LinkedIn: Aktuelles zum Passwort-Leak

[Annika_Kremer]

Die Betreiber des sozialen Netzwerks LinkedIn, dessen Nutzer kürzlich zu Opfern eines umfassenden Daten-Leaks wurden, lieferten am heutigen Mittwoch eine aktuelle Zusammenfassung der Situation. Demnach wird der Vorfall nach wie vor untersucht; angekündigte Verbesserungen des Sicherheits-Standards sind dagegen bereits abgeschlossen.

zur News

[truhgoj]

Kann es sein das LinkedIn Mysql als Datenbank benutzt und Datenbankzugriffe von außerhalb zu lässt?

Da gab es eine bis vor wenigen Tagen noch aktuelle Sicherheitslücke das Mysql mit eine Chance von 1:256 falsche Passwörter akzeptiert. Hat vor ein paar Tagen auf meinen Rechner auch wirklich funktioniert, wurde aber durchs letzte Update gefixt.

https://community.rapid7.com/communi...-flaw-in-mysql

[Loooki]

Wie oft noch, wie lange dauert es bis Passwörter bzw deren Hashes richtig gespiechert werden? Salzen bringt gar nichts wenn entsprechende Kapazitäten auf Angreiferseite da sind. bcrypt heißt das Zauberwort: https://de.wikipedia.org/wiki/Bcrypt

[truhgoj]

Bcrypt alleine bringts halt auch nicht, Salten muss man immer noch. Sonst kann man ja auch für Bcrypt einfach einen Rainbowtable hernehmen.