Apples utvecklarportal hackad

Tråden skapades och har fått 28 svar. Det senaste inlägget skrevs .
1

Apple har meddelat att deras portal för utvecklare har blivit hackad och att det är skälet till att den inte gått att nå sedan i torsdags då angreppet skedde. Personlig information om utvecklare kan ha kommits åt av hackaren.

Läs hela artikeln här

Apple begränsar hur långt ett lösenord får vara och vilka tecken det får innehålla, vilket tyder på att de sparas i klartext. Det är ont om information så det är inte orimligt att anta att dessa i så fall har läckt ut. Har man ett konto och använder samma lösenord på andra ställen bör man alltså ändra dessa så snart som möjligt.

  • Medlem
  • 2013-07-22 14:15
Ursprungligen av John A:

Apple begränsar hur långt ett lösenord får vara och vilka tecken det får innehålla, vilket tyder på att de sparas i klartext.

Varför drar du den slutsatsen?

Ursprungligen av Ljung:

Varför drar du den slutsatsen?

Därför att det inte finns någon anledning att begränsa vare sig längd eller innehåll i ett lösenord. Om man har implementerat det rätt så kodas alltid lösenordet om till ett tillstånd där varken Apple eller någon annan kan utläsa vad lösenordet är, men fortfarande har möjlighet att verifiera att ett lösenord är korrekt. På så vis kan lösenordet inte läcka ut vid ett intrång; det kan på sin höjd enbart det kodade lösenordet göra vilket är oanvändbart för inkräktaren. All form av begränsning av ett lösenord som exempelvis dess längd och innehåll ger en stark indikation på att man inte har gjort detta och därför finns det risk för att lösenord har läckt ut.

  • Medlem
  • 2013-07-22 14:35
Ursprungligen av John A:

Därför att det inte finns någon anledning att begränsa vare sig längd eller innehåll i ett lösenord. Om man har implementerat det rätt så kodas alltid lösenordet om till ett tillstånd där varken Apple eller någon annan kan utläsa vad lösenordet är, men fortfarande har möjlighet att verifiera att ett lösenord är korrekt. På så vis kan lösenordet inte läcka ut vid ett intrång; det kan på sin höjd enbart det kodade lösenordet göra vilket är oanvändbart för inkräktaren. All form av begränsning av ett lösenord som exempelvis dess längd och innehåll ger en stark indikation på att man inte har gjort detta och därför finns det risk för att lösenord har läckt ut.

Det resonemanget köper jag inte alls. Ett lösenord som är begränsat till ett visst antal tecken och vissa tecken kan förstås vara lika krypterat som ett icke-begränsat.

Varför man har begränsningar kan man fråga sig, men det är ju en helt annan sak.

Ursprungligen av John A:

Apple begränsar hur långt ett lösenord får vara och vilka tecken det får innehålla,vilket tyder på att de sparas i klartext. Det är ont om information så det är inte orimligt att anta att dessa i så fall har läckt ut. Har man ett konto och använder samma lösenord på andra ställen bör man alltså ändra dessa så snart som möjligt.

Du har fel.

Ursprungligen av Anderlind:

Du har fel.

Källa?

(Jag tror också att han har fel. Men när man uttalar sig så bestämt som du gjorde, så är det alltid bra om man backar upp uttalandet med någon form av bevisning.)

  • Medlem
  • 2013-07-22 14:52
Ursprungligen av Jesper Ohlsson:

Källa?

(Jag tror också att han har fel. Men när man uttalar sig så bestämt som du gjorde, så är det alltid bra om man backar upp uttalandet med någon form av bevisning.)

Det räcker väl med att besvara frågan "Varför kan man inte kryptera ett lösenord begränsat till 10 tecken bestående av bokstäver (versaler och gemener), siffror och tecknen _ och -".

(För att bara ta ett exempel, Apples krav på lösenord har jag inte aktuellt för mig just nu)

Svaret på frågan är förstås, "Självklart kan du kryptera ett sådant lösenord. Vad menar du?"

Ursprungligen av Jesper Ohlsson:

Källa?

(Jag tror också att han har fel. Men när man uttalar sig så bestämt som du gjorde, så är det alltid bra om man backar upp uttalandet med någon form av bevisning.)

Lämnar över bevisningen till John A att lösenord är lagrade i klartext då John A påstår det.

Ursprungligen av John A:

Därför att det inte finns någon anledning att begränsa vare sig längd eller innehåll i ett lösenord.

Fast det är väldigt vanligt, även bland stora aktörer, att lösenord har begränsningar i både längd och tecken.... Således finns det säkert alldeles utmärkta anledningar till det. Men vad vet jag...
/m

Ursprungligen av Ljung:

Det räcker väl med att besvara frågan "Varför kan man inte kryptera ett lösenord begränsat till 10 tecken bestående av bokstäver (versaler och gemener), siffror och tecknen _ och -".

Man kan, men man vinner inget på det utan förenklar bara för den som vill knäcka dessa lösenord.

Ursprungligen av Anderlind:

Lämnar över bevisningen till John A att lösenord är lagrade i klartext då John A påstår det.

Jag påstår inte att de är lagrade i klartext. Jag påstår att det finns indikationer på att de kan vara det och av säkerhetsskäl bör man därför anta att de är det till dess vi vet något annat.

Ursprungligen av martinator:

Fast det är väldigt vanligt, även bland stora aktörer, att lösenord har begränsningar i både längd och tecken.... Således finns det säkert alldeles utmärkta anledningar till det. Men vad vet jag...

Anledningen till att man gör det är att man vill spara lösenordet i en databaskolumn med fast storlek. En bra key derivation function returnerar alltid data med en fast storlek oavsett storlek på indata; så nej det inns absolut ingen som helst bra anledning till att begränsa lösenord på något sätt.

Man bör naturligtvis byta lösenord vare sig Apple hade krypterat dessa eller ej. Det är inte omöjligt att hackern kan ta reda på hur detta kan ha gjorts, och när det väl är känt är det troligen bara en fråga om tid innan lätta/vanliga lösenord har hittats.

Glöm inte att byta för mailkontot om det skulle vara samma.

Kan inte annat än att hålla med John A. Begränsningar i form av maxlängd på ett lösenord är en indikator på att informationen kan ha sparats i klartext, då för att få plats i en kolumn av typen sträng.

  • Medlem
  • 2013-07-22 19:32
Ursprungligen av snouser:

Kan inte annat än att hålla med John A. Begränsningar i form av maxlängd på ett lösenord är en indikator på att informationen kan ha sparats i klartext, då för att få plats i en kolumn av typen sträng.

Det citerade nedan

"Begränsningar i form av maxlängd på ett lösenord är en indikator på att informationen kan ha sparats i klartext, då för att få plats i en kolumn av typen sträng."

ger direkt att du överhuvudtaget inte vet vad du pratar om.

Ursprungligen av Ljung:

Det citerade nedan

"Begränsningar i form av maxlängd på ett lösenord är en indikator på att informationen kan ha sparats i klartext, då för att få plats i en kolumn av typen sträng."

ger direkt att du överhuvudtaget inte vet vad du pratar om.

Har du lust och förklara varför mitt påstående inte stämmer?

  • Administratör
  • Rotterdam
  • 2013-07-22 19:54

Inlägg raderat enligt §1.5, §1.6 i forumets trivselregler. Svar måste tillföra något till diskussionen.

Ursprungligen av Ljung:

Kan du förklara varför ditt påstående stämmer?

Strängkolumnen i de flesta databaser har en maxlängd som är kortare än de längsta lösenorden.
Sparas lösenorden i klartext, vilket många tyvärr gör, så behövs en begränsning på ingående data. Körs informationen istället genom en hash-funktion, te.x SHA1 eller MD5 så har utgående värde en konstant längd, vilket gör att inga krav på maxlängder behövs.

Så åter igen, varför stämde inte mitt första inlägg?

Ursprungligen av John A:

Apple begränsar hur långt ett lösenord får vara och vilka tecken det får innehålla, vilket tyder på att de sparas i klartext.

Är det så? Jag bytte just till ett rätt långt lösen nämligen. Hur långa får de max vara?

Ursprungligen av marcushedenstrom:

Är det så? Jag bytte just till ett rätt långt lösen nämligen. Hur långa får de max vara?

Om de inte har ändrat det nyligen så har de en gräns på omkring 30 tecken. Om de har ändrat på det så är det goda nyheter, inte en dag för tidigt.

Ursprungligen av John A:

Om de inte har ändrat det nyligen så har de en gräns på omkring 30 tecken. Om de har ändrat på det så är det goda nyheter, inte en dag för tidigt.

Omkring?

32 är det.

30 vet jag inget om...

Ursprungligen av John A:

Om de inte har ändrat det nyligen så har de en gräns på omkring 30 tecken. Om de har ändrat på det så är det goda nyheter, inte en dag för tidigt.

Och hur kommer man ihåg alla sina lösenord om man har >30 tecken i dem? En helt berättigad fråga anser jag...
Själv har jag ju både g-mail, facebook, 99mac forum, några andra forum, en gammal hotmail, Verify by visa, Biohuset i Höllviken, Brandos samt lite andra strösidor.

Sist men inte minst min vanliga undran över vad folk egentligen har för "extra knäck" eftersom man anser sig vara potentiellt utsatt för risken att bli hackad... Själv är mitt liv så otroligt grått (hade fått Winston Smiths att framstå som färgglatt) att jag tror folk medvetet undviker att hacka mina konton.
/m

  • Avstängd
  • Bangkok Thailand
  • 2013-07-22 21:35
Ursprungligen av martinator:

Och hur kommer man ihåg alla sina lösenord om man har >30 tecken i dem? En helt berättigad fråga anser jag...
Själv har jag ju både g-mail, facebook, 99mac forum, några andra forum, en gammal hotmail, Verify by visa, Biohuset i Höllviken, Brandos samt lite andra strösidor.

Sist men inte minst min vanliga undran över vad folk egentligen har för "extra knäck" eftersom man anser sig vara potentiellt utsatt för risken att bli hackad... Själv är mitt liv så otroligt grått (hade fått Winston Smiths att framstå som färgglatt) att jag tror folk medvetet undviker att hacka mina konton.
/m

Enkelt med 1Password
https://agilebits.com/onepassword

Ursprungligen av lappen71:

Enkelt med 1Password
https://agilebits.com/onepassword

Tills du sitter på ett internetcafe i Shanghai utan mobil och försöker logga in på din mail, där du har ett slumpgenererat lösenord på 24 tecken.

  • Avstängd
  • Bangkok Thailand
  • 2013-07-22 22:35
Ursprungligen av pmarriott:

Tills du sitter på ett internetcafe i Shanghai utan mobil och försöker logga in på din mail, där du har ett slumpgenererat lösenord på 24 tecken.

Skulle man hamna i det scenariot så får jag skylla mig själv och vad säger att man måste använda ett sådant långt lösenord på tjänster man använder ofta som inte kräver det.

Ursprungligen av pmarriott:

Tills du sitter på ett internetcafe i Shanghai utan mobil och försöker logga in på din mail, där du har ett slumpgenererat lösenord på 24 tecken.

1Password ska man ha till allt sånt man inte använder regelbundet och vill komma ihåg login till. Till ställen där man som sista utväg kan klicka på 'glömt lösenord'.
Mailens login ska man inte använda 1Password till. Mailkontot är det absolut viktigaste att skydda online, så det lösenordet måste vara säkert och tillgängligt utan hjälpprogram..

Till syvende och sist måste man ändå alltid ställa sig frågan - vad är rimligt.
Vem skulle ärlighetens namn vilja hacka 99% av svenska folkets mail, datorer osv? Troligtvis INGEN.
EN krönikör på radio i morse hade en mycket insiktsfull tanke om detta. Efter att 24 personer hört av sig till myndigheterna angående USAs spioneri drog hon slutsatsen att de fe flesta av oss är nog inte rädda för VAD eventuella inkräktare ska upptäcka, utan för vad de INTE kommer upptäcka. Dvs om någon såg hur extremt normal våra liv egentligen var så skulle vårt varumärke på Facebook dala rätt rejält...
/m

Ursprungligen av martinator:

Till syvende och sist måste man ändå alltid ställa sig frågan - vad är rimligt.
Vem skulle ärlighetens namn vilja hacka 99% av svenska folkets mail, datorer osv? Troligtvis INGEN.
EN krönikör på radio i morse hade en mycket insiktsfull tanke om detta. Efter att 24 personer hört av sig till myndigheterna angående USAs spioneri drog hon slutsatsen att de fe flesta av oss är nog inte rädda för VAD eventuella inkräktare ska upptäcka, utan för vad de INTE kommer upptäcka. Dvs om någon såg hur extremt normal våra liv egentligen var så skulle vårt varumärke på Facebook dala rätt rejält...
/m

Upprörande. Det är självklart att de flesta av oss är förhållandevis ointressanta om man "bara" ser på det som massövervakning av individer, men syftet med #PRISM är ju inte att ta sig in i enskilda enheter. Avsikten är att samla in metdatan (avsändare, mottagare m.m.) och använda denna för att övervaka alla våra relationer med andra. Du kan lära dig mycket om en person bara genom att se vilka kretsar han umgås i, och skalan det här genomförs i hade fått George Orwell att blekna. Det är ett helt annat verktyg, och avsevärt allvarligare än att hacka enskilda datorer.

Men visst, den rimligaste förklaringen till att så få har hört av sig (till vem? med vilken fråga?) är säkert att vi är oroliga för att myten om den svenska synden ska avlöjas för dansken...

Senast redigerat 2013-07-24 16:13

24 svenskar, till datainspektionen.... Ser att jag inte fick med det - sorry.

1
Bevaka tråden