Siguri

Vjedhjet e fjalëkalimeve të LinkedIn nënvizojnë rrezikun në cloud

Qer 19 2012
0 Shpërndarje
Vjedhjet e fjalëkalimeve të LinkedIn nënvizojnë rrezikun në cloud

Sipas një analize të bërë nga KoreLogic, komprometimi i fjalëkalimeve të shërbimit LinkedIn ka vënë në pah rëndësinë që përdoruesit e shërbimeve online, duhet t’i kushtojnë zgjedhjes së fjalëkalime unike dhe të ndërlikuara për qasje në shërbimet cloud.

Që nga 6 qershori kur ishte zbuluar vjedhja, ndërmarrja që ka rolin e këshilltarit për siguri, KoreLogic, ka punuar në analizimin e fjalëkalimeve të marra nga rrjeti social i orientuar më tepër në biznes dhe ka postuar në një forum online. Ashtu si analizat e kaluara rreth fjalëkalimeve të paraqitura, ndërmarrja zbuloi që shumë njerëz nuk zgjedhin fjalëkalime të mira, që paraqet një të metë e cila mund të shfrytëzohet për dekriptim të lehtë të fjalëkalimeve.

Lista e fjalëkalimeve të lëshuara paraqet kombinime nga rrjetet sociale që përfshinin diku rreth 6.5 milionë kombinime unike kriptografike. Çdo kombinim përfaqëson një fjalëkalim unik dhe mbron fshehtësinë duke përzier vargjet e karaktereve, numrave dhe simboleve duke përdorur një algoritëm që është i vështirë të rikthehet. Në rastin e LinkedIn, ndërmarrja nuk ka përdorur ndonjë hyrje të zakonshme shtesë, që do t’i bënte fjalëkalimet si vështirë të qasshme. Rezultati është që mostrat e zakonshme të fjalëkalimeve shpejt mund të gjenden.

“Kur qaseni në një Ueb faqe, ju nuk e dini nëse ata janë duke përdorur MD5, apo nëse ata janë duke përdorur SHA-1,” tha Rick Redman, këshillues i lartë i sigurisë me KoreLogic. MD5 nuk është më i vlerësuar si një algoritëm i fortë i kombinimit, teksa rrugët e thyerjes në kriptografi tashmë janë gjetur. Dhe SHA-1, të cilin LinkedIn e përdori, duhet të kriposet, në mënyrë që të rritet siguria.

Në përgjithësi, gati 80 përqind e fjalëkalimeve janë dekriptuar, tha Redman. Përdoruesit duhet të presin që fjalëkalimi i tyre do të lëshohet dhe të ndërmarrin hapa për t’i mbrojtur të gjitha llogaritë e tyre, tha ai. Ato duhet të jenë fjalëkalime të ndërlikuara për të penguar sulmet, dhe fjalëkalime unike në atë mënyrë që asnjë llogari e rrezikuar nuk shpie tek ndonjë tjetër.

Të dhënat nga përdoruesit të cilët herë pas here e ndërrojnë fjalëkalimin e tyre tregojnë që lëshimi i listës ndodhi rreth gjashtë deri shtatë muaj më parë, tha ai. Sulmuesit kishin tërë atë kohë për të sulmuar listën dhe të gjenin fjalëkalimet e dobëta, nëse i kanë ripërdorur, do të mund të shfrytëzonin llogari të tjera.

Lista me fjalëkalime kishte disa karakteristika interesante shtesë, tha Redman. Derisa ishin 6.5 milionë kombinime, sepse shumë njerëz përdorin një fjalëkalim të dobët, fjalëkalime të shumta të njëjta mund të përfaqësojnë përdorues të shumtë.

“Nëse fjalëkalimi i ndokujt është ‘linkedin1’, është vetëm një herë në listë,” tha Redman, i cili vlerëson që lista do të mund të përfaqësonte një total prej 12 milionë përdoruesve.

Për më tepër, një mister që ende mbetet i pazgjidhur është që më tepër se gjysma e kombinimeve filluan me pesë zero, një mostër nuk është e rëndomtë. Për më tepër, fjalëkalimet e përfaqësuara nga ato kombinime ishin mjaft lehtë të thyeshme, tha Redman. Ai ka dekriptuar 92 përqind të kombinimeve me mostrën dhe vetëm 65 përqind të kombinimeve pa mostër.

KoreLogic kryen një garë vjetore të thyerjes së fjalëkalimeve në kongresin e hakimit Defcon në Las Vegas. (CIO Albanian)