Hlavní navigace

Názor k článku Neuniklo vám heslo nebo privátní klíč? Zjistíte to v databázích úniků od Vít Šesták - Psal jsem, že předpokládám z nějakého důvodu nedůvěru...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 12. 2018 15:44

    Vít Šesták

    Psal jsem, že předpokládám z nějakého důvodu nedůvěru – reagoval jsem na Vaše tvrzení ve stylu „a i kdyby to posílal v plaintextu“, což je scénář, ve kterém mu moc důvěry nepřisuzujete.

    > Pokud používám na více místech stejné heslo, to heslo už stejně nejspíš dávno uniklo a v HIBP dávno je, takže když by se ho Hunt dozvěděl přes web,

    Dost možná jen hash. A taky je to otázka množství, pravděpodobnosti atd.

    > Pokud je moje heslo unikátní a já si ho přes web HIBP ověřím (a ten web by si heslo ukládal), dozví se jenom to heslo a nic jiného (ano, IP adresu, UA atd.). V čem vidíte to riziko?

    Je to další heslo do slovníku. Podle dalšího profilování je určitá šance to spojit s konkrétním uživatelem. V nejjjednodušším případě TH (nebo někdo s ním spolčený) bude provozovat další službu, kde se registrujete, zadáte e-mail nebo něco podobného. To se mimochodem může stát i přímo v rámci HIBP, když tam zadáte e-mail a kontrolujete, jestli náhodou k němu není nějaký kopmpromitovaný účet. Separátní služba je ale méně nápadná.

    P.S.: Nemělo to znít, že bych TH vyloženě nevěřil. Jen jsem se zamyslel, co by znamenalo, kdyby…