Kauza hacknutí Azet.sk: 92 procent hesel se prý dá snadno dešifrovat

15 znakov je dost na to aby to nedesifroval ani nahodou. Skor je problem v tom, ake hesla si davaju BFU, ktorych je bohuzial na azete vacsina. Maju tam tak maximalne velke a male pismena, ale malokto ma aj cisla a nedajboze znaky. Igigi je v pohode hacker. Nerobi blbosti, ale odhaluje chyby a dava o tom vediet verejnosti. Co sa tyka Slovenskych internetovych portalov a dalsich servrov je to v bezpecnosti katastrofa. Staci si spomenut na post.sk a Cesku skupinu binary.division ktora si s tym velmi pekne pohrala ;o)

A kvuli tomu je potreba louskat vsechna hesla, aby se zjistilo zcela presne, ze 92% jich stoji za starou belu, namisto rozlousknuti treba sta nahodne vybranych? A vubec, kdyz nekdo dava svoje osobni udaje na kdejaky portal, namisto aby tam dal nezbytne minimum a zbytek si navymyslel, tak mu ty osobni udaje asi za mnoho nestoji.

Ludia su vseliaky a takymto sposobom je to ovela presnejsie, ako keby mal nahodne vybrat stovku ktora moze byt kludne cela sfanatizovna heslami ako „hKDE7i2&chbwe3#“ alebo cela primitivna ako „miso1“ a pod. Pride mi to uzitocne asi ako software ktory vo firme pouzivame na sledovanie aplikacii. Sleduje, skusa sa lognut do vsetkych aplikacii a ked sa mu nieco nepodari, tak hned posiela email tym ktory to supportuju. Z pohladu klienta to riadne zvysuje kvalitu aplikacii, pretoze na chyby nepride on, ale sledovaci software.

Blbe je ze mozem mat heslo aj „hKDE7i2&chbwe3#“, ale ked nietko lopne databazu tak je mi to naprd.

samozrejme to asi bude hashovane.

Jo, ale vy to delate pro bezpenost vasi site, coz ma smysl, ne pro bezpecnost nejakeho blbeho ciziho portalu, ktery vam muze byt ukradeny.

Oni totiz pouzivaju na hashovanie MD5. Tak iba zobrali a prehnali to databazou MD5tiek a 92% bolo hned desifrovanych. Len tak mimochodom napr. 58000 uctov malo heslo „000000“.
Naviac nepouzivaju ziadny „salt“ do hashu takze iba vyselektovali najcastejsie hashe a tie potom postupne prechadzali bazou takze neskusali ani vsetky ale mozno tak 40% vsetkych uctov nakolko hesla sa opakuju.
Co mna napr. prekvapilo ze 12000 uctov ma heslo monika pricom meno Monika nie je az take pouzivane.

Když je dokáže doopravdy lousknout, tak to má větší váhu, než kdyby řekl „dokázal bych je lousknout“.
Navíc to crackování může být jeho koníček, mě taky kdysi bavilo čučet dlouhé minutyy na výstup Johna Rippera. :-)

Ale aspon vieme kolko trva, kym niekto prelomi heslo „fckgwrhqq2yxrkt“. Nebyt to cast registracneho kodu na windows slo by o celkom slusne heslo…

Toto este viem naspamat, lebo to bolo cislo k tomu piratskemu winxp co bolo tyzden pred official releasom, fckgw-rhqq2-yxrkt-8tg6w-2b7q8 :o) ale za dobre heslo (teda ta tvoja verzia) sa to zdaleka povazovat neda, lebo tam chyba upper/lower case a symbol. Aj keby to s win nemalo nic spolocne, tak im uhadnutie zaberie o malo viac casu ako najdenenie „000000“.

ad síla hesla: dovolím si nesouhlasit. Uvažujeme-li pro jednoduchost zcela náhodná hesla, pak heslo používající všechny znaky na anglické klávesnici o délce 6 znaků odpovídá sílou heslu s malými písmeny a číslicemi o délce 8 znaků. 10 znaků odpovídá 13, 15 ⇒ 19, 20 ⇒ 25. Tedy dle mého názoru použití mixed case a symbolů je vhodná, nikoliv však nezbytná podmínka pro silné heslo, alespoň pokud se týká brute force útoků (neznám situaci kolem rainbow tables, abych mohl soudit).

Pro útok silou je délka (od určité, dost nízké meze) mnohem podstatnější než znaková sada, uhodnutí zmíněného hesla (15 znaků) silou by zabralo cca. 10¹⁵-krát delší čas než uhodnutí hesla „000000“…o sl­ovníkových útocích na heslo „00000“ nemluvě.

Kombinace upper/lower/di­git/symbol se nepoužívá jen k rozšíření rozsahu louskací abecedy, ale hlavně proto, aby hesla nebyla jednoduchá slovníková slova. Což toto splňuje a mimo to, že je to známý kód a možná v některých slovnících je, je to dobré heslo.

Jsem si na 99% jisty, ze fckgw jsem uz videl. Je mozne, ze se jedna o to same, nebo se ta prvni cast opakuje(zbytek si nepamatuju)?

kolko ? cca sekundu

ako uz bolo povedane hore, chyba salt. na toto ti stacia rainbow tabulky, ziadny velky cpu vykon.

Md5 Hash: 52df91dfb46ad­43e6987d16ef9cf0176
Normal Text: fckgwrhqq2yxrkt

Mně by to přišlo vcelku zábavné. Prostě fajn koníček. Taky jsem to dělal na jistém starobylém servru na MFF. Za vnesené spotřebiče platíme paušál, tak mi nedělalo problém pustit na svých 8352 na pár dní Johna Rozparovače.

Ono azet nedovoluje ine znaky ako pismena cisla a _ cize tie hesla mohol rychlo lusknut

Jedna lepšia úvaha či analýza:
http://blog.synopsi.com/…gigiho-cesta

je v tejto uvahe nieco zle?

heslo u klienta (za pomoci JS) poslat na server ako md5, kde do DB ulozit sha 1024 hash sha 512 hashu md5 hashu, kt. nam poslal klient. to by mohlo chvilku odolat, aj v pripade igigiho navstevy, nie?

… nieco zle?

Všechno. Zaprvé to nebude fungovat pro někoho, kdo nemá JS, zadruhé se tím nedosáhne větší bezpečnosti – slovníkovému útoku to neodolá stejně jako ten azet.

Prostě stejné bezpečnost, ale o to větší opruz.