Új jelszavak a Póker Akadémián – Tudnivalók

2012. szeptember 14., péntek 12:05
A Póker Akadémia hétfői leállása óta több fontos biztonsági módosítást eszközöltünk, többek között új jelszó tárolási rendszert vezettünk be. Fontos információk következnek.
Ahogy korábban azt levélben, a Facebookon vagy oldalunkon is közöltük felhasználóinkkal, a hétfői eseményekkel összefüggésben az e-mail címek és a regisztált felhasználók kódolt formában tárolt jelszavai illetéktelen kezekbe kerülhettek. A támadó megkísérelheti visszafejteni a jelszavakat és egyszerű jelszó esetén sikerrel is járhat.
Azon túl, hogy ismét felhívjuk figyelmeteket arra, hogy amennyiben ugyanazt a jelszót használtátok a Skill-Moneybookers, e-mail címetek vagy pókerterem esetében, úgy azon jelszavakat sürgősen változtassátog meg, a Póker Akadémián a tegnap óta használt új jelszavakkal kapcsolatban is tájékoztatunk benneteket:
  • 2012.09.13. napjával bevezettük a kiemelten biztonságosnak ítélt SALT jelszótárolási technikát
  • Minden felhasználónk új jelszavat kap, a régi jelszavát töröljük szervereinkről
  • Felhasználóink új jelszavukat e-mail-ben kapják meg, melyet első belépéskor célszerű megváltoztatni
  • Amennyiben valamilyen oknál fogva e-mail-ben nem kapnátok meg jelszavatokat, úgy kérünk benneteket írjatok nekünk az info “kukac” pokerakademia “pont” com levélcímre, hogy segíthessünk.
A Póker Akadémia csapata az új jelszótárolási technikán túl további olyan fejlesztéseket is eszközöl, mely felhasználóink adatainak biztonságosabb tárolását szolgálja.
Mindenkinek kellemes fórumozást, blogolást, videózást, böngészést kívánunk a jövőben is!

Hozzászólások

  • Dj69k2012. szeptember 14., péntek 15:01
    avatar

    Eső után köpönyeg...

  • Zbacsi2012. szeptember 14., péntek 15:16
    avatar

    "2012.09.13. napjával bevezettük a kiemelten biztonságosnak ítélt SALT jelszótárolási technikát" LOL, erről pofáztam, és le sem szarták. Ez lett volna ez első lépés hogy resetelitek az összes jelszőt... BTW nálam bejeletnezve maradt, WP :D Honlap tulajdonosa helyében erősen elgondolkoznék azon hogy új brigádot vegyek fel. Mert hogy a mostani csapatnak köze nincs az informatikához az biztos, gondolom valami hobbi programozók.

  • ferkocse2012. szeptember 14., péntek 15:23
    avatar

    nem lehetne inkább törölni a regisztrációmat? ezzel az oldallal csak problem van, haszna meg kb. semmi...

  • Sambenez2012. szeptember 14., péntek 15:25

    Nekem is bejelentkezve maradt. Jól meg is lepődtem. Ráadásul már régen megváltoztattam, amit most sikeresen megváltoztattak.
    Mondjuk 5 nappal az adatlopás után nem késő kicsit ez a változtatás?

  • born2hate2012. szeptember 14., péntek 15:35

    Most akkor a többiek hozzászólását is törlitek,ahogy az enyém? A reakciò ugyanaz:D wp akadémia. A véleményem ugyanaz, töröljétek újra! Jókor kaptatok észbe;) Tapsvihar.

  • Walkman_2012. szeptember 14., péntek 17:02

    "bevezettük a kiemelten biztonságosnak ítélt SALT jelszótárolási technikát"

    ez a mondat arról árulkodik hogy a fejlesztők (már bocsánat a kifejezésért) lófaszt se tudnak a biztonsági megoldásokról (vagy csak gyengén lett megfogalmazva) és a kiküldött e-mail is arról árulkodik hogy a legalapvetőbb biztonsági dolgokkal SEM.. elég gáz ez ekkora oldalnál, főleg pókeres közösségnél, több figyelmet kéne fordítanotok a biztonságra!

  • spi2012. szeptember 14., péntek 17:04

    Ha valakinek lenyúlták a pénzét, az akadémia hibájából, az kérhet kártérítést az akadémiától?

  • zorck2012. szeptember 14., péntek 17:25

    spi,mindenki kérhet kártérítést,miért ne?
    Szerintem adhat az akadémia több évi ingyenes hozzászólási lehetőséget meg ilyesmiket.
    Hogy lehet lenyúlni különben a pénzedet a PA hibájából?
    Mert Te máshol is az itteni jelszavadat adtad meg?
    Felszállsz a villamosra,kiejtesz a zsebedből egy százast,aztán térítse meg a villamos?

  • Admin2012. szeptember 14., péntek 17:56
    avatar

    Jelszavak a támadás idején MD5 kódolással voltak tárolva. A visszafejthetőség kivédése érdekében mostantól megfelelő hosszúságú salt hozzáadásával tároljuk a hasheket.

    A jelszavak változtatásának csak azután volt értelme, hogy ezzel a módosítással elkészültünk.

    A bejelentkezett felhasználók a jelszó módosítás során nem kerültek kiléptetésre, hiszen a jelszó módosítás célja a Póker Akadémiás felhasználó nevekkel való visszaélés lehetőségének megszüntetése volt.

    100%-os biztonság nem létezik, de a jelszavak biztonságosabb tárolása és a támadások kivédése irányába tett lépéseink nagy előrelépést jelentenek.

    Akinek van a témához kapcsolódóan további érdemi javaslata, nyugodtan ossza meg velünk itt vagy emailben.

  • randomEV2012. szeptember 14., péntek 18:26

    Saltingról, hashről rendes infó, ha valakit érdekel. Lehet adminnak sem árt...

    http://crackstation.net/hashing-security.htm

  • Fellick2012. szeptember 14., péntek 18:45

    MD5öt tudomásom szerint nem lehet visszafejteni, viszont a gyakori jelszavak MD5 hash-ei el lehetnek tárolva account feltörések céljából, így ez a technika is kellően biztonságos, ha a jelszó elég erős volt.
    Tehát ha valaki password1234-el jelentkezett be, annak nagyobb eséllyel tudják az accountját feltörni, mint Ak4rmI391J3lsz0 jelszóval rendelkezőét.
    utóbbinak is meglesz a MD5 hashe a támadónál, de nem fog vele mit kezdeni, mert visszafejteni nem lehet, csak párosítani gyakran használtakkal (és azok kombinálásával)

  • Zbacsi2012. szeptember 14., péntek 18:59
    avatar

    Még az amatőr csapatoknál (akik jelszavakra utaznak) az első dolog az hogy ráküldik az md5decryptet, mert nagyon gyors, és ha megvan bármilyen jelszó már próbálják is meg különböző helyeket.

    Nektek két nap kellett mire küldtetek mailt, pedig többen is kértünk hangsúlyosabb és korrekt tájékoztatást azok számára akik nem látogatják a honlapot napi rendszerességgel.

    Ennek fényébe, az hogy eddig nem történt semmi az HATALMAS SZERENCSE. (Vagy még nem tudunk róla). Valószínűleg nem pénzt lenyúlására ment a dolog, pedig ahogy ez a fentiekből is kiderül nagyon egyszerűen kivitelezhető lett volna.
    Ezt eltitkolni, annak ellenére hogy többen is kérdeztük és a nem meghozni a megfelelő lépéseket, majd ezt később bevallani olyan TUDATLANSÁGRÓL árulkodik hogy a fejlesztőnek köze sincs a dologhoz.

    Az pedig hogy csak ennyi felháborodott ember van még engem is meglep. Ennyire nincs képben senki ez mekkora hiba volt? Talán máshogy lenne ha el is tűnt volna pár helyről a pénzt... hát nem a PA-n múlt...

  • randomEV2012. szeptember 14., péntek 19:00

    Fellick:
    9-10 karakteres jelszót még rainbow table-lel fel lehet törni.
    A salt nélküli MD5 hash is hasznos lehet, ha valahol máshol pl kliens oldalról már MD5-hashet kell küldeni.

  • Admin2012. szeptember 14., péntek 19:13
    avatar

    A Póker Akadémia részéről a tájékoztatás minden elérhető felületen (cikkek, emailek, facebook) azonnali hatállyal (perceken illetve pár órán belül) megtörtént. Csapatunk minden elérhető erőforrást mozgósított a normál működés visszaállítása és a biztonsági kérdések rendezése ügyében.

  • Walkman_2012. szeptember 14., péntek 19:13

    http://en.wikipedia.org/wiki/MD5 :
    " In 1996, a flaw was found with the design of MD5, and while it was not a clearly fatal weakness, cryptographers began recommending the use of other algorithms, such as SHA-1—which has since been found to be vulnerable as well."
    Most 2012 van.

  • Zbacsi2012. szeptember 14., péntek 19:21
    avatar

    Az email pontosan 2012. szeptember 12. 17:00. Ez mennyi idő is?

    ***moderálva***

  • Admin2012. szeptember 14., péntek 19:31
    avatar

    Kérjük a fórumszabályzat fokozottabb betartását.

    Az esemény bekövetkezte után pár órát vett igénybe, amíg rájöttünk, hogy valójában mi történhetett. Ezt követően a tájékoztatás azonnali hatállyal megtörtént.

  • Zbacsi2012. szeptember 14., péntek 19:35
    avatar

    Kedves Admin,
    Bemásolnád milyen szabályt sértettem meg a hozzászólásommal? Előre is köszönöm.

  • Admin2012. szeptember 14., péntek 19:38
    avatar

    2.1 és 2.2-es pont.

  • redoubtable2012. szeptember 14., péntek 20:05
    avatar

    Először nem az volt kiírva, hogy karbantartás van? Nekem reggel 8-9 től olyan 16-17 ig biztos ezt írta. :)

  • titcar2012. szeptember 15., szombat 01:01
    avatar

    1, ha egy nem kellően biztonságos (ide sorolok kb. mindent) és egy olyan helyen, ahol pénzt tartasz ugyan az a jelszavad, nos akkor nem a szomszéd a hülye.

    2, lehet én néztem be, de szerintem a jelölt algoritmus nem visszafejthető, hibája, hogy könnyű találni 1 másik jelszót, aminek ugyan az a transzformáltja. namost ezzel mikor mennek valamire? a, ide akarnak belépni vele (miután innen szerezték meg ennek ugye nem sok értelme van) b, máshol lehet használni a jelszavunk helyett, ahol ugyanezt az algoritmust használják ezesetben lásd 1es pont.

    3, ennek ellenére nyilvánvaló hiba volt kevésbé figyelni a biztonságra és stbstb.

  • CsüLemile2012. szeptember 15., szombat 08:41
    avatar

    Én írtam egy blogot a jelszóváltoztatásokkal kapcsolatban, pár napja.

  • Levbejb2012. szeptember 15., szombat 09:07

    Érdekes, hogy a rendszer még nem dobott ki, a régi jelszavammal vagyok bent ugyanúgy..

  • Wildcatfish2012. szeptember 15., szombat 12:42
    avatar

    Én is a régi jelszavammalvagyok ben.
    +AZ emai cimamiről ideregeltemmár megszünk

    Hogy tudok ujjelszót szerezni?

  • Admin2012. szeptember 15., szombat 12:50
    avatar

    A bejelentkezett felhasználók a jelszó módosítás során nem kerültek kiléptetésre.

    A saját jelszavát mindenki megváltoztathatja a http://pass.pokerakademia.com/ linken.

    Email módosítás ügyében írj nekünk egy emailt az info"kukac"pokerakademia"pont"com címre a user neved és a régi email címed feltüntetésével.

  • Riqu102012. szeptember 15., szombat 14:48

    Az, hogy valaki több helyen is ua. a jelszót használja gyermeteg kezdő hiba. Ennek ellenére sajnos sokan elkövetik. De azért nehogy már (kizárólag) az ő felelősségük legyen, ha kár éri őket... A regisztrációkor az oldal is vállal kötelezettségeket. Szerintem - bár nem vagyok jogász - egyértelműen az ő felelőssége, ha a felhasználót kár éri. Az más kérdés, hogy ez a feltörés lehet csak közvetett bizonyíték erre..

  • kry2012. szeptember 15., szombat 17:22

    na most léptem be az új jelszóval amit küldtetek.
    levélszemétben volt szóval csekkoljátok ott is ha nincs meg. :)

    ez a feltörősdi pedig engem egyáltalán nem izgat. az e-mail címem máshonnan is megszerezhetik, s mivel nem vagyok retardált ide nem a bankszámlám, riasztóm, akármim jelszavát hazsnáltam.

    csak a RIO-mmal vagyok elégedetlen... :)

    gl mindenkinek

  • kry2012. szeptember 15., szombat 22:32

    *ROI
    *sz :
    gyors vagyok mint a villám... :)

  • JociBalboa2012. szeptember 15., szombat 22:37

    ferkocse: ez igy nem igaz, bár Te tudod .

  • BurnLikeHell2012. szeptember 16., vasárnap 22:50

    a SALT-olás nem extra hanem ma már alapvető követelmény a weblapokon kedves Akadémia

  • naris2012. szeptember 16., vasárnap 23:34

    A műszaki részéhez nem értek, hagyjuk is.
    De amit tájékoztatás címén válságkommunikációban elkövettetek az szánalom.
    "Skrill-Moneybookers számlájukra megpróbáltak belépni az elmúlt 1-2 órában! Nem tudjuk biztosan, hogy a próbálkozások összefüggenek-e a hétfői támadással, ..."

    Persze, nyilván nem tudjátok. Puszta véletlen lehet hogy pont minap betörtek hozzátok...

    "... de mindenkit arra kérünk, hogy amennyiben ugyanazt az email címet és jelszót használja Skrill-Moneybookers számlájához, mint amit a Póker Akadémián használ, azonnal változtassa meg Skrill-Moneybookers jelszavát! "

    Ez ok, bár eső után köpönyeg, ahogy mások is írták.
    Talán azt is le lehetett volna írni, hogy kedves user, pénzről van szó, ne használd ugyanazt az email címedet (és pláne a jelszót!) egy bankszámlánál, mint amit egy akármilyen tét nélküli webes regisztrációnál.

    Végül:
    "A Póker Akadémia jelszavadat biztonsági okokból megváltoztattuk."

    Ok, ez tényleg kell, bár zavaró momentum a csere.
    Ez mindenkihez eljut előbb utóbb, elvben nemtud ugye belépni. De akkor már oda kellett volna írni, hogy azért változtattuk meg kedves user, mert elbasztuk, kiszivárgott a jelszavad. És NEM, ez jelszócsere NEM OLD MEG SEMMIT, ha voltál olyan hülye hogy ezt az emailt és jelszót használod mondjuk a Skrill-hez, akkor minden ott lévő pénzed TOVÁBBRA IS VESZÉLYBEN VAN.

    Bizalmi indexetek mától minusz 100 nálam...

Ha hozzá szeretnél szólni, lépj be! vagy regisztrálj!