Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Evernote zhackowany – zresetuj swoje hasło i sprawdź ile hackerzy potrzebują czasu na jego złamanie

· Wojtek Pietrusiewicz · 5 komentarzy

Evernote wczoraj oberwał od hackerów. Dalej trwa dochodzenia, ale najprawdopodobniej wyciekło trochę zaszyfrowanych danych. Generalnie im dłuższe macie hasło tym mniej przemujcie się czy ktoś Wam się włamie, ale będziecie i tak musieli je zresetować. To dobry moment na jego zmianę na coś znacznie trudniejszego i dłuższego.

Evernote na swoim blogu napisał:

While our password encryption measures are robust, we are taking additional steps to ensure that your personal data remains secure. This means that, in an abundance of caution, we are requiring all users to reset their Evernote account passwords. Please create a new password by signing into your account on evernote.com.

Potwierdzają, że wykradziono nazwy użytkownika, adresy email i zaszyfrowane hasła. To o tyle ważne, że jeśli używacie tego samego hasła w innym serwisie z takim samym loginem, to jeśli uda się hackerom złamać szyfrowanie, będą mogli zalogować się na Waszych pozostałych kontach. Nie muszę chyba tłumaczyć, że to złe. Powiedziawszy to, będą potrzebowali 4-5 lat, żeby złamać hasło 10 znakowe, w którym użyto małe i duże litery oraz cyfry. Patrząc na dane na dole tego wpisu, sugerowałbym hasło o długości przynajmniej 10 znaków, a najlepiej 14+.

Evernote jednak nie tylko szyfrował hasła, ale były one również salted czyli miały dodane kilka przypadkowych znaków. To utrudni im życie.

Przy okazji polecę korzystanie z rozwiązań takich jak 1password dla Mac oraz Windows. Firma ma też stosowne aplikacje dla iOS i innych systemów, oraz wtyczki dla przeglądarek WWW. Aplikacja nie tylko generuje nam długie hasła, ale również pozwala je wprowadzić za pomocą skrótu klawiszowego ⌘\ – wystarczy, że zapamiętamy hasło główne do naszego 1password. Tak – też musi być długie dla bezpieczeństwa.

Jak długo trwa złamanie hasła (szacunek zakładający 25 mln cracków na sekundę)

Tylko litery (małe i duże)

3 znaki – 0.0007 sekund
4 znaki – 0.018 sekund
5 znaków – 0.475 sekund
6 znaków – 12.4 sekund
7 znaków – 5.35 minut
8 znaków – 2.32 godzin
9 znaków – 2.51 dni
10 znaków – 2.18 miesięcy
11 znaków – 4.66 lat

Litery (małe i duże) oraz cyfry

3 znaki – 0.002 sekund
4 znaki – 0.067 sekund
5 znaków – 2.42 sekund
6 znaków – 1.45 minut
7 znaków – 52.2 minut
8 znaków – 1.31 dni
9 znaków – 1.57 miesięcy
10 znaków – 4.64 lat

Litery (małe i duże), cyfry i znaki specjalne

3 znaki – 0.006 sekund
4 znaki – 0.292 sekund
5 znaków – 15.2 sekund
6 znaków – 13.2 minut
7 znaków – 11.4 godzin
8 znaków – 24.7 dni
9 znaków – 3.53 lat
10 znaków – 1.83 wieku

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • A propos trudności haseł (stare, ale wciąż aktualne): http://xkcd.com/936/

  • Skąd te dane odnośnie łamania haseł?

    Ja używam KeePass do generowania i trzymania haseł i – do niektórych stron – http://passphra.se/

  • No to mi nic nie grozi (grubo powyżej 10 znaków, litery małe i duże, cyfry i znaki specjalne). Szczególnie, że niedawno usunąłem konto, bo już nie było mi potrzebne.

  • Przydatne informacje. Chyba powprowadzam do swoich haseł znaki specjalne. Dropbox też ostatnio miał problemy z hackerami. O Evernote bym się nie martwił, ale jeśli zagrożone są moje pliki na chmurze, to jest już strach.

  • BGN

    Przyszedł mi mail o podejrzanej aktywności i info o resecie hasła. Na szczęście (rzekomo) żadne notatki nie wyciekły.