Opera призывает своих пользователей сменить пароли

    Opera выпустила уведомление безопасности, в котором призывает пользователей своего сервиса Opera sync как можно скорее сменить свои пароли аккаунтов.

    Сообщается, что один из серверов компании оказался скомпрометированным и злоумышленники получили доступ к информации аккаунтов, включая, логины и пароли пользователей (в зашифрованном виде). Для сброса пароля от аккаунта следует воспользоваться этой ссылкой.

    «Earlier this week, we detected signs of an attack where access was gained to the Opera sync system. This attack was quickly blocked. Our investigations are ongoing, but we believe some data, including some of our sync users’ passwords and account information, such as login names, may have been compromised.»
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 29

      +3
      Опять хранение паролей в интернете.
        0
        Пароли зашифрованы. А вот информация по логинам и прочая метаинформация может помочь злоумышленникам.
        Поэтому хранить в интернете можно только полностью зашифрованную информацию, чтобы даже посещаемые сайты нельзя было узнать при взломе сервера синхронизации.
          0
          Зашифрованы или захэшированы? Если первое, то ничего хорошего это не сулит.
            +4
            Как вы себе представляете хеширование паролей в сервисе синхронизации? Конечно же они зашифрованы, иначе бы их нельзя было отдать обратно при добавлении нового устройства или синхронизации с любым другим.
            Вот пароль от аккаунта, скорее всего, хеширован.
              –2

              В нашей системе (это документооборот) у аккаунта несколько клиентских устройств. У каждого свой пароль (=токен), у каждого своя карточка доступа, любое устройство можно отключить, не отключая остальные. Каждый токен хранится в захешированном виде. Не вижу проблем.

                0
                Хеширование, в идеале конечно, это необратимый процесс. А нам нужно получать эти пароли в изначальном виде, чтобы браузер подставил его в нужное поле, то есть нужно как-раз шифрование.
                А вот сам пользовательский пароль к серверу синхронизации стоит хешировать.
                  0

                  Понятно. Я думал речь о пароле к самой синхронизации.

                0
                Подумал не о тех паролях, прошу прощения.
                0
                В настройках синхронизации, если ставить галочку на «пароли», просят ввести парольную фразу для шифрования.
            0
            Не призывает, а требует. Авторизация отвалилась.
              0
              Мне тут что-то в голову стрельнуло… а не все ли равно? Не зная соли и алгоритма хеширования же все-равно авторизоваться не выйдет.
                0

                Раз вам всё равно, смените на старый пароль

                  0
                  Не могу, ввиду отсутствия учётной записи в опере. Но теоретический интерес от этого не пропадает.
                  • UFO just landed and posted this here
                      0
                      Может и дырявое, но как сделать синхронизацию между устройствами без облака?
                        +1
                        Теоретически, через DHT-подобную структуру можно. Происходит поиск нескольких узлов, которые находятся «близко» (по XOR-метрике) к вашему уникальному ID, который выводится, скажем, из логина-пароля. На эти узлы периодически отсылается шифрованный пакет данных вместе с его версией (просто увеличивающееся число), шифруется он мастер-ключом, который зашифрован вашим паролем, и подписывается секретным ключом авторизации, а публичный высылается в комплекте. При сохранении первой версии узел сохраняет у себя пару ID+PubKey и потом позволяет обновлять данные только при верной подписи пакета для этого публичного ключа.

                        Понятно, что люди приходят и уходят, но браузер запущен в течение дня почти постоянно, да и число узлов можно подобрать, чтобы хранилось с нужной степенью надёжности. Тем более, что близость к ID означает, фактически, детерминированный рандом, так что люди будут из разных часовых поясов.

                        В итоге, все будут хранить немного чужих данных, но так как они зашифрованы (даже не паролем, а ключом), это не является проблемой. Для большей надёжности можно хранить эти ключи отдельно от данных под другим ID (который вычисляется из логина + некая соль), так что они попадут на другие машины. При синхронизации сначала запрашивается шифрованный ключ, расшифровывается паролем (операция однократная для новой инсталляции), потом аналогично выкачиваются данные с нескольких близких узлов, выбирается самая новая версия, проверяется подпись, потом всё это расшифровывается и синхронизируется.

                        Плюсы очевидны — не нужно облако, система (почти) неограниченно масштабируется, надёжна настолько, насколько защищён сам пользователь, отказоустойчива (нужны эксперименты). Минусы также известны пользователям торрента, это долгий поиск цели, необходимость проброса портов (можно обойти с помощью мастернод-релеев и UDP hole punching), также возможна ситуация, когда в сети нет ни одного узла с вашими данными. Но если хотя бы раз в час посылать обновления, эту вероятность можно свести к минимуму.
                        0
                        Получить доступ к серверу значительно проще чем расшифровать базу.
                        • UFO just landed and posted this here
                      –1
                      Очередное дырявое облако.
                      Мой внутренний параноик не даёт даже фото с котиками в облаке держать, не то что личный данные.
                        +4
                        И Дропбокс туда же. Только прямо заявить о причине стесняется и прячет ее за словами:
                        Это исключительно профилактическая мера, и мы приносим извинения за доставленные неудобства.
                          +1
                          И с Авито тоже пришло.
                            0

                            Причину Дропбокс все-таки написал. На странице по указанной в письме ссылке:


                            Зачем Dropbox просит изменить пароли?

                            Наши сотрудники из отдела безопасности постоянно отслеживают все, что может угрожать нашим пользователям. В процессе этой непрерывной работы мы узнали, что в 2012 году были получены старые пользовательские данные Dropbox (эл. адреса и пароли (хэш с солью)). Наш анализ показал, что эти данные связаны со сбоем, который мы как раз тогда обнаружили.
                            0
                            Проще синхронизировать keepass-базу.
                              0
                              Проще для кого?
                              +5
                              Опера умерла три с половиной года назад. Так что пофиг.
                                0
                                Спасибо, а то я думал почему не авторизуется.
                                  0
                                  Вот в таких случаях благодарю себя самого, что не доверил данные банковской карты какому-то таксо сервису Uber, у которых приватность точно не на первых местах

                                  Каомн, даже Dropbox ломали, Paypal ломали… как можно доверять что-то секурное новым сервисам?
                                  • UFO just landed and posted this here
                                      –1
                                      Я уже удалил аккаунт Opera Link. Ещё когда пошли новости про Китай.

                                      Only users with full accounts can post comments. Log in, please.