Vlákno názorů k článku
Mall.cz musí odškodnit uživatele za únik hesla, rozhodl soud od kotelgg - Tak oni nezískali nutně hesla uživatelů, ale jen...

Tak oni nezískali nutně hesla uživatelů, ale jen řetězce, které mají shodný hash, tzn. na jiné stránce, kde by ho chtěli použít, už fungovat nemusí, protože je použito jiné hashování.

To je _velmi_ nepravděpodobné.

Je teda fakt, že je pravděpodobnější, že měl uživatel heslo 123456 než d56gfd56ds54!­6f298ds5sd5dsfdsf5656132­1, ale je třeba to podotknout :D
A jen heslo asi taky neuniklo.

Na použité hašovací funkci dalšího webu nezáleží. Pokud se mi podaří zjistit hrubou silou původní heslo, prostě ho při přihlašování na jiném webu zadám do přihlašovacího formuláře. Je mi jedno, co s ním pak další web udělá a jak ho bude před porovnáním hašovat. Pokud uživatel použil stejné heslo na obou webech, jsem za něj na tom druhém přihlášený.

Predpokladam, ze narazel na moznost kolizi? Jinak by to nedavalo vubec smysl.

> Tak oni nezískali nutně hesla uživatelů, ale jen řetězce, které mají shodný hash, tzn. na jiné stránce, kde by ho chtěli použít, už fungovat nemusí, protože je použito jiné hashování.

Řetězců, které mají schodný hash a zároveň jsou kratší než třeba 50 znaků bude s použitím rozumného výpočetního výkonu relativně málo, nehledě na to že se většinou používají rainbow tables. Většina z toho co tam jde vidět jsou navíc očividně přímo hesla uživatelů. Hesla jako storm77, eliska123, kiki18, mi*sa, 123martinek, qwer789 a tak dál.