Læs også:
LinkedIn: Ja, dit password er måske blevet stjålet.
Eksperter: Skift password på LinkedIn NU.
Computerworld News Service: Omtrent 6,5 millioner kodeord til LinkedIn er blevet stjålet og lækket på nettet, og sikkerhedseksperterne arbejder stadig på at finde ud af, hvad der egentlig er sket.
LinkedIn oplyser, at virksomheden vil e-maile ramte brugere og gøre de kompromitterede kodeord ugyldige.
Men flere sikkerhedseksperter påpeger, at det er muligt for brugerne selv at tjekke, om deres kodeord er blandt de lækkede.
Sådan gør du
Det gør man ved at downloade hele datasættet med de lækkede kodeord, konvertere sit eget kodeord til det krypterede format, som de lækkede kodeord vises i og herefter søge efter ens eget kodeord i datasættet.
Alle de lækkede kodeord er hashede (hashing kan minde om kryptering) ved hjælp af SHA-1, som konverterer kodeordet til en såkaldt hash på 40 tegn.
For at finde den hash, der er skabt af dit kodeord, kan du anvende en ud af en række forskellige gratis SHA-1-konverteringsværktøjer heriblandt fra websites såsom Hash.online-convert.com, Sha1hash.com og dette gratis online-hash-konverteringsværktøj.
Visse eksperter advarer dog imod at anvende sådanne online-konverteringsværktøjer.
Men vær forsigtig
Dave Pack er chef hos LogRhythm, der arbejder med logning og it-sikkerhed.
Han påpeger, at flere websites, der tilbyder online-hash-konvertering, gemmer logninger af alle de hash-værdier, der udregnes.
Derfor kan det ikke anbefales, at man bruger sådanne værktøjer, hvis ens LinkedIn-kodeord også bruges som login på andre websites.
En anden måde at udregne en hash-værdi på og samtidig undgå at bruge et konverteringsværktøj er at bruge en kommandolinje-fortolker, der automatisk opretter hash-værdien og søger efter den i datasættet. Sådanne kommandoer er specifikke for hvert styresystem.
For brugere af et online-konverteringsværktøj er næste skridt dog at downloade sættet af hashede kodeord.
Datasættet er tilgængeligt fra adskillige websites som for eksempel MediaFire.
Når filen er downloadet, søger du blot i teksten efter kodeordet i SHA-1-formatet.
Læs også:
LinkedIn: Ja, dit password er måske blevet stjålet.
Eksperter: Skift password på LinkedIn NU.
Sådan udfører du et smart tjek
Læs også:
LinkedIn: Ja, dit password er måske blevet stjålet.
Eksperter: Skift password på LinkedIn NU.
Hvis du ikke finder det hashede kodeord, er det muligt, at det er opgivet på en lidt ændret måde i databasen.
Hackerne ser ud til at have erstattet de første fem tegn med fem nuller i en del af de hashede kodeord.
Pack vurderer, at disse repræsenterer hash-værdier, der allerede er blevet konverteret tilbage til deres almindelige kodeords-form.
Erstat de første fem tegn
For at se om dit kodeord er herimellem, erstatter du blot de første fem tegn i hash-værdien for dit kodeord og søger i dokumentet igen.
Pack advarer også om, at selvom man ikke finder sit kodeord på listen, bør man som bruger stadig antage, at ens kodeord er blevet kompromitteret.
Ofte offentliggør hackere ifølge Pack kun en del af de kompromitterede data for at vise, at de har gennemført et givet angreb.
Derfor skal du alligevel ændre din kode
Det betyder, at andre LinkedIn-brugeres kodeord kan være kompromitteret, selvom deres kodeord ikke findes i datasættet.
Så ligegyldigt om dit kodeord findes på listen eller ej, anbefaler Pack, at du omgående ændrer dit LinkedIn-kodeord til et stærkt kodeord, der består af en kombination af tal og både store og små bogstaver.
Han anbefaler desuden, at man som kodeord undgår at bruge ord, der findes i ordbøger.
Indtil videre er der ikke noget, der peger på, at der er lækket oplysninger, der kan forbinde de lækkede kodeord med deres respektive brugerkonti, men det er ifølge Pack heller ikke noget, man skal tage for givet.
Det er muligt, at hackerne bare ikke har offentliggjort disse oplysninger, men at de faktisk også ved hvilke brugernavne, kodeordene gælder til, advarer Pack.
Gene McCully, der er direktør for software- og sikkerhedsfirmaet StackFrame, har søgt efter og fundet sit eget kodeord i datasættet.
Han er overrasket over, at LinkedIn ikke har modificeret kodeordene med en teknik, der kaldes at salte, som kunne have beskyttet kodeordene yderligere.
"Hvis de var blevet saltet, havde det været et mindre farligt læk," påpeger han.
Saltning er en proces, der føjer yderligere bruger-specifikke data til hash-værdierne, hvilket gør det sværere at konvertere dem tilbage til de faktiske kodeord.
Dårlig sikkerhed
"En af de mest chokerende ting ved hele denne situation er, at kodeordene er usaltede," siger Pack.
"Det siger en hel del om sitets generelle sikkerhed."
Uden en sådan saltning kan hackere gennemfører rimeligt enkle SQL-injektions-angreb, der gør brug af web-applikationer til at få oplysninger om en database.
I det blogindlæg, hvor LinkedIn bekræftet bruddet på datasikkerheden tirsdag, oplyser virksomheden, at der "først for nylig" er blevet tilføjet saltning og hashing til de aktuelle databaser over kodeord.
Læs også:
LinkedIn: Ja, dit password er måske blevet stjålet.
Eksperter: Skift password på LinkedIn NU.
Oversat af Thomas Bøndergaard
