Många siter blir hackade (något att tänka på för Ubuntuforumet)

[ZX Spectrum]

http://www.idg.se/2.1085/1.140298

[Coleridge]

http://www.idg.se/2.1085/1.140298

Jo det är ett otyg det där. Oftast rör det väl sig om unga morska män som stör sig på något (Fjortisansamlingen på bilddagboken eller ytligheten på Efterfesten.com) och därför endast vill jävlas.

Det blir riktigt jobbigt när de postar databasen på flashback och alla möjliga idioter får tag i uppgifterna, knäcker lösen och jävlas med användarna på siterna. (Loggar in på deras MSN, mailar random folk o.s.v.)

I min enfald tror jag att detta forum är relativt skyddat. Vad görs här som skulle uppröra? Annat än lite hälsosamt nörderi?

[Lars]

Möjligtvis är vi något skyddade eftersom ubuntu-se drivs helt ideellt, men det var ju några andra locos som blev hackade för ett tag sedan, så helt immuna är vi inte. En annan fördel vi har är att vi kör programvara som är väl beprövad (framför allt SMF och Drupal). Om en annan site som kör dessa hackas så fixas säkerhetshålet och vi kan dra nytta av det. Bilddagboken och Efterfesten kör förmodligen egenutvecklade program, så de har inte samma resurser att upptäcka och täppa till alla hål.

Det kan tilläggas att vi inte lagrar några lösenord i klartext på Ubuntu-se.

[alatariel]

håller som bäst på att ta fram hundratalet nya lösenord ... 

det är MYCKET som ska bytas när man som jag varit ute på nätet i en 15+ år!
men nu måste jag tydligen göra ett ryck och förbättra mina lösenord på en del av sajterna ...
ahem ...

[look2]

jag har ett som jag tror "starkt" lösenord 8 tecken, blandat stora små bokstäver samt tecken.
Men hur säkert är detta egentlligen? det spelar väl ingen roll om hackarna skulle komma över databasen med lösenord och de där står i klartext?
Så egentligen är väl inte ansvare mitt helt och hållet när det gäller att välja säkra lösenord. Om jag skulle ha ett lösenord med 10 slumpvis utvala tecken, nån illvilig person skulle komma över data basen där detta är lagra med en dålig eller ingen kryptering så spelar det väl ingen roll hur bra mitt lösenord är?

Kanske är dags att vända på steken, många siter kräver av oss användare att vi skall ha "bra" lösenord med olika restriktioner, vi kanske skall börja kräva av siterna att de hanterar våran lösenord på ett lika betryggande sätt?
Eller tänket jag galet nu ?

[upnorth]

Tja, som jag fattade det knäcktes aldrig några lösenord i de här intrången, utan de tog sig in på annan väg och publicerade inloggningsuppgifter bara för att?

[Emil.s]

jag har ett som jag tror "starkt" lösenord 8 tecken, blandat stora små bokstäver samt tecken.
Men hur säkert är detta egentlligen? det spelar väl ingen roll om hackarna skulle komma över databasen med lösenord och de där står i klartext?
Så egentligen är väl inte ansvare mitt helt och hållet när det gäller att välja säkra lösenord. Om jag skulle ha ett lösenord med 10 slumpvis utvala tecken, nån illvilig person skulle komma över data basen där detta är lagra med en dålig eller ingen kryptering så spelar det väl ingen roll hur bra mitt lösenord är?

Kanske är dags att vända på steken, många siter kräver av oss användare att vi skall ha "bra" lösenord med olika restriktioner, vi kanske skall börja kräva av siterna att de hanterar våran lösenord på ett lika betryggande sätt?
Eller tänket jag galet nu ?

8 tecken knäcker servern under natten. Har man 10 så tar det säkert flera veckor. Idag meden gamal server. Om bara 1 år så är snabba Quad Core standard. Då är nog inte det lika säkert heller...

Ett säkert lösenord idag ska vara på minst 12 tecken, och hest slumpat. Typ:
?i\c?`9T5kb\J')
k0F_vK&/JSaM#6>
lo8{-56fbWng7vs
XR[G)\Fkpe9kb>[
vg};00%c-)U14dr

Och självklart bör man kunna kräva att lösenorden hanteras på att bra sätt!

[Coleridge]

Tja, som jag fattade det knäcktes aldrig några lösenord i de här intrången, utan de tog sig in på annan väg och publicerade inloggningsuppgifter bara för att?

De tog sig in. Sedan publicerades databasen (med krypterade lösen)
Sedan började kreti och pleti knäcka lösen för att röja bland folks email, msn och annat.

De med lite säkerhetstänkande (läs: som inte har "anakin" som lösen och samma lösen överallt) har nog klarat sig rätt bra.

Ungefär samma sak som hände när upl.silentwhisper.net dödades för något år sedan.

[zero gravity]

Har funderat på detta med hackade sidor en del med. Den korrekta definitionen är dock snarare crackers än hackers på de som gör detta.
Vad sägs om att kontakta någon etablerad och seriös hackergrupp och be dom testa vårt forum? Vi skulle då kunna täppa till de hål som möjligtvis finns.