RSS

Adobes hackade lösenord

09 Nov

Lösenord är återigen i fokus. Med en viss regelbundenhet får vi veta att någon tjänst på nätet har blivit hackat på något sätt och att hackarna har kommit över hela databaser med användarnamn och lösenord. Det som är lika slående varje gång är hur dåliga lösenorden är. Den här gången är det företaget Adobes databas som blivit stulen.

Adobe är kända för sina bild- och videoredigeringsprogram, PDF-läsare och flashbilder. Men man kan också stöta på Adobe om man vill låna e-böcker på till exempel Stockholms stadsbibliotek. Som många andra företag vill företaget att man registrerar ett konto hos dem. Anledningarna kan vara flera, men man kan anta att det bör ha någon form av ekonomisk nytta.

För inte så länge sedan var det stora skriverier om Adobe, eftersom de nu har gått över till en annan affärsmodell. Nu mera köper man inte bara deras produkter en gång. Nej, nu ska du betala en hög avgift varje år. Det är väl lite så som företag som säljer antivirusprogram och brandväggar har gjort i alla år. Men där blir det reella och viktiga uppdatering. För Adobes produkter är det inte lika självklart att man ens bryr sig om den senaste uppdatering eftersom den inte innehåller något revolutionerande eller väsentliga nyheter. Men man måste skaffa sig ett konto hos företaget, som nu alltså fått sin kunddatabas stulen.

Det här gör i alla fall att företaget har en rejält stor databas över användare och kunder. Och nu har alltså den databasen blivit stulen. Det här skrivs det om på SVT, The Guardian, Reuters, DN, BBC och SvD, bara för att nämna några. Även Adode har en Customer security alert

Den här nyheten blir viktig för upp mot 38-152 miljoner användare av Adobes produkter. 400.000 lär vara svenskar. Användarnamnen och lösenorden har hittats på en webbplats som används av cyberkriminella. Och för dem som har samma användarnamn och lösenord på många webbplatser kan det bli en katastrof! Inte minst om du är en kändis eller sitter på någon viktig position. För alla andra är det ändå att betrakta som klart olustigt.

Siffran 2,9 miljoner användare är de personer vars kontokortsnummer som kan ha kommit ut. Beroende på land och bank kan det bli kännbart.

Abode säger att även källkod till flera av deras program, t ex bildredigerings programmet Photoshop och Adobe Acobat för att skriva PDF-filer, har blivit stulna. Vad nu tjuvarna dra för nytta av det.

Det kanske mest uppseende väckande, förutom alla lättgissade lösenord, är hur Abode har förvarat lösenorden: de har varit osaltade. Det här gör det väldigt enkelt att få fram lösenorden.

LastPass Chief Executive Joe Siegrist said that Adobe failed to use best practices for securing the stolen passwords.

The ones in the database were not protected with a technique known as ”salting,” which means adding a secret code to every password after it is scrambled and before it is stored in the database. That way multiple encrypted versions of the same password never look the same.

Because the passwords were not salted, Siegrist said he was able to identify the most frequently used password in the group, which was used 1.9 million times. The database has 108 million email addresses with passwords shared in multiple accounts.

”I’d say 108 million people fall into the range of likely very easily guessable passwords,” he said. (Reuters)

Det handlar alltså inte bara om att jag har ett starkt lösenord, jag måste också kunna lita på att den webbplats där jag skapar ett konto faktiskt hanterar mina uppgifter på bästa möjliga och säkra sätt. Vad är annars nyttan med ett bra lösenord? Det finns alltså många osäkra länkar i den här kedjan.

Även om det är svårt att bli bestulen på pengar, så är det farligare att bli bestulen på sin identitet. Den kan nämligen användas på många olika sätt för att komma åt även andra.

He said they might use it to engage in ”phishing” scams or attempt to figure out passwords using the hints provided for some of the accounts in the database. In some cases, people whose data was exposed might not be aware of it because they have not accessed the out-of-date accounts, he said.

”Potentially it’s the website you’ve forgotten about that poses the greater risk,” he said. ”What if somebody set up an account with Adobe ten years ago and forgot about it and they use the same password there that they use on other sites?” (Reuters)

Om jag träffar en person ansikte mot ansikte, kan jag vara säker på att det är den person jag känner. Men om jag ”träffar” den personen på nätet kan jag inte förutsätta att det är rätt person som skriver till mig. Det här gäller både sociala media och mail. För vad är det som säger att personens konto inte har blivit kapat? Den enda metod jag känner för att till en rimlig grad kunna säkerställa en identitet är att använda krypteringsnycklar. Men vilken vanlig användare skulle vilja gå den omvägen? Bekvämligheten bedrar visheten.

Advertisements
 
Lämna en kommentar

Publicerat av på 09 november 2013 i Dator, Internet, Säkerhet

 

Etiketter: , ,

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s

 
%d bloggare gillar detta: