abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 06:11 | Zajímavý článek

    Man Yue Mo z GitHub Security Lab se podrobně rozepsal o již opravené zranitelnosti CVE-2023-6241 v Arm Mali GPU umožňující získání roota na telefonu Pixel 8 s povoleným MTE (Memory Tagging Extension).

    Ladislav Hagara | Komentářů: 0
    dnes 04:44 | IT novinky

    V San José probíhá vývojářská konference NVIDIA GTC 2024. CEO společnosti NVIDIA Jensen Huang měl dvouhodinovou keynote, ve které představil celou řadu novinek: NVIDIA Blackwell platform, NVIDIA NIM microservices, NVIDIA Omniverse Cloud APIs, Project GR00T, …

    Ladislav Hagara | Komentářů: 0
    včera 14:33 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy jednotlivých přednášek z letošního Installfestu.

    Ladislav Hagara | Komentářů: 8
    včera 13:33 | Pozvánky

    Od 21. do 23. března proběhnou Arduino Days 2024. Sledovat bude možné oficiální streamy. Zúčastnit se lze i lokálních akcí. V Česku jsou aktuálně registrovány dvě: v Praze na Matfyzu a v Poličce v městské knihovně.

    Ladislav Hagara | Komentářů: 0
    včera 12:11 | Pozvánky

    Letošní ročník konference LinuxDays se uskuteční o víkendu 12. a 13. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během letošního ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru, Facebooku nebo na Mastodonu, přidat se můžete také do telegramové diskusní skupiny.

    Petr Krčmář | Komentářů: 3
    včera 09:00 | Nová verze

    Byla vydána nová major verze 2.0.0 a krátce na to opravné verze 2.0.1 open source online editoru Etherpad (Wikipedie) umožňujícího společné úpravy v reálném čase.

    Ladislav Hagara | Komentářů: 0
    včera 08:00 | IT novinky

    Elonem Muskem založena společnost xAI otevřela pod licencí Apache 2.0 svůj AI LLM model Grok-1.

    Ladislav Hagara | Komentářů: 3
    včera 00:44 | Nová verze

    Matematický software GNU Octave byl vydán ve verzi 9.1.0. Podrobnosti v poznámkách k vydání. Nově je preferovaný grafický backend Qt a preferovaná verze Qt 6. V tomto vydání byly přepracovány funkce pro převod čísel z desítkové soustavy. Jako obvykle jsou zahrnuta také výkonnostní vylepšení a zlepšení kompatibility s Matlabem.

    Fluttershy, yay! | Komentářů: 0
    17.3. 22:33 | Zajímavý článek

    Společnost PINE64 stojící za telefony PinePhone nebo notebooky Pinebook publikovala na svém blogu březnový souhrn novinek. Vypíchnout lze, že pracují na virtuálním asistentu PineVox a zatím bezejmenných sluchátkách na lícní kosti (bone conduction).

    Ladislav Hagara | Komentářů: 0
    17.3. 18:33 | Nová verze

    Hyprland, kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, je již dva roky starý. Při té příležitosti byla vydána verze 0.37.0 (a záhy opravná 0.37.1 řešící chybu ve vykreslování oken). Nově závisí na knihovně hyprcursor, která poskytuje škálovatelné kurzory myši.

    Fluttershy, yay! | Komentářů: 3
    Steam
     (25%)
     (28%)
     (13%)
     (10%)
     (24%)
    Celkem 307 hlasů
     Komentářů: 4, poslední 11.3. 21:45
    Rozcestník

    Únik hesel z databáze Xzone

    Český herní obchod Xzone dnes na svém blogu oznámil únik uživatelských jmen, hesel, e-mailů a dalších údajů, který se týká více než poloviny uživatelů obchodu (odhadem 108 000 účtů). Všechna hesla byla vyresetována a zákazníkům během dne dorazí upozornění na jejich změnu. Xzone současně přiznává, že k úniku databáze uživatelských účtů došlo již před více než rokem.

    26.10.2016 13:54 | Michal Makovec | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    26.10.2016 13:57 rubymaster
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Ať jdou někam :-( Nejde jen o heslo, to mám každé jinde, ale osobní údaje tam jsou...
    26.10.2016 16:10 lol
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    U úniku jsou uvedena i hesla uživatelů, která se hackerům zřejmě i přes zašifrování (MD5) povedlo v databázi prolomit
    26.10.2016 17:19 MP
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    haha MD5.
    26.10.2016 17:46 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    To jsou panečku profíci :-D Pokud někdo nechápe ani rozdíl mezi hashováním a šifrováním, nelze očekávat, že by chápal proč použít něco lepšího než MD5 ;-)

    A takové fajnovosti jako použití pořádné KDF (nebo alespoň přidat k tomu heslu salt, i když to už dnes stejně nestačí) nelze očekávat už vůbec :-)
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    26.10.2016 19:54 PetrHL | skóre: 17 | blog: petr_h | Neratovice
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Salt by stačit mohl, ale musel by být dlouhý. Pochybuju, že jej mají alespoň 10 znaků :-(.
    "Do, or do not. There is no 'try.'" -- Jedi Master Yoda | CQRLOG | CQRPROP | HamQTH | Domů
    27.10.2016 00:01 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Salt dnes nestačí ani náhodou, když člověk vezme v úvahu rychlost hashování na současných grafických kartách a to že lidé používají v naprosté většině případů slabá hesla. Potřeba je alespoň PBKDF2 s dostatečně velkým počtem iterací (aby doba hashování byla minimálně pár sekund na moderním PC) nebo mnohem lépe Scrypt (ještě lépe pak Argon2, ale to zatím není moc rozšířená KDF).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Jendа avatar 27.10.2016 00:37 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Co se na tuhle vědu vykašlat a konečně implementovat do prohlížečů zero-knowledge ověření znalosti hesla? Ty protokoly už existují asi 20 let…
    27.10.2016 01:26 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    No třeba takové augmented EKE pokud vim bylo v US patentované (původní EKE není bezpečné) a patent vypršel až někdy v 2013. A SRP které ten patent obcházelo není bezpečné proti offline útoku. Ostatně nejsem si ani jistý, jestli i to augmented EKE vůbec je. Nebo si měl na mysli něco uplně jiného?
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    27.10.2016 01:35 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Yep, měl jsem pravdu, viz třeba tohle co jsem teď vygooglil:
    However the verifier used with SRP is sensible to brute force attacks on the password : If the verifiers are stolen, attackers will be able to recover many password by testing each verifier against dictionary values. There's no way to avoid that and still be able to do the cryptographic calculations needed. So the advantage may not be as big as it seems.
    Augmented EKE je IMHO to samé v bledě modrém (a původní EKE vyžadovalo znalost plaitextu hesla i na serveru, takže to je úplně passé).
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    27.10.2016 01:51 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Jinak řečeno - zero-knowledge password proof (respektive obecně PAKE - password-authenticated key agreement) řeší jiný problém, a to sice odchycení hesla útočníkem provádějícím MITM. Ale nijak ti nepomůže proti tomu když někdo hackne server a ukradne databázi, pak je to na podobné úrovni jako by tam ta hesla byla uložená jen hashovaná a brute-force útok na slabá hesla lze stále provést.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    Jendа avatar 27.10.2016 03:57 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Ale nijak ti nepomůže proti tomu když někdo hackne server a ukradne databázi, pak je to na podobné úrovni jako by tam ta hesla byla uložená jen hashovaná a brute-force útok na slabá hesla lze stále provést.
    To nepomůže, ale pomůže to proti tomu, když někdo hackne server a nainstaluje tam něco, co bude hesla logovat. Nebo proti tomu, když sám provozovatel serveru bude zlý a bude hesla logovat. Nebo proti tomu, když provozovatel bude lajdák a použije pro hashování hesel rychlou funkci nebo hesla omylem nebude hashovat vůbec.
    However the verifier used with SRP is sensible to brute force attacks on the password : If the verifiers are stolen, attackers will be able to recover many password by testing each verifier against dictionary values. There's no way to avoid that and still be able to do the cryptographic calculations needed. So the advantage may not be as big as it seems.
    Tebou jmenované protokoly neznám, ale slovníkování lze řešit solením. Takhle od stolu lze vymyslet třeba protokol, který vygeneruje RSA klíč ze seed=bcrypt(sůl + doména + heslo) a následně použije obyčejné přihlašování certifikátem.
    27.10.2016 09:31 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Osolení ti pomůže proti rainbow tables, ale proti brute-force útoku s použitím moderních GPU ti moc nepomůže (a to je to o čem se bavíme - většina lidí totiž používá slabá hesla, která se dají brute-force dobře prolomit). Na to je potřeba dobrá KDF (tedy taková která i na moderním GPU potřebuje spoustu času/paměti), tedy zpátky k mému původnímu příspěvku ;-) bcrypt není špatná KDF, je lepší než PBKDF2, ale Scrypt nebo Argon2 by byl ještě lepší :-)

    Každopádně SRP podle RFC používá SHA1 jako hashovací funkci (byť se tam mluví o možnosti použít jiné), takže pokud by jej implementoval někdo jako Xzone, bezpečnost proti offline brute-force útoku by byla skoro stejná jako když měli hesla jen hashované MD5 :-)

    Naštěstí použít KDF místo prosté hashovací funkce SRP umožňuje (viz třeba tady), takže řešitelné to je, ale prostě ty kvalitní moderní KDF potřebuješ. Bez ohledu na to jestli použiješ běžný způsob autentikace nebo nějaký protokol založený na zero-knowledge password proof jako je SRP či augmented EKE.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    27.10.2016 10:39 ast
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    SRP lze použít s libovolným hashem. Když už jsme u SRP, tak 1024bit DH není bezpečný vzhledem k precomputaci pouzivaneho prvocisla. Viz Logjam: Diffie-Hellman, discrete logs, the NSA, and you [32c3] https://www.youtube.com/watch?v=TfK5tf3ScR4
    27.10.2016 10:48 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    SRP lze použít s libovolným hashem
    Vždyť to jsem nakonci psal, že lze použít místo prostého hashe i libovolnou KDF (v RFC se píše hlavně o SHA1, nicméně nevylučuje jiné funkce).

    K tomu DH: SRP vyžaduje, aby byly DH parametry jen 1024 bit dlouhé? Nebo to lze zvolit? Pokud neumožňuje použití delších, tak je to k ničemu...
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    27.10.2016 12:03 ast
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Umožňuje i delší. Standardně definované jsou tyto 1024, 2048, 4096 a 8192. viz RFC5054 od strany 15 (Appendix A. SRP Group Parameters).

    Použít však můžeš libovolné "bezpečné prvočíslo". (Neptej se mi jak je deifnovaný, ale dá se to dohledat.) Jediný problém je v tom, že v TLS-SRP (RF5054) je to definované jako konstanty. Pokud však člověk nechce používat TLS, pak je to celkem jedno.
    27.10.2016 08:26 allstar
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    No myslím, že se podpory RFC5054 v prohlížečích jen tak nedočkáme vzhledem k tomu, že certifikáty jsou velký business.
    27.10.2016 07:58 PetrHL | skóre: 17 | blog: petr_h | Neratovice
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Salt 10 znaků by mohl znemožnit použití rainbow tables. Ale jinak je MD5 na hash hesel na nic, to souhlasím. Je prostě příliž rychlý. Na hashování hesel ve webové aplikaci používám bcrypt+salt.
    "Do, or do not. There is no 'try.'" -- Jedi Master Yoda | CQRLOG | CQRPROP | HamQTH | Domů
    Michal Makovec avatar 27.10.2016 00:23 Michal Makovec | skóre: 22 | Prostějov
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Až teprve nyní jsem si přečetl článek na iDNES.cz Uniklo 108 tisíc českých e-mailů a hesel. Zřejmě z obchodu XZone. Při psaní zprávičky jsem žil v mylném a naivním přesvědčení, že internetový obchod Xzone publikoval zprávu o úniku uživatelských údajů na svém blogu bez vnějšího podnětu.
    Inkriminovaný textový soubor zhirnaya_igrovaya_baza.txt je snadno dohledatelný a obsahuje 108 152 řádků - což samo o sobě zcela jistě není dokladem toho, že jim ukradli pouze půlku databáze ! :( Patnáct minut po půlnoci a příslib uveřejněný ve včerejším blogu - zákazníkům během dne dorazí upozornění na jejich změnu, zůstal v mém případě nenaplněn. Přitom newslettery mi chodí bez problémů. Došel už některému z diskutujících zákazníků e-mail s vysvětlením/doporučením na změnu hesla? Na Xzone jsem měl unikátní heslo, takže žádná velká škoda nevznikla. Slevovovým kuponem na příští nákup si ale moji důvěru určitě zpět nekoupí.
    27.10.2016 10:47 DaVee
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone

    Od xzone mi do mailu stále nic nedošlo, ale pokud je ten soubor pravý tak mé údaje tam nejsou.... ale před cca čtvrt rokem se mi někdo přihlásil na mail (na který jsem registrovaný u xzone a heslo se dalo sestavit z dat v obchodě) a změnil přístupy na steam, GOG, vybral klíče z humblebundle....

    ... takže určitě ukradli jen půlku databáze :)

    (alespoň konečně vím jak se dostali do mého mailu)

    27.10.2016 11:39 MP
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Stalo se mi to same uz v unoru. Takze jsem prisel o email ucet (se seznamem se neda domluvit) a ebay. WOT, steam a prekvapive xzone se mi podarilo obnovit. Jak rikas aspon ted vim odkud to prislo.
    27.10.2016 05:14 GA
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Jen jestli tam vůbec nějaká MD5 byla....

    https://blog.richardkapicka.cz/20120831-bezpecnost-dat-podle-xzone
    27.10.2016 11:41 andrej
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    ...a to este pan neziadal o zmenu hesla z podvrhnutej adresy odosielatela...
    28.10.2016 09:22 Matlák
    Rozbalit Rozbalit vše Re: Únik hesel z databáze Xzone
    Podle všeho nebyla. A věřím že to dokonce byl záměr. Už jsem se i setkal s názorem "managera" že je lepší mít hesla v databázi v plaintextu nebo symetricky zašifrovaná a ne zahashovaná, že prý co kdyby chtěl uživatel poslat heslo na e-mail. Na to se těžko něco říká...

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.