BT

6 milhões de senhas do LinkedIn comprometidas: lições em segurança de aplicações

por Marcelo Costa em 13 Jun 2012 |

A maior rede social de negócios, o LinkedIn, informou no último dia 6 de junho que mais de seis milhões de senhas de usuários foram comprometidas. Em uma publicação em seu blog o LinkedIn informou que ainda investiga o ocorrido. 

A falha de segurança foi confirmada pela empresa Inglesa Sophos, que informou que um arquivo publicado online, em um fórum na Russia, continha senhas do LinkedIn em formato "hash" (SHA-1), uma forma de criptografar ou armazenar senhas de maneira protegida.

Segundo David Goldman da CNNMoneyTech, o problema com SHA-1 é que a técnica converte textos iguais em códigos iguais, no mesmo formato. Isso facilita o processo inverso de descoberta de senhas, pois hashes [texto criptografado] de senhas iguais são iguais e basta saber uma senha para descobrir automaticamente a outra, afirma Goldman.

É por isso que especialistas em segurança recomendam que as empresas com cadastros gigantescos de dados privados, como o LinkedIn, adicionem uma camada de segurança adicional denominada "salt".

O salt acrescenta aleatoriamente outro elemento de informação à senha. Pode ser o nome do usuário, o primeiro nome ou mesmo um número aleatório. O objetivo é alterar o texto o suficiente para torná-lo quase impossível de se descobrir a partir do hash.

Qualquer empresa que utiliza SHA-1, sem o uso de salting para proteger as senhas de seus usuários, está se sujeitando a um grande risco. Per Thorsheim chefe de segurança da informação e conselheiro da empresa de serviços de tecnologia da informação na Noruega, EVRY, declarou para David Goldamn no CNNMoneyTech:

Já vimos essa situação outras vezes. O uso do salt deve ser um requisito mínimo para a segurança.

Antes de confirmar esta violação de segurança, o LinkedIn publicou dicas de segurança em seu blog. A empresa orientou ainda que os usuários alterem suas senhas com frequencia, pelo menos uma vez a cada trimestre, e que evitem o uso de senhas idênticas em vários sites.

O LinkedIn trabalha junto ao FBI na investigação desta violação de segurança, mas, até a publicação desta nota, ainda não foi identificado o responsável pelo ataque relatado.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião
Feedback geral
Bugs
Publicidade
Editorial
Marketing
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2016 C4Media Inc.
Política de privacidade
BT

We notice you’re using an ad blocker

We understand why you use ad blockers. However to keep InfoQ free we need your support. InfoQ will not provide your data to third parties without individual opt-in consent. We only work with advertisers relevant to our readers. Please consider whitelisting us.