Belgacom hacket og NSA mistenkes av mange å stå bak. For lange passord kan bli en svakhet. Hull hos XXL.no muliggjorde spørringer mot folkeregisteret.
Belgacom hacket og NSA mistenkes av mange å stå bak
For lange passord kan bli en svakhet
| Algoritmen PBKDF2 brukes til å transformere et passord til et kryptografisk hash for lagring av passord i databasen, men den samme opperasjonen må også gjøres for testing av passord gitt av brukeren. Siden PBKDF2 ikke setter noen grense for passordlengde, åpner dette for en type DoS-angrep der en angriper kan okkupere en servers resurser ved å skrive inn lange passord som angriperen vet ikke vil bli godkjent. Problemet utbedres ved å sette en øvre grense for hvor langt et passord kan være. |
| Referanser |
|
http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad-for-security/
|
Hull hos XXL.no blottla folkeregisteret
Digi.no rapporterer om et nå fikset hull hos sportskjeden XXL.no som gjorde det mulig å hente ut fornavn, etternavn, bostedsadresse, postnummer og poststed om man hadde fødselsnummeret. Det hele fungerte ved at du gikk til en bestemt URL med et parameter som tok et siffer på 11 tall (fødselsnummer) og ut ifra det fikk du informasjonen, om fødselsnummeret eksisterte.
Dette kunne veldig lett blitt gjort automatisk og noen kunne ha tatt seg muligheten til å hente ut masse informasjon. |
| Referanser |
|
http://www.digi.no/922764/blottla-folkeregistreret
|