PplWare Mobile

Verifiquem se a vossa password do LinkedIn foi roubada


Apaixonado por tecnologia, encontro no Pplware a forma ideal de mostrar aos outros os meus conhecimentos e de partilhar tudo o que me interessa neste intrincado universo

Destaques PPLWARE

  1. Pedro says:

    Roubaram apenas as pass ou os emails / nomes de utilizadores?

  2. A minha não estava na lista.
    Já tinha feito o download do ficheiro e tinha verificado.
    Mas qualquer nome que se ponha lá, aparece.
    As pessoas ainda continuam sem qualquer preocupação em relação à sua password 😡

  3. RCS says:

    A minha estava na lista. Obrigado pplware por este artigo.

  4. JustSomeone says:

    A minha também não estava.
    Keep up the good work Pplware & Lastpass

  5. Roy says:

    Não tenho conta no LinkedIn, que de resto nem sei bem o que é… mas se tiverem usado um salt fica imensamente mais difícil de descobrir… mas pelos vistos não usaram, ou roubaram o valor do salt também.

    Para quem vai implementar num web site passwords, não se esqueça de usar salt para misturar ainda mais as passwords e um algoritmo mais seguro tipo SHA384… como é pouco usado torna-se ainda mais difícil de descobrir, e repetir a operação de conversão para SHA384 tipo 1000 vezes ou mais (menos se o servidor for pouco potente e potêncialmente muito utilizado… embora se for muito utilizado é mais uma razão para aumentar ainda mais o valor), para demorar ainda mais tempo a descobrir todas… ainda que a operação em si individualmente não demore quase virtualmente nada, tentar advinhar é uma outra história!

  6. manu says:

    Isso é meio estranho, uma vez que a mesma password pode dar hash’s diferentes.

    • Fábio says:

      A mesma password, no mesmo sistema, nunca dá hash’s diferentes. Ou seria impossivel compara-las aquando do login 😉

      • manu says:

        Engraçado que no linux ao criar utilizadores e respectivas passwords, sendo elas iguais quando vou ver o hash das passwords, são diferentes. Ou então estarei enganado e não tem nada a ver com hash’s. Peço desculpa. 🙂

  7. djx says:

    Isso. Coloquem as vossas passwords no site… I’ll just leave this here:

    So, let me get this straight, there are hackers with a bunch of encrypted passwords that have enlisted help to do a brute force dictionary attack by encrypting common passwords and words and then comparing the hashes. The only thing keeping your password from being unencrypted by the bad guys is the inability for the crackers to unencrypt your password and log into your account, is that their systems can only generate so many passwords and it will take a long time to generate and compare all the possibilities.

    If only they had a way to get users to type in passwords they had used on the site, so that they could simply compare the hashes and then tie that password to the list of accounts. Oh Wait, That is exactly what the [LeakedIn.org] site does. So if these guys are nefarious, then instead of having to rely on a dictionary of random words, people will be providing them with a dictionary of actual passwords to compare to the hash lists (the one thing they are missing).

    Sorry, no way in hell I am typing my password in that site

    • João says:

      Este site deve ser encarado como uma fonte de humor, descobri que há passwords como “facebook”, “linkedin”, “aaaaaa”, “hacker” ou a minha favorita “BADASS”.

      Isto é bom para tentar despertar alguns descuidados…

  8. Trololol says:

    YA ya.metam a vossa pass nesses sites LOL

    Se o algoritmo for Sha1 mais vale cada um fazer o seu script de teste XD

  9. Nuno Nunes says:

    Eu testei a minha e deu perfeitamente e mudei logo a pass

  10. Epá será que não perceberam ainda que esses verificadores não servem para nada e não vos dizem realmente se a vossa password foi roubada!

    Pensei! Voltem a pensar!

    1º São 6 milhões de hashs em SHA1, mesmo que sejam do linkedin gerar 6 milhões de hashs não é difícil e existem bases de dados com muitos mais hashs mais, como por exemplo “Sha1 (400 000 000) unique entries”! esse verificador apenas vê se o hash do que vocês escreveram existem no meio daqueles todos, é claro que passwords como 123456, qwerty e etc estão lá!

    2º Eles apenas publicaram os hashs, acham mesmo que alguém com acesso à BD apenas retira as passwords? Isso não serve para nada, tem de estar associadas a alguém (E-Mail).

    3º Citação: “161m professionals around the world as of March 31, 2012” e só 6m foram publicadas? Mais uma vez digo quem tem acesso a um pouco terá a tudo!

    4º Mudem a vossa password independentemente se estava na lista ou não e não usem a mesma em vários sítios, caso o façam mudem também.

  11. MIGUEL says:

    Porra PLPWARE, que raio de sugestão para aplicação é esta???

    Andam a brincar com coisas sérias ou são ingénuos e acham que estão a fazer “uma coisa séria”??

    PS. DE UM LEITOR QUE SEMPRE RESPEITOU O VOSSO TRABALHO.

    • Vítor M. says:

      Qual é o problema? Apenas ficas a saber se a tua pass (que ninguém sabe quem tu és, nem nick nem nada) estava naquela lista. Espera lá que vão descobrir o teu user pelo pensamento, queres ver?

      • m4x says:

        lol, qual é o problema? Ora deixa ver, vou fazer um site dizendo ás pessoas que serve para testar passwords de XYZ, as pessoas metem lá as passes, eu guardo, daqui a uns meses tenho uma lista perfeita de passes reais para usar brute force

        • Sim, tens toda a razão. A LastPass, que tem acesso a milhares de passwords, usernames e links de acesso precisa mesmo de estar a criar listas para ter acesso a ataques de força bruta.

          Está-se mesmo a ver…

          Convém ver quem disponibiliza o serviço e que credibilidade tem.

          Mas isto sou eu apenas a dizer…

  12. João Reis says:

    O problema que se põe é que esta é uma boa forma de criar óptimas e actuais, listas de dicionario para bruteforce attacks em qualquer site ou ficheiro.

    • É como escrevi antes, a LastPass tem mesmo necessidade de recorrer a estes esquemas para recolher as passwords…

      • ricardo says:

        até porque eles são os primeiros a dizerem, na própria ferramenta “primeiro MUDEM A PASSWORD, depois escrevam aqui a antiga para saberem se foram atingidos”.

        Não é como outros sites, estilo leakedin.org que não utilizam https e que ninguem conhece os donos do dominio. O LastPass é um negócio real sem qualquer interesse em meter-se nestes negócios. Até porque o negocio deles é precisamente guardar passwords de utilizadores.

        Se quiserem verificar, eles calculam a hash localmente com javascript, só é enviada a hash para cálculo, por Ajax para o servidor deles.
        É só analisar o source da página. Claro que não é garantia absoluta, mas é mais uma.

    • JustSomeone says:

      A LastPass tem a possibilidade de me roubar a password que eu guardo nos servidores deles… oh wait…

      Não devo ser o único.
      Admito que não gosto da ideia de ter a minha stored online though.. mas cedi há 2 anos or so, para ser mais fácil de ter diversas passwords.

  13. Nuno Gonçalves says:

    Usem passes com letras e numeros misturados que não vão ter problemas 😉

  14. Blizard says:

    Mudei logo a minha… better safe than sorry.

  15. Ricardo Reis says:

    Apaguei a minha conta LinkedIn…

  16. Rubens says:

    A minha senha está na lista e, coincidentemente, o Google me avisou que meu email foi acessado de Israel…
    A senha já foi alterada para o sistema de verificação em 2 passos 🙁

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.