Vlákno názorů k článku
Mall.cz musí odškodnit uživatele za únik hesla, rozhodl soud od Jan Hrach - > Součástí byla i hesla, která byla sice...

> Součástí byla i hesla, která byla sice zahašovaná, ale velmi slabými funkcemi MD5 či SHA-1. Michal Špaček tehdy dokázal, že se jich dá polovina prolomit přibližně za hodinu a za 12 hodin pak lze hrubou silou získat téměř všechna.

Já měl za to, že:
1) unikly hashe
2) někdo je vycrackoval
3) někdo dal ty co se mu podařilo vycrackovat na internet
4) Michal Špaček toto stáhl, znovu zahashoval a zkusil znovu cracknout
5) Nepřekvapivě se mu podařila cracknout téměř všechna (byla to ta již jednou cracknutá, tedy nejspíš slabá)

O tom, kolik hesel zůstalo v bodě 2 necracknutých, nikdo neví. Samozřejmě pokud tedy pan Špaček nemá ještě nějaký jiný zdroj o kterém se neví.

A jinak opět by mi přišlo k smíchu, kdyby to nebyla realita, že někdo 40 let po vynálezu asymetrické kryptografie řeší nějaké úniky hesel.

Soubor, který jsem kdysi z uložta stáhl já (než ho smazali) bylo CSV ve formátu: Email, Heslo, Jméno, Příjmení, Telefonní číslo. Soubor má 776423 řádek.

Rozhodně mi přijde divné, jak se pořád mluví jen o úniku hesel, když unikly i další osobní údaje, podle kterých jde krásně párovat emaily k telefonům a jménům, což je samo o sobě na pěst a mall by si zasloužil žalobu za tohle zvlášť. Samozřejmě nehledě na to, co uniklo dál, co v tom souboru nebylo. Osobně bych čekal, že si hacker stáhl prostě celou databázi, kde toho nejspíš bylo podstatně víc (například adresy, objednávky, čísla účtů a tak dál), ale to je z mé strany spekulace.

"někdo 40 let po vynálezu asymetrické kryptografie řeší nějaké úniky hesel"
Přihlašování do e-shopu certifikátem? Takhle se nepřhlašuji ani do banky. Snad už jen KB má tuhle podivnost.

Ne, KB ji s velkou slávou zrušila.

Ano, třeba. Samozřejmě ne tak příšerně jak je to dneska implementované v prohlížečích. Já nevidím důvod proč se musí posílat heslo formulářem a ne podepsaná challenge (pokud jó nechceš mít klíč někde fyzicky, tak může být odvozený on-demand z master hesla osoleného doménou té stránky aby byl pokaždé jiný).

Tohle nás mimochodem učili na informačních technologiích už někdy v roce 2009. Myslím že dokonce byl součástí domácí úkol, kde to všichni měli implementovat.