Facebook ber brukere bytte passord


Skandalen rundt lekkasjen av Adobe-brukernes innloggingsinformasjon vokser stadig. Analyser av den lekkede databasen tyder på at 150 millioner brukerkontoer kan være berørt.

Alle passordene i databasen er kryptert med samme nøkkel. Det vil si at dersom man får tilgang til eller greier å finne nøkkelen, kan man dekryptere absolutt alle passordene.

Men databasen inneholder også brukernes egne passordtips, noe som i mange tilfeller har gjort det enkelt å gjette i alle fall de svakeste passordene.

Alle som logger seg inn på Adobes nettsted får beskjed om å bytte passord. Det virkelige problemet er at mange bruker den samme kombinasjonen av e-postadresse og passord når de logger seg inn også på andre tjenester. Dersom ondsinnede greier å finne krypteringsnøkkkelen som Adobe har brukt, kan de også få tilgang til millioner av brukerkontoer hos andre tjenester. Foreløpig er det ingenting som tyder på at noen har kunnet dekryptere alle passordene, men det er trolig bare et tidsspørsmål før det blir oppnådd.

Facebook
Ifølge sikkerhetsbloggen Krebs on Security har Facebook begynt å varsle tjenestens brukere dersom det oppdages at de har brukt samme e-postadresse og passord som hos Adobe. Disse brukerne blir bedt om å bytte passord.

Facebook lagrer ikke brukerpassordene på en slik måte at de kan gjenskapes, slik tilfellet har vært hos Adobe. Men selskapet har sjekket om e-postadresser og klartekstpassord som sikkerhetsforskere har greid å trekke ut av Adobes database, også kvalifiserer for innlogging på sitt eget nettsted. Dette er gjort ved å kjøre passordene gjennom den samme koden som gjøres ved vanlig passordsjekking. I praksis dreier det seg i alle fall om en enveis hash-algoritme som også tar i bruk ett eller flere salt.

Sjekk selv
Mange har fått tilgang til passorddatabasen til Adobe, men langt fra alle har ondsinnede hensikter. En nederlender som kaller seg for lucb1e har opprettet en tjeneste hvor alle kan taste inn sin e-postadresse for å sjekke om denne ligger i passorddatabasen. Finnes den, blir man etter litt ventetid vist det krypterte passordet og det eventuelle passordtipset.

Dersom man har en slik konto, må man sørge for å endre passord på alle steder hvor dette passordet har blitt benyttet.

Leave a Reply

Your email address will not be published.