Apples utvecklarportal hackad

Apple begränsar hur långt ett lösenord får vara och vilka tecken det får innehålla, vilket tyder på att de sparas i klartext. Det är ont om information så det är inte orimligt att anta att dessa i så fall har läckt ut. Har man ett konto och använder samma lösenord på andra ställen bör man alltså ändra dessa så snart som möjligt.

Därför att det inte finns någon anledning att begränsa vare sig längd eller innehåll i ett lösenord. Om man har implementerat det rätt så kodas alltid lösenordet om till ett tillstånd där varken Apple eller någon annan kan utläsa vad lösenordet är, men fortfarande har möjlighet att verifiera att ett lösenord är korrekt. På så vis kan lösenordet inte läcka ut vid ett intrång; det kan på sin höjd enbart det kodade lösenordet göra vilket är oanvändbart för inkräktaren. All form av begränsning av ett lösenord som exempelvis dess längd och innehåll ger en stark indikation på att man inte har gjort detta och därför finns det risk för att lösenord har läckt ut.

Det resonemanget köper jag inte alls. Ett lösenord som är begränsat till ett visst antal tecken och vissa tecken kan förstås vara lika krypterat som ett icke-begränsat.

Varför man har begränsningar kan man fråga sig, men det är ju en helt annan sak.

Källa?

(Jag tror också att han har fel. Men när man uttalar sig så bestämt som du gjorde, så är det alltid bra om man backar upp uttalandet med någon form av bevisning.)

Lämnar över bevisningen till John A att lösenord är lagrade i klartext då John A påstår det.

Fast det är väldigt vanligt, även bland stora aktörer, att lösenord har begränsningar i både längd och tecken.... Således finns det säkert alldeles utmärkta anledningar till det. Men vad vet jag...
/m

Man kan, men man vinner inget på det utan förenklar bara för den som vill knäcka dessa lösenord.

Jag påstår inte att de är lagrade i klartext. Jag påstår att det finns indikationer på att de kan vara det och av säkerhetsskäl bör man därför anta att de är det till dess vi vet något annat.

Anledningen till att man gör det är att man vill spara lösenordet i en databaskolumn med fast storlek. En bra key derivation function returnerar alltid data med en fast storlek oavsett storlek på indata; så nej det inns absolut ingen som helst bra anledning till att begränsa lösenord på något sätt.

Kan inte annat än att hålla med John A. Begränsningar i form av maxlängd på ett lösenord är en indikator på att informationen kan ha sparats i klartext, då för att få plats i en kolumn av typen sträng.

Har du lust och förklara varför mitt påstående inte stämmer?

Inlägg raderat enligt §1.5, §1.6 i forumets trivselregler. Svar måste tillföra något till diskussionen.

Strängkolumnen i de flesta databaser har en maxlängd som är kortare än de längsta lösenorden.
Sparas lösenorden i klartext, vilket många tyvärr gör, så behövs en begränsning på ingående data. Körs informationen istället genom en hash-funktion, te.x SHA1 eller MD5 så har utgående värde en konstant längd, vilket gör att inga krav på maxlängder behövs.

Så åter igen, varför stämde inte mitt första inlägg?

Är det så? Jag bytte just till ett rätt långt lösen nämligen. Hur långa får de max vara?

Om de inte har ändrat det nyligen så har de en gräns på omkring 30 tecken. Om de har ändrat på det så är det goda nyheter, inte en dag för tidigt.

Omkring?

32 är det.

30 vet jag inget om...

Tills du sitter på ett internetcafe i Shanghai utan mobil och försöker logga in på din mail, där du har ett slumpgenererat lösenord på 24 tecken.

Skulle man hamna i det scenariot så får jag skylla mig själv och vad säger att man måste använda ett sådant långt lösenord på tjänster man använder ofta som inte kräver det.

1Password ska man ha till allt sånt man inte använder regelbundet och vill komma ihåg login till. Till ställen där man som sista utväg kan klicka på 'glömt lösenord'.
Mailens login ska man inte använda 1Password till. Mailkontot är det absolut viktigaste att skydda online, så det lösenordet måste vara säkert och tillgängligt utan hjälpprogram..

Till syvende och sist måste man ändå alltid ställa sig frågan - vad är rimligt.
Vem skulle ärlighetens namn vilja hacka 99% av svenska folkets mail, datorer osv? Troligtvis INGEN.
EN krönikör på radio i morse hade en mycket insiktsfull tanke om detta. Efter att 24 personer hört av sig till myndigheterna angående USAs spioneri drog hon slutsatsen att de fe flesta av oss är nog inte rädda för VAD eventuella inkräktare ska upptäcka, utan för vad de INTE kommer upptäcka. Dvs om någon såg hur extremt normal våra liv egentligen var så skulle vårt varumärke på Facebook dala rätt rejält...
/m

Upprörande. Det är självklart att de flesta av oss är förhållandevis ointressanta om man "bara" ser på det som massövervakning av individer, men syftet med #PRISM är ju inte att ta sig in i enskilda enheter. Avsikten är att samla in metdatan (avsändare, mottagare m.m.) och använda denna för att övervaka alla våra relationer med andra. Du kan lära dig mycket om en person bara genom att se vilka kretsar han umgås i, och skalan det här genomförs i hade fått George Orwell att blekna. Det är ett helt annat verktyg, och avsevärt allvarligare än att hacka enskilda datorer.

Men visst, den rimligaste förklaringen till att så få har hört av sig (till vem? med vilken fråga?) är säkert att vi är oroliga för att myten om den svenska synden ska avlöjas för dansken...

24 svenskar, till datainspektionen.... Ser att jag inte fick med det - sorry.