Ble LinkedIn-passordet ditt stjålet?

DinSide Forleden dag meddelte DinSide Data at 6,5 millioner passord ble stjålet fra LinkedIn. Hackerne har tilgjengeliggjort listen over de hashede passordene slik at alle som vil kan laste dem ned.

Vel å merke finnes altså passordet i hashet utgave, og ikke i klartekst. Hashing betyr at passordet kjøres gjennom en "enveisfunksjon". Når du oppgir passordet ditt til LinkedIn, kjører de den samme funksjonen og ser om hash-verdien matcher den de har lagret i databasen. Gjør den det, slipper du inn. Funksjonen kan imidlertid ikke kjøres andre vei for å finne hva passordet er – har du glemt passordet må du derfor opprette et nytt.

Dermed kan ikke LinkedIn (eller hackerne) vite hva passordet ditt er i utgangspunktet, men de kan prøve alle mulige kombinasjoner av passord og få en match på hash-verdien når passordet er riktig. Spesielt dersom du har hatt et enkelt passord vil det ta ganske kort tid å finne det.

TEMA:

Datasikkerhet

Sjekk om ditt passord er blant de lekkede

Passordtjenesten LastPass har vi skrevet om opptil flere ganger og fungerer som et "passord-hvelv" der du har ett hovedpassord som logger deg på tjenesten, som tar vare på resten av passordene dine (kryptert, selvsagt).

Nettsiden har nå hentet inn alle de lekkede hash-verdiene og tilbyr deg å skrive inn passordet ditt i et tekstfelt (ikke brukernavnet, kun passordet), for å se om passordet ditt er blant de lekkede passordene. Som du ser av bildet på toppen, er undertegnedes passord faktisk med i den lekkede listen, så jeg har endret det for lengst.

>> Sjekk om LinkedIn-passordet ditt ble stjålet!

Skeptisk? Sjekker du kildekoden til nettsiden ser du faktisk at hash-funksjonen skjer i nettleseren din før det sendes til Lastpass. Med andre ord sendes ikke passordet til LastPass; kun hash-verdien.

Bruker du LastPass til vanlig, kan du også sjekke hvorvidt du har brukt det samme passordet på andre nettsider. Er det tilfelle, anbefaler vi deg sterkt å endre passordet på disse nettstedene også!