov - grob izračun pokaže, da jih je okrog 143.000. Zlobni jeziki so takoj začeli natolcevati, da je bila Microsoftova baza podatkov kompromitirana, a v tem primeru bi se ukvarjali s 450 milijoni podatkov. Prav tako Microsoft podatkov gotovo ne shranjuje v tekstovni obliki (plain text).

Verjetnejša je teorija, da so se nepridipravi do teh podatkov prikopali zaradi neosveščenosti ali naivnosti uporabnikov. Obstaja namreč cela kopica strani, ki oglašujejo, da bodo uporabniku pokazale, kdo jih je blokiral v IM-programu MSN, če ti seveda vpišejo uporabniško ime in...