Artikel top billede

Sådan tjekker du om din LinkedIn-kode er knækket

Læs her, hvordan du afgør, om dit kodeord til LinkedIn er blevet lækket.

Læs også:

LinkedIn: Ja, dit password er måske blevet stjålet.

Eksperter: Skift password på LinkedIn NU.

Computerworld News Service: Omtrent 6,5 millioner kodeord til LinkedIn er blevet stjålet og lækket på nettet, og sikkerhedseksperterne arbejder stadig på at finde ud af, hvad der egentlig er sket.

LinkedIn oplyser, at virksomheden vil e-maile ramte brugere og gøre de kompromitterede kodeord ugyldige.

Men flere sikkerhedseksperter påpeger, at det er muligt for brugerne selv at tjekke, om deres kodeord er blandt de lækkede.

Sådan gør du

Det gør man ved at downloade hele datasættet med de lækkede kodeord, konvertere sit eget kodeord til det krypterede format, som de lækkede kodeord vises i og herefter søge efter ens eget kodeord i datasættet.

Alle de lækkede kodeord er hashede (hashing kan minde om kryptering) ved hjælp af SHA-1, som konverterer kodeordet til en såkaldt hash på 40 tegn.

For at finde den hash, der er skabt af dit kodeord, kan du anvende en ud af en række forskellige gratis SHA-1-konverteringsværktøjer heriblandt fra websites såsom Hash.online-convert.com, Sha1hash.com og dette gratis online-hash-konverteringsværktøj.

Visse eksperter advarer dog imod at anvende sådanne online-konverteringsværktøjer.

Men vær forsigtig

Dave Pack er chef hos LogRhythm, der arbejder med logning og it-sikkerhed.

Han påpeger, at flere websites, der tilbyder online-hash-konvertering, gemmer logninger af alle de hash-værdier, der udregnes.

Derfor kan det ikke anbefales, at man bruger sådanne værktøjer, hvis ens LinkedIn-kodeord også bruges som login på andre websites.

En anden måde at udregne en hash-værdi på og samtidig undgå at bruge et konverteringsværktøj er at bruge en kommandolinje-fortolker, der automatisk opretter hash-værdien og søger efter den i datasættet. Sådanne kommandoer er specifikke for hvert styresystem.

For brugere af et online-konverteringsværktøj er næste skridt dog at downloade sættet af hashede kodeord.

Datasættet er tilgængeligt fra adskillige websites som for eksempel MediaFire.

Når filen er downloadet, søger du blot i teksten efter kodeordet i SHA-1-formatet.

Læs også:

LinkedIn: Ja, dit password er måske blevet stjålet.

Eksperter: Skift password på LinkedIn NU.

Sådan udfører du et smart tjek

Læs også:

LinkedIn: Ja, dit password er måske blevet stjålet.

Eksperter: Skift password på LinkedIn NU.

Hvis du ikke finder det hashede kodeord, er det muligt, at det er opgivet på en lidt ændret måde i databasen.

Hackerne ser ud til at have erstattet de første fem tegn med fem nuller i en del af de hashede kodeord.

Pack vurderer, at disse repræsenterer hash-værdier, der allerede er blevet konverteret tilbage til deres almindelige kodeords-form.

Erstat de første fem tegn

For at se om dit kodeord er herimellem, erstatter du blot de første fem tegn i hash-værdien for dit kodeord og søger i dokumentet igen.

Pack advarer også om, at selvom man ikke finder sit kodeord på listen, bør man som bruger stadig antage, at ens kodeord er blevet kompromitteret.

Ofte offentliggør hackere ifølge Pack kun en del af de kompromitterede data for at vise, at de har gennemført et givet angreb.

Derfor skal du alligevel ændre din kode

Det betyder, at andre LinkedIn-brugeres kodeord kan være kompromitteret, selvom deres kodeord ikke findes i datasættet.

Så ligegyldigt om dit kodeord findes på listen eller ej, anbefaler Pack, at du omgående ændrer dit LinkedIn-kodeord til et stærkt kodeord, der består af en kombination af tal og både store og små bogstaver.

Han anbefaler desuden, at man som kodeord undgår at bruge ord, der findes i ordbøger.

Indtil videre er der ikke noget, der peger på, at der er lækket oplysninger, der kan forbinde de lækkede kodeord med deres respektive brugerkonti, men det er ifølge Pack heller ikke noget, man skal tage for givet.

Det er muligt, at hackerne bare ikke har offentliggjort disse oplysninger, men at de faktisk også ved hvilke brugernavne, kodeordene gælder til, advarer Pack.

Gene McCully, der er direktør for software- og sikkerhedsfirmaet StackFrame, har søgt efter og fundet sit eget kodeord i datasættet.

Han er overrasket over, at LinkedIn ikke har modificeret kodeordene med en teknik, der kaldes at salte, som kunne have beskyttet kodeordene yderligere.

"Hvis de var blevet saltet, havde det været et mindre farligt læk," påpeger han.

Saltning er en proces, der føjer yderligere bruger-specifikke data til hash-værdierne, hvilket gør det sværere at konvertere dem tilbage til de faktiske kodeord.

Dårlig sikkerhed

"En af de mest chokerende ting ved hele denne situation er, at kodeordene er usaltede," siger Pack.

"Det siger en hel del om sitets generelle sikkerhed."

Uden en sådan saltning kan hackere gennemfører rimeligt enkle SQL-injektions-angreb, der gør brug af web-applikationer til at få oplysninger om en database.

I det blogindlæg, hvor LinkedIn bekræftet bruddet på datasikkerheden tirsdag, oplyser virksomheden, at der "først for nylig" er blevet tilføjet saltning og hashing til de aktuelle databaser over kodeord.

Læs også:

LinkedIn: Ja, dit password er måske blevet stjålet.

Eksperter: Skift password på LinkedIn NU.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på hændelser. Det handler om at eliminere kompleksitet, sikre smidighed og sikre fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
Stort dansk gennembrud i kvanteforskningen: Kan bane vejen for bedre kryptering og beskyttelse mod cyberangreb
Et gennembrud på Københavns Universitet kan skabe forbedrede muligheder for at udvikle nye kvantekryptografiske løsninger, der kan styrke datasikkerheden.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Indbygget sikkerhed i servermiljøet – her er fordelene
Få et samlet og teknisk velfunderet overblik over alle sikkerhedsfeatures i Dells PowerEdge-servere.