Allegro zapomniało zahashować hasła w swojej bazie danych?
Użytkownicy Allegro, których hasła zostały zakwalifikowane jako słabe, muszą je zmienić na trudniejsze, żeby uzyskać dostęp do wszystkich funkcji serwisu. [...] Powstaje jednak pytanie: skąd wiadomo, które konta są źle zabezpieczone? Czy Allegro przechowuje hasła w postaci niezahashowanej?
pink_art_pl z- #
- #
- #
- #
- #
- #
- 104
Komentarze (104)
najlepsze
atakuje sie je zwyklym brute forcem. koduje sie kolejno wygenerowane hasla (alfabetycznie, slownikami + kombinacje i mnostwo sztuczek) i porownuje HASHE z tymi w bazie. Wiec kto powiedzial ze musza je trzymac w formie niezahashowanej?
PS: Jesli dalej twierdzicie ze madre jest sprawdzanie sily hasla przygladajac sie ORYGINALOWI a nie hashowi to co z takim przypadkiem:
Mam 23 literowe haslo z malymi
"~Wiktor
Przecież Allegro już dawno się przyznało, że hasła przechowuje w postaci niezaszyfrowanej. Sprawa wyszła na jaw, gdy zaczęli uwzględniać wielkość liter przy logowaniu, wcześniej w haśle nie miało to znaczenia. Sprawa była szeroko omawiana na forum Allegro."
jeżeli tak rzeczywiście było to jasne, że nie korzystali ze skrótów
Oczywiście miałeś na myśli 32 cyfry w systemie szesnastkowym, co oznacza zakres 0-9, a-f (bez uwzględnienia wielkości znaków).
Kto ma wszędzie takie same hasła? :P
Dlaczego do ch!!a wacława nie możecie w końcu zaimplementować normalnego drzewka tak żeby każda odpowiedź była w swoim miejscu w wątku???
hashowane hasla tak na prawde nie sa bezpieczne -
Przecież nie musi trafiać do bazy danych od razu zahashowane
trzymanie w bazie informacji o długości hasła to już nawet nie głupota. To kretynizm - ilość możliwych kombinacji spada diametralnie.
Jeśli rzeczywiście używają dobrego saltu - dalej poza zasięgiem, obojętnie czy znasz długość czy nie.
O B-Tree to toczy się właśnie rozmowa, ale pod innym wykopie ;P
http://www.wykop.pl/link/221060/mysleliscie-ze-dysk-twardy-waszego-komputera-jest-szybki
A soli nie stosujesz w bazie, bo?
Hasło h4xora: f8789vjasŻć
Hasło obeznanego: Ania (bo jak będą chcieli złamać to i tak złamią)
Mogą generować ogromną listę hashy, dla krótkich i słabych haseł. Następnie porównać hashe z bazy danych z wygenerowaną listą. Wcale nie wymaga to długiego czasu - wystarczy dla każdego hasła sprawdzić czy nie jest na liście wygenerowanych hashy.
Dziwię się, że
Metoda może została przytoczona przez P. Koniecznego, ale raczej jako mało użyteczna i najwyżej dla "kilkudziesięciu prostych haseł". Co IMHO jest bzdurą - można w ten sposób zahashować 100 milionów krótkich haseł bez problemu i sprawdzić siłę haseł w bazie danych.
Swoja droga, ciekawe czy panowie z google nie ulegli pokusie analizy hasel wykorzystywanych przez swoich uzytkownikow. Wyniki takich analiz moglyby okazac sie bardzo ciekawe.
Zakladajac ze 10 osob w serwisie ma to samo haslo (i nie sa to te same osoby, mozna sprawdzic po mailu np albo danych adresowych) to znaczy ze haslo jest do d... (test1234, ania86, kochammame, pokazcycki itp) ;]
Nie rozumiem tego "experta". On używa innego salta dla każdego użytkownika? Czyli co, trzyma informacje jakiego salta użył tuż obok hasła? Bo inaczej tego nie widzę w takim przypadku, a jeśli tak jest, to jaki to w ogóle ma sens posiadanie tego salta? Jak ktoś mu pojedzie po SQL to