Hotmaili, Gmaili varastatud paroolidest

Aare Kirna, 7, oktoober 2009

Eelmisel nädalal riputati PasteBin-i tarkvaraarendusfoorumisse üles 10 000 Hotmaili parooli koos kasutajanimedega. Sellesisuline BBC uudis levis kiiresti üle maailma ning peatselt selgus, et varastatud on ka Gmaili ja Yahoo! Maili paroole.

Nii Microsoft kui Google eitavad sissemurdmist ja neil on õigus – kaotsiläinud paroolid andsid pättide kätte…

kasutajad ise.

Tundub, et paljud inimesed üle maailma on saanud sellise teate:

Pilt: neowin.net

Pilt: neowin.net

Ehk siis neil on palutud kirjas, mis näeb välja täpselt nõnda, nagu ta oleks saadetud Windows Live administraatori poolt, minna etteantud aadressile, mis näeb pealiskaudsel vaatlemisel kuuluvat Windows Live domeeni, oma kasutajakontot seadistama.

Tegelikult suunas see link kasutaja sellisele veebilehele, mis nägi küll välja nagu Windows Live oma, kuid asus hoopis ühes teises serveris. Loomulikult üritas kasutaja sinna oma kasutajanime ja parooliga sisse logida, ja kui see ei õnnestunud, kordas oma katset, kinnitades kurjategijatele oma parooli veelkord üle.

Ilmselt rünnati samal viisil ka Gmaili, Yahoo Maili ja paljude teiste sotsiaalsete võrgustike kasutajate kontosid.Varastatud paroolid kuulusid öeldavasti Euroopas, täpsemini Lõuna-Euroopas asuvatele kasutajatele. Nii Microsoft kui Google kinnitavad, et pärast nimekirja avalikukstulekut sundisid nad neis olevaid kasutajaid oma salasõna vahetama.

Turvaspetsialistid toovad antud juhtumiga seoses välja veel kaks haavatavat kohta. Nimelt on paljudel paroolipõhistel autentimissüsteemidel ka meeldetuletusfunktsioon, mis küsib teilt kasutajatunnust ja vastust lihtsale turvaküsimusele. Vähemalt Windows Live ja Gmaili puhul on meiliaadress ühtlasi ka kasutajatunnuseks, väga paljude meilisüsteemide turvaküsimused aga olid kuni viimase ajani liiga lihtsad.

Sama on turvaspetsialistid üsna üksmeelselt väitnud ka lekkinud 10 000 salasõna kohta. Arvutikaitse on viletsatest salasõnadest ka varem kirjutanud.

Mida teha, kui kahtlustate, et ka teie parool on internetti lekkinud? Loomulikult tuleks parool vahetada, kasutades selleks mitte suvalises kirjas antud, vaid ise brauseriribale tipitud aadressi.

Hea poliitika on salasõnu ka perioodiliselt vahetada, meeldejätmiseks aga mitte loota mälule või kleepsupaberile, vaid paroolihaldustarkvarale. Viimastest soovitan näiteks selliseid:

Password Agent

KeePass

LastPass

Ka Peeter Marvet on kirjutanud meeldejäävaid paroole genereeriva skripti.
NB! Makrosid sisaldavad dokumendid, isegi kui need pärinevad Arvutikaitse lehelt, kontrollime enne koduses arvutis käimatõmbamist viirustõrjega üle – muudame selle endale harjumuseks!

This entry was posted on Kolmapäev, oktoober 7th, 2009 at 9:44 and is filed under Rünnakud, Salasõnad. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

6 kommentaari to “Hotmaili, Gmaili varastatud paroolidest”

  • Postitatud: oktoober 7th, 2009 10:12

    Kuido

    Marveti paroolides on puudu numbrid ja suurtähed

  • Postitatud: oktoober 7th, 2009 13:55

    Peeter Marvet

    Pakuks, et isegi teades piirangust “kaas- ja täishäälik vaheldumisi, suurtähti ja numbreid ei kasuta” on tegu oluliselt tugevama parooliga kui keskmise kodaniku oma seda täna on.

    Ja… seal failis pole kirjas (sest tundus natuke liiga pikk) AGA ma muidu levitan seda koos soovitusega stiilis:

    “Mõtle välja 8-12 tähene uudis-sõna mis sisaldab vaheldumisi kaas- ja täisshäälikuid. Kui leiad ilusakõlalise sõna võib seda veidi pipardada muutes mõne tähe suureks või asendades numbriga. Kellel on parasjagu loomekriis leiab abi lisatud Exceli-failist – see genereerib igal avamisel 200 uut suvalist (ent Petsi “lemmikreeglile” vastavat) parooli, leia nende hulgast mõni mis tundub meeldejääv ja piparda veidi.”

    Sama tabelit on muideks mugav kasutada tehes massiliselt uusi kasutajakontosid (kusjuures ma olen veidi kahevahel, kas praktikas oleks parem kui see oleks ainult esimeseks loginiks ja kasutaja saaks selle kohe koeranimeks vahetada… või siis lepiks teadmisega, et ma olen tema random-parooli korra näinud ja ta elab sellega kuni töösuhte lõpuni ning paneb ka järgmisele koerale nimeks :-).

  • Postitatud: oktoober 7th, 2009 15:49

    to Pets

    Avades ei genereerita midagi (Excel 2003 kahes eri masinas) ja #NAME? kohal öeldakse, et valem sisaldab tuvastamatut teksti.

  • Postitatud: oktoober 7th, 2009 18:16

    Peeter Marvet

    ouch. ilmneb, et suvaliste väärtuste saamiseks kasutet RANDBETWEEN on funktsioon mis eeldab Analysis ToolPaki olemasolu, http://office.microsoft.com/en-us/excel/HP052092301033.aspx (mul on Maci peal Office2008, see ilmselt omab seda funktsionaalsust vaikimisi)

    AGA ma saadan kohe Aarele parandet versiooni mis tavalist RANDi kasutab (ja kus on kirjas ka lühendatud soovitus pipardamiseks; ja kes uut valemit vaatab ja ABSi üle imestab… siis mulle jäi näppu miski viide Excel2003 bugile mis vahetevahel negatiivseid väärtusi genereerivat).

  • Postitatud: oktoober 8th, 2009 7:27

    mIDNIGHT

    11-12 pikkune parool käib küll, kuid tuleb tõdeda, et lahtine interneti- liiklus (http) on loetav.
    Seega https ja id tuvastus.

  • Postitatud: oktoober 8th, 2009 9:24

    Aare Kirna

    Vahetatud.

Kommenteeri

NB! Kommentaarid, mille tekstis on rohkem kui üks URL, tuleb toimetajal spämmifiltrist käsitsi ära päästa.

Läbu ja ropendamine kustutatakse!

Arvutikaitse Facebookis

Loe lisa: https://www.facebook.com/Arvutikaitse

Arvutikaitse toetajad

Viimased kommentaarid:

Nuhkvaratõrjujad

Online-tõrjujad

Tasuta tõrjujad

Viited

Rubriigid

Arhiiv

RSS Graham Cluley

RSS Bleeping Computer

RSS The Hacker News

RSS HackRead

Arvutikaitse is proudly powered by WordPress