Vlákno názorů k článku
GitHub vyzval část uživatelů ke změně hesla, omylem si některá uložil
od P K - No, docela frajeři narozdíl od Facebooku, který vypotil...
-
Motyq (neregistrovaný)
Co je na tom divného? Existují hashovací funkce, které se přesně na toto dají využít - myšleno na zjišťování podobnosti, bez nutnosti exposnout zdrojovy cleartext. Neříkám, že to fcbk použil, ale už jsem to párkrát viděl v akci. Takže jestli tím narážíte na to, že fcbk ukládá někde hesla v plaintextu, aby zjistil podobnosti, tak se Vaše úvaha nemusí zakládat na skutečnosti
-
Karel (neregistrovaný)
Ne, takové hashovací funkce neexistují. Požadavek na hashovací funkce je, aby změna byť jediného bitu na vstupu způsobila velkou změnu hashe. Podobnost vstupu se tudíž podle podobnosti hashe odhadnout nedá. On by to byl docela vážný problém, kdyby ano, protože byste pak mohl poměrně rychle heslo z hashe uhodnout. Požadavek "nepoznat, zda jsem blízko" je jedním z těch základních.
-
Filip JirsákStříbrný podporovatelTakové hashovací funkce existují. Požadavek na náhodnost rozložení výstupu platí pro kryptografické hashovací funkce, ale ne obecně pro hashovací funkce. Hashovací funkce s podobným výstupem je slabší, než kryptografická hashovací funkce, ale to ještě neznamená, že půjde heslo snadno uhodnout – pořád musíte trefit nějaké podobné heslo, a teprve od něj se můžete dostat k tomu správnému. Ale pokud provozovatel dostává heslo v otevřeném tvaru, je nějaké následné hashování stejně jenom taková hra, takže je to skoro jedno, jaká hashovací funkce se tam použije. Jinak zrovna u Facebooku bych za nejrozumnější považoval, pokud mají uložený kryptografický hash hesla pro běžné přihlašování a vedle toho i zašifrovaná hesla, přičemž klíč by měli uložen off-line. Pak klidně mohou dělat (ne realtime) analýzu podobnosti hesel – případně ty podobnostní hashe mohou mít rovnou uložené v nějaké oddělené síti.
-
P K (neregistrovaný)
S jejich šmírovacími algoritmy bych měl strach mít stejné heslo k nim a do pošty. Neexistují žádná data, která by tahle společnost nedokázala zneužít.
A upřímně, ta chybová hláška opravdu zněla tak, jak jsem napsal - heslo bylo podobné. Nechápu, proč s tím otravují uživatele, je přece jeho problém, že použije nějaké profláknuté heslo. Asi jim marketing neřekl, že je to sice fakticky správně, ale že se tím odkopávají.
ČLÁNKY DO MAILU