Máte v Opeře synchronizovaná hesla? Tak už je možná mají hackeři

Někdy je dobré kouknout do spamové pošty. Poslali to generelně všem.

Dear Opera sync user,We wanted to let you know that in order to protect your Opera sync account we have reset your password. In order to continue to synchronize your data, you will have to go to the Opera sync service and make a new one.The reason we have done this is because we detected an attack on some of our Opera sync servers. Our investigations are continuing but we believe some of our users’ passwords (that are still encrypted or securely hashed) and account information such as login names may have been compromised. As a precautionary measure, we have reset all of the Opera sync users’ passwords. In an abundance of caution, we also encourage you to change any passwords to third party sites that you have synchronized through the Opera sync service.To regain access to Opera sync, click “Forgot password” from the synchronize dialog in the Opera browser menu and then create a new password.We take your data security very seriously and want to sincerely apologize for the inconvenience this might have caused you.Thank you for your cooperation,
The Opera sync team

Taky mi nic nedorazilo, ani nespadlo do spamu. Co je ale horší, že mi nedorazí ani reset hesla.

Mi email došel. V pátek 26.8.Pro ostatní, kdyby něco, tak resetovací stránka je https://auth.opera.com/account/lost-password... ale podmínkou je mít platný email (stejný jako login), na který přijde odkaz k nastavení nového hesla.

Jsou hesla a hesla. Třeba hesla do zive.cz a podobných služeb klidně synchronizuji....je s tím méně práce a pokud je hackeři chtějí, ať si poslouží.

Je rozdíl mezi šifrovaným heslem a hashovaným heslem.
Pokud je to hash, pak to prolomení bude těžké. Pokud je to "jen" šifrované s tím, že jakýkoliv počítač to musí být schopný na základě něčeho dešifrovat, když se v něm přihlásíte, pak se o hesla můžeme oprávněně obávat.

Pokud je to provedené dobře, útočník nemá naprosto šanci. Zkus si lousknout text zašifrovaný přes AES-256 (A stihnout to dodělat před zánikem civilizace)

Text zasifrovany pres AES-256 ti "lousknu" behem par vterin, kdyz heslem bude "12345". Pouzita sifra neni vse, zalezi taky na klici a dalsich faktorech.

Aby to bylo zašifrované, je třeba nějaký klíč. ten musí být někde dostupný. (aby to člověk mohl na jakémkoliv počítači dešifrovat po přihlášení) a tím pádem pokud se ten klíč přenáší po síti nebo je dokonce někde u opery uložený, pak je to další riziko.

No nerozumím, k čemu by se synchronizoval hash. Pokud má prohlížeč někam zadat heslo, potřebuje heslo, a nikoli jeho hash. Tedy ono je to trochu složitější, protože ve formulářích s heslem se může posílat jak heslo, tak i pouhý hash již z prohlížeče směrem k webovému serveru, ale v principu si potřebuje prohlížeč pamatovat hesla, hashe by byly použitelné jen v málo případech. A beztak by v takovém případě musely stačit k přihlášení k dané webové stránce.P.S. Nikdy jsem synchronizaci nepoužíval, netuším tedy, jak funguje sama synchronizace, zda se na synchronizovaných mašinách zadává nějaké sdílené heslo, kterým se všechna hesla šifrují. Pokud to tak funguje, pak závisí pouze na síle uživatelova hesla...

Opera Sync skladuje uložená hesla v šifrované podobě a autentizaci v podobě hashe.

hash ti je k prdu, pretoze je to jednosmerna funkcia - aby si overil spravnost hashu, potrebujes poznat zahashovany text (ktory ked mas, tak vlastne nepotrebujes overovat hash)