BT
x A sua opinião é importante! Por favor preencha a pesquisa do InfoQ sobre os seus hábitos de leitura!

6 milhões de senhas do LinkedIn comprometidas: lições em segurança de aplicações

por Marcelo Costa em 13 Jun 2012 |

A maior rede social de negócios, o LinkedIn, informou no último dia 6 de junho que mais de seis milhões de senhas de usuários foram comprometidas. Em uma publicação em seu blog o LinkedIn informou que ainda investiga o ocorrido. 

A falha de segurança foi confirmada pela empresa Inglesa Sophos, que informou que um arquivo publicado online, em um fórum na Russia, continha senhas do LinkedIn em formato "hash" (SHA-1), uma forma de criptografar ou armazenar senhas de maneira protegida.

Segundo David Goldman da CNNMoneyTech, o problema com SHA-1 é que a técnica converte textos iguais em códigos iguais, no mesmo formato. Isso facilita o processo inverso de descoberta de senhas, pois hashes [texto criptografado] de senhas iguais são iguais e basta saber uma senha para descobrir automaticamente a outra, afirma Goldman.

É por isso que especialistas em segurança recomendam que as empresas com cadastros gigantescos de dados privados, como o LinkedIn, adicionem uma camada de segurança adicional denominada "salt".

O salt acrescenta aleatoriamente outro elemento de informação à senha. Pode ser o nome do usuário, o primeiro nome ou mesmo um número aleatório. O objetivo é alterar o texto o suficiente para torná-lo quase impossível de se descobrir a partir do hash.

Qualquer empresa que utiliza SHA-1, sem o uso de salting para proteger as senhas de seus usuários, está se sujeitando a um grande risco. Per Thorsheim chefe de segurança da informação e conselheiro da empresa de serviços de tecnologia da informação na Noruega, EVRY, declarou para David Goldamn no CNNMoneyTech:

Já vimos essa situação outras vezes. O uso do salt deve ser um requisito mínimo para a segurança.

Antes de confirmar esta violação de segurança, o LinkedIn publicou dicas de segurança em seu blog. A empresa orientou ainda que os usuários alterem suas senhas com frequencia, pelo menos uma vez a cada trimestre, e que evitem o uso de senhas idênticas em vários sites.

O LinkedIn trabalha junto ao FBI na investigação desta violação de segurança, mas, até a publicação desta nota, ainda não foi identificado o responsável pelo ataque relatado.

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião

Conteúdo educacional

Feedback geral
Bugs
Publicidade
Editorial
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2014 C4Media Inc.
Política de privacidade
BT