Vlákno názorů k článku
Únik dat z portálu můjRozhlas zasáhl všech 150 000 uživatelů od jdobry - "Hesla unikla v nečitelné podobě a existuje jen...

"Hesla unikla v nečitelné podobě a existuje jen malá pravděpodobnost jejich dalšího zneužití s ohledem na použití bezpečného algoritmu, "
Ale prd, pravdepodobnost zneuziti hesel je vysoka i kdyz ne kvuli CRo, ale uzivatelum.
Vsadim se, ze kdyz se provede naprosto primitivni test pouziti nejake databaze 1M nejcastejsich hesel, tak se najde v tom mnozstvi dost lidi co takove heslo budou mit. A co hur, budou ho mit na vice mistech.
A BCrypt na tom nic nemeni. Zkusit 1M hesel na 150k uctu je naprosto proveditelny utok.

Záleží, jak byl ten bcrypt použit. Pokud tam byl jiný než výchozí počet cyklů, musel byste nejprve uhádnout ten. A pokud by se k soli přidal ještě pepř (hodnota uložená mimo databázi), máte s hádáním smůlu.

Mene komplexni hesla zas tolik prace nedaji ani hrubou silou. A s HW tam popsanym (164 GH/s) v kombinaci s tim 1M slovnikem to casu opravdu zas tolik nezabere. Pocet cyklu (cost) je navic taky znama vec, je primo obsazen v te hashi... o hybridnich utocich v odkazu ostatne pojednavaji take.

Ten článek je nějaký zmatený. RTX 4090 určitě nemá v bcryptu 164 GH/s. Autor si to musel poplést s nějakou naivní funkcí -- tohle je rychlost RTX 4090 pro „rychlé“ funkce jako MD5 a SHA1. V bcryptu má 200 kH/s (32 iterací, což je asi default).

Když bude mít útočník v té databázi i svůj účet, může v prvním kroku bruteforcovat ty skryté parametry a pak už jít najisto.

Dostatečně velký pepř nezjistíte hrubou silou. A počet iterací není potřeba zjišťovat, jak psal Danny – trochu nepochopitelně je uložen jako součást hashe. (Dá se to použít pro postupné zvyšování počtu iterací v čase, ale pak by bylo logické mít oddělenou ověřovací funkci, která si počet iterací načte z hashe a nebude ho chtít na vstupu).

To je pravda. Znalost vysledku napomaha reseni.

Právě přes tuhle nepravděpodobnou možnost zneužití hesel, vyzývají v informačním sdělení, rozeslaným všem dotčeným uživatelům:
Pokud stejné, nebo podobné heslo používáte i pro další internetové služby (například vaše e-mailová schránka), důrazně doporučujeme změnit si heslo i v těchto službách.

Viz celé znění zprávy.

To je sice pekne ale spravne by to malo byt:
Pokud stejné, nebo podobné heslo používáte i pro další internetové služby tak to by ste NIKDY nemali.
Nezavisle od toho ci niekoho napadli.

Víte co, šedá je teorie, věčně zelený je strom života. V praxi je poměrně netriviální toho dosáhnout i pro poučeného uživatele natož běžného Frantu.