וואלה: סיסמאות המייל שנחשפו מוצפנות ולכן חסרות ערך. אגב, כדאי שתחליפו סיסמה

עידו קינן

גרפיטי: "עם ישראל חי, וואלה?!"

וואלה מייל נפרץ לפני מספר ימים ונגנבו ממנו 600 אלף כתובות אימייל וחתימות-האש (hash) של סיסמאות. בוואלה הרגיעו: “המידע שפורסם חסר ערך, שכן הסיסמאות, שכביכול נחשפו, מוצפנות ולא ניתן לעשות בהן כל שימוש. יחד עם זאת, אנו פועלים לסגירה הרמטית של פרטי המשתמשים בחשבונות וואלה!”.

1. המידע לא חסר ערך – זו רשימה יקרת ערך עבור ספאמרים. במבצע עמוד ענן נגנבו כתובות אימייל של משתמשי ynet, וספאמרים ישראלים משתמשים בהן עד היום.

2. אם הסיסמאות מוצפנות ולא ניתן לעשות בהן כל שימוש, למה וואלה פרסמו באתר הודעה בולטת שמבקשת להחליף סיסמה, ושלחו למחרת הפריצה הודעה ברוח זו למשתמשי האימייל?

וואלה מבקשים להחליף סיסמה

מאת: Walla! Support
תאריך: 19 בפברואר 2013 11:40
נושא: עדכון סיסמת חשבון וואלה! דואר שברשותך
אל: [כתובת אימייל חלופית של המשתמש]

שלום רב, [שם המשתמש]

הודעה זו נשלחה אליך מכיוון שכתובת מייל זו ניתנה על ידך ככתובת חלופית בעת הרישום לתיבת וואלה! דואר שכתובתה
[שם משתמש בוואלה]@walla.co.il.

עקב פעילות של האקרים נגד אתרים ישראלים, בהם וואלה!, אנו נוקטים בצעדים לתגבור אבטחת המידע באתר.

על מנת להגן על חשבון וואלה! שברשותך – הנך מתבקש לעדכן באופן מיידי את הסיסמה בחשבונך.

היכנס כעת לחשבון הדואר שלך באתר וואלה! ומסך עדכון סיסמה יופיע באופן אוטומטי לאחר הזנת שם המשתמש והסיסמה הקיימת.

במידה ועדכנת את הסיסמה בתאריך 18.2.2013 או מאוחר יותר אין כרגע צורך בעדכון סיסמה נוסף.

מערכת התמיכה של וואלה! עומדת לרשותך בכתובת support@walla.net.il.

בברכה,
צוות וואלה! דואר

20 בפברואר, 2013 | בנושאים 404 

תגובות

7 תגובות לפוסט “וואלה: סיסמאות המייל שנחשפו מוצפנות ולכן חסרות ערך. אגב, כדאי שתחליפו סיסמה”

  1. meh on 20 בפברואר, 2013 23:43

    נכון, המידע מועיל לספאמרים, אבל ראיתי את הרשימות – הן לא רק hashed אלא גם salted, מה שאומר שיהיה קשה לפרוץ כל אחת מהסיסמאות.

    מניח שהם מבקשים להחליף סיסמה בקטע של יחסי ציבור, כדי שלא יגידו שהם לוקחים את זה בקלות רבה מדי.

  2. ד' on 21 בפברואר, 2013 00:01

    ועל זה נאמר
    http://assets.sbnation.com/assets/743037/im-not-saying-its-aliens-but-its-aliens.jpg

  3. אבירם on 21 בפברואר, 2013 04:31

    ססמה מוצפנת אינה חסרת ערך. אפשר לבצע התקפת מילון ולגלות את הססמאות מההאשים בלבד. זה רק אומר שאם הססמה שלך היא 12345 היא “תפוצח” מיד, ואם היא ajsGf^#k8E היא תפוצח מאוחר יותר.
    בעולם של היום, יש אתרים כמו:
    http://www.md5decrypter.co.uk
    ואחרים, שמאפשרים בקלות לגלות את הססמה מההאש.

    בקיצור: שיקר מי שאמר בוואלה שהססמאות “חסרות ערך”. צדק מי שאמר בוואלה שכדאי להחליף את הססמה מיד.

  4. עדי on 21 בפברואר, 2013 07:23

    אם הסיסמאות ‘ממולחות’ כראוי כמו ש meh on ציין אז הנזק פחות גדול, כי יקח לפורצים יותר זמן והם יצטרכו לפרוץ כל סיסמא בנפרד.
    אבל אם יש ססמאות חלשות או צפויות – גם ההמלחה לא תעזור.

    אם נניח שניתן באמצעים בייתיים לחשב 100M HASH/SEC
    ושלמשתמש יש סיסמא באורך 7 תווים בעיברית + מספרים
    אז זה הזמן שיקח לפצח את הסיסמא של משתמש בודד (בשניות):
    100000000\(7^(27+10)) =~ רבע שעה.
    השיטה הזו טובה לפרוץ חשבון של משתמש ספציפי.

    אם רוצים סתם לפרוץ לכמה מהחשבונות אפשר פשוט לנסות את כל הסיסמאות הפשוטות על כל ההצפנות (HASH) ולגלות את כל המשתמשים שבחרו סיסמאות קלות (123456, אבג123…) – מי שבחר סיסמא קלה – אכל אותה, מי שבחר סיסמא קשה יותר עדיין דיי מוגן.

    בכל אופן מאוד ממולץ לעבור לחשבון אימייל שמשתמש בזיהוי כפול (עם הטלפון הנייד למשל) כמו גוגל או יאהו (זה לא אוטומטי – צריך להפעיל את זה, וגם אחרי זה השימוש בסיסמאות יותר מסובך)
    האבטחה שמתקבלת בשיטה זו היא קפיצת מדרגה שגורמת לחשבון האימייל להיות חסין ביותר לפריצות.
    סרט של גוגל שמסביר את זה:
    http://youtu.be/zMabEyrtPRg

  5. פוק on 21 בפברואר, 2013 07:46

    סתם להוסיף לנושא – בימינו קידמו מאוד את מהירות פריצת Salted Hashes בעזרת שימוש ב-GPU, מה שנותן מהירויות מטורפות לברוט יחסית למה שהיה קודם, שיכולה להשתוות למתקפת מילון במקרים קלים (אבל כן מומלץ שלכל משתמש יהיה Salt שונה, כמובן)

    בימינו גם לא צריך שיהיה את הציוד בבית, אפשר לשכור מאמזון קצת כוח עיבוד (גם GPU) לשעה במחיר שטותי

  6. עמית on 21 בפברואר, 2013 21:29

    מה שאתם אומרים נכון לחלוטין לגבי hash של סיסמאות, אבל רק בהנחה והצליחו למצוא מהו ה-salt.
    אם לא יודעים מהו ה-salt, וזהו salt ארוך, כמעט לא ניתן למצוא אף את הסיסמא הטריוויאלית ביותר, גם בשימוש ב-GPU או כל שיטה אחרת.

  7. Gennadi on 2 בספטמבר, 2014 13:05

    לא מצלייח לקנס לדואר שלי שכחתי סיסמה

פרסום תגובה

עליך להתחבר כדי להגיב.