Hlavní navigace

Názor k článku Neuniklo vám heslo nebo privátní klíč? Zjistíte to v databázích úniků od Vít Šesták - Ono jde o jakýsi kousek hashe, ze kterého...

  • Článek je starý, nové názory již nelze přidávat.
  • 19. 12. 2018 20:18

    Vít Šesták

    Ono jde o jakýsi kousek hashe, ze kterého nelze určit, co přesně to bylo za heslo, protože na tak malém kousku je dost prostoru pro kolize. Je to jen takový kompromis mezi posláním celého hashe (případně hesla v plaintextu) a stahováním celé databáze, která je mimochodem také k dispozici.

    K entropii: Ano, dá se různě odhadovat, ale není to až tak triviální problém. Je heslo 47ET6GECDFKWHT47A­YIJQWKWKI====== bezpečné? Teď už ne, protože jsem jej postnul veřejně. Jakou má entropii:

    * Před publikováním mělo entropii 128 bitů, protože jsem jej vytvořil pomocí head -c16 /dev/random | base32.
    * Pro toho, kdo nevěděl, jak jsem to heslo využil, mělo ještě větší entropii.
    * Pro mě a pro ty, kdo četli tento příspěvek, má to heslo nízkou entropii.

    Prakticky jsem už četl o případu, kdy bylo cracknuté „podobné“ heslo, protože jej někdo využil z nějaké přednášky. Taky různý 1337 $p3€ch se může někdy na malém vzorku jevit jako heslo s vyšší entropií než má ve skutečnosti. A sebelepší heslo má malou entropii, pokud unikne z jiné služby.

    Přijde mi to tedy jako pěkný doplněk dalších mechanismů kontroly síly hesla.