╔ grave.<div><br></div><div>Merece um alerta, em especial para quem usa a mesma senha para diversos servišos diferentes.<div><br></div><div>Linkedin perdeu alguns pontos. Usar hash sem salt, veio? Serio? =/</div><div><br></div>
<div><br></div><div><br clear="all">Atenciosamente,<br><br><div>Eduardo Coelho Lima</div><div>>> <a href="mailto:eduardocoelholima@gmail.com" target="_blank">eduardocoelholima@gmail.com</a></div><div><a href="http://coelho.ithub.com.br" target="_blank">http://coelho.ithub.com.br</a></div>
<br>
<br><br><div class="gmail_quote">2012/6/6 Noilson Caio <span dir="ltr"><<a href="mailto:caiogore@gmail.com" target="_blank">caiogore@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Ú isso mesmo.<br><br><br><br><p>LinkedIn has <a href="http://blog.linkedin.com/2012/06/06/linkedin-member-passwords-compromised/" rel="nofollow" title="An Update on LinkedIn Member Passwords Compromised" target="_blank">confirmed</a> that some of the password hashes that were <a href="http://nakedsecurity.sophos.com/2012/06/06/millions-of-linkedin-passwords-reportedly-leaked-take-action-now/" target="_blank">posted online</a> do match users of its service. They have also stated that passwords that are reset will now be stored in salted hashed format. </p>



<p>What is a salt? It is a string that is added to your password before 
it is cryptographically hashed. What does this accomplish? It means that
 password lists cannot be pre-computed based on dictionary attacks or 
similar techniques.</p>
<p><img style="display:inline" src="http://sophosnews.files.wordpress.com/2012/06/passwordsalts466.png?w=466&h=204" alt="Password hash with salt example" title="Password hash with salt example" align="middle" height="204" hspace="10" vspace="10" width="466"></p>



<p>This is an important factor is slowing down people trying to brute 
force passwords. It buys time and unfortunately the hashes published 
from LinkedIn did not contain a salt.</p>
<p><img style="display:block" src="http://sophosnews.files.wordpress.com/2012/06/linkedin60pc1.png?w=250&h=250" alt="60% of LinkedIn passwords cracked" title="60% of LinkedIn password cracked" align="right" height="250" hspace="10" vspace="10" width="250">After
 removing duplicate hashes, SophosLabs has determined there are 5.8 
million unique password hashes in the dump, or which 3.5 million have 
already been brute forced. That means over 60% of the stolen hashes are 
now publicly known.</p>
<p>We also did some additional testing of commonly used passwords that should never be used. We started with the list of <a href="http://nakedsecurity.sophos.com/2009/01/16/passwords-conficker-worm/" title="Passwords used by the Conficker worm" target="_blank">passwords that the Conficker worm used</a> to spread through Windows networks.</p>



<p>All but two of the Conficker passwords were used by someone in the 
6.5 million user password dump. The two passwords that weren't found 
were 'mypc123' and 'ihavenopass'.</p>
<p>Other passwords that we found in the dump include 'linkedin', 
'linkedinpassword', 'p455w0rd' and 'redsox'. We even found passwords 
that suggest people should know better like 'sophos', 'mcafee', 
'symantec', 'kaspersky', 'microsoft' and 'f-secure'.</p>
<p>We will continue to keep Naked Security readers up to date with what is known as we learn more. </p>
<p>It is critical that LinkedIn investigate this to determine if email 
addresses and other information was also taken by the thieves which 
could put the victims at additional risk from this attack.</p>
<p><i>Special thanks to Beth Jones and Richard Wang from SophosLabs for their hard work and assistance with this post.</i></p><span class="HOEnZb"><font color="#888888"><br><br><br><br><br><br clear="all"><br>-- <br><div style="margin-left:40px">
Noilson Caio Teixeira de Ara˙jo<br>

Linux Professional Institute Certificationá 2 - LPI000182893<br>Novell Certified Linux Administrator (CLA) - 10111916<br>Novell Data Center Technical Specialist<br><br><a href="http://ncaio.ithub.com.br" target="_blank">http://ncaio.ithub.com.br</a><br>


<a href="http://br.linkedin.com/in/ncaio" target="_blank">http://br.linkedin.com/in/ncaio</a><br><a href="http://www.commandlinefu.com/commands/by/ncaio" target="_blank">http://www.commandlinefu.com/commands/by/ncaio</a><br>


<a href="http://www.dicas-l.com.br/autores/noilsoncaioteixeiradearaujo.php" target="_blank">http://www.dicas-l.com.br/autores/noilsoncaioteixeiradearaujo.php</a><br></div> <br>
</font></span><br>_______________________________________________<br>
Owasp-natal mailing list<br>
<a href="mailto:Owasp-natal@lists.owasp.org">Owasp-natal@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-natal" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-natal</a><br>
<br></blockquote></div><br></div></div>