Slo-Tech - CNBC se je na lastni koži naučil, da je pot v pekel tlakovana z dobrimi nameni, uporabniki pa, da so za svoja gesla odgovorni predvsem sami. V torek so namreč na CNBC objavili članek, ki je spodbujalo uporabo varnih gesel. Eksperiment je šel strahovito narobe.

Dobra gesla so takšna, ki si jih je enostavno zapomniti, težko uganiti, bodisi s surovo silo (torej so dovolj dolga) bodisi s poznavanjem vseh podrobnosti o uporabniki (torej s socialnim inženiringom). CNBC-jem članek se je osredotočal na prvi aspekt in je v ilustracijo uporabnikom omogočal vpis lastnega gesla, algoritem pa je potem izračunal, kako odporno je geslo na napad s surovo silo. Zraven je izrecno pisalo, da CNBC gesel nikjer ne shranjuje. Le kaj bi lahko šlo narobe, če na neko tretjo internetno stran (pa četudi...

Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.

V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in...

BBC - Če berete besedilo zaradi dvoumnega naslova, kar takoj k dejstvom. Govorimo o geslih. Per Thorsheim je za svoje predavanje nabral skupaj nekaj informacij o geslih. O geslih, ki jih izbirajo uporabniki, vemo namreč že veliko. Nekaj podatkov dajo različne raziskave, veliko pa jih dobimo tudi iz analiz ukradenih gesel. Vdori v Adobe, LinkedIn in RockYou so le največji primeri, iz katerih so raziskovalci dobili ogromno podatkov.

Nekatere študije kažejo, da najboljša gesla izbirajo rdečelaske, najslabša gesla pa bradati, neurejeni moški. Ženske si raje izberejo daljša gesla, moški pa nekoliko krajša, a z več nealfanumeričnimi znaki. Sicer pa pri vseh študijah izstopa...

Slo-Tech - Naslednja velika žrtev hekerskih napadov so forumi Ubuntuja (Ubuntuforums.org), ki so zaradi nepooblaščenega dostopa nedostopni. Obiskovalce danes pričaka obvestilo, da so strani nedostopne zaradi vdora, ki so ga zaznali včeraj zvečer.

Kot lahko preberemo, je neznani napadalec z nadimkom Sput1nk_ uspel pridobiti nadzor nad stranjo. Poleg klasične spremembe strani (defacement) je uspel pridobiti vsa uporabniška imena, gesla in elektronske naslove uporabnikov. Gesla so bila sicer shranjena v zgoščeni obliki in ne kot golo besedilo (plain text), a vseeno vsem uporabnikom svetujejo pazljivost. Kdor uporablja isto geslo za forume Ubuntu in še katero drugo stran, naj brž zamenja geslo na ostalih...

Krebs On Security - Na internetu te dni poteka obsežen napad na vse namestitve WordPressa na različnih strežnikih, v katerem napadalci poizkušajo pridobiti dostop do strežnikov prek WordPressa. Ciljajo s približno 90.000 IP-naslovov, napadajo pa tri- do petkrat več strežnikov kot običajno (vsak dan se seveda kdo poizkusi nepooblaščeno kam povezati, sedaj pa je teh napadov več kot 100.000 dnevno). Zanimivo je, da napadalci uporabljajo sorazmerno primitivno tehniko, saj s surovo silo (brute force) poizkušajo uganiti skrbniško uporabniško ime in geslo, za kar uporabljajo sezname najbolj pogostih.

Zaščita pred napadom je zelo enostavna, saj napadalci preverjajo le najpogostejša uporabniška imena in gesla. Kdor si uporabniško...

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro...