Wpis z mikrobloga

@wczoraj:
Ja tam dodaje narzędzie by użytkownicy mogli sprawdzić jak wiele ludzi używa takiego samego hasła:

Password is already used by:

( ͡° ͜ʖ ͡°)

@wczoraj: Ograniczają długość do 15 znaków. Trzymają w plain text, żeby w razie czego móc podesłać userowi. (⌐ ͡■ ͜ʖ ͡■) taguj #nieprogramowanie i #rakcontent

@wczoraj: trzymam w plaintext bo łatwo mozna sprawdzić jak ktos zapomni ( ͡° ͜ʖ ͡°)

@wczoraj: ciekawe kto jest szczęśliwcem z qwerty1 :D

@wczoraj: można zrobić brutefroce od razu na wszystkich użytkownikach :D

@przepelnieniebuforu: Przecież nie muszą hasła trzymać w plain text. Użyją funkcji haszującej np md5, czy sha1, to po wpisaniu hasła zrobią jego hash i porównają z istniejącymi już w bazie

@vebbo: Serio? (ʘ‿ʘ) Jak funkcję przypuszczalnie nieodwracalną odwrócisz i odzyskasz plaintext żeby odesłać userowi gdy zapomni? Joke przeleciał może nie nad Tobą Mireczku, ale gdzieś obok ( ͡° ʖ̯ ͡°)

@przepelnieniebuforu: Ataki
W 2004 zgłoszono udane ataki na funkcje skrótu mające strukturę podobną do SHA-1 co podniosło kwestię długotrwałego bezpieczeństwa SHA-1. Pomiędzy 2005 a 2008 opublikowano szereg ataków, zarówno na uproszczoną wersję SHA-1, jak i pełną. Najlepszy z tych ataków wymaga jedynie około 263 operacji funkcji kompresującej (w porównaniu do 280 metodą brute-force). NIST ogłosił, że do 2010 zaprzestanie stosować SHA-1 na rzecz różnych wariantów SHA-2[1].
https://pl.wikipedia.org/wiki/SHA-1

absolutnie nie zaprzeczamPokaż całość

@kuskoman: Dlatego napisałem przypuszczalnie ( ͡º ͜ʖ͡º) Fajnie, że wrzuciłeś - może się komuś przyda. Eh, chyba nawet śmieszkować nie umiem ( ͡° ʖ̯ ͡°)

@wczoraj:

Przecież nie muszą hasła trzymać w plain text. Użyją funkcji haszującej np md5, czy sha1, to po wpisaniu hasła zrobią jego hash i porównają z istniejącymi już w bazie

@vebbo: Jak solą hasła (co jest dzisiaj niezbędne) to nie za bardzo im takie porównanie wyjdzie.

A jak nie solą to takie porównanie hashy nie ma sensu ze względu na kolizje (Wiki).

@przepelnieniebuforu: @vebbo: pisałPokaż całość

@wczoraj: Na wykopie jak wpiszesz swoje hasło to wykop je zagwiastkuje!!! Działa zobacz Moje hasło:************

@Raffael: Co totalnie było nie związane z moim pierwotnym komentarzem, dziękuję dobranoc.

@wczoraj: #itgraduate

A jak nie solą to takie porównanie hashy nie ma sensu ze względu na kolizje

@Raffael: o ile ogólnie masz racje, to znasz jakieś kolizje stringów o typowej dla haseł długości nawet dla md5 czy sha1?

o typowej dla haseł długości nawet dla md5 czy sha1?

@megawatt: O typowej długości nie.

@wczoraj: kiedyś na wykopie była strona gdzie do rejestracji wystarczyło samo hasło. Żadnego loginu. Jak przy rejestracji się wpisało hasło takie jakie miał inny użytkownik, to był błąd że takie hasło już istnieje ( ͡° ͜ʖ ͡°)

@wczoraj: CitiBank ( ͡° ʖ̯ ͡°)

@wczoraj: Ktos ma login "another user" ?

@wczoraj: http://www.wykop.pl/wpis/19959541/kiedy-myslisz-ze-widziales-juz-wszystko-ale-ktos-w/ :)