Vlákno názorů k článku
Z českého herního obchodu Xzone uniklo 108 000 účtů i s hesly
od qwertz - zmínit MD5 a šifrování v jedné větě je...
-
Peter FodrekZlatý podporovatelAle keď porovnávame hash, tak vo výstupe nemusí byť Vaše heslo ale len heslo s rovnakým hashom a je to zlé. a inverzná funkcia k hashovacej funkcií na obmedzenom intervale existuje (podobne ako pri periodických funkciách). Len pri inverznej hashovacej funkcii sa debilne určuje obor hodnôt- teda definičný obor hashovacej funkcie tak, aby existovala inverzná funkcia
-
atarist (neregistrovaný)
ano jiste, takze pokud nepouzili sul, tak je hacknuty a zverejneny list zneuzitelny i na dalsich webech, kde ma uzivatel stejne heslo a taky nesoli. Pokud aspon jedna z techto podminek neni splnena (a v idealnim pripade by byt splnena nemela), tak je to stale jen seznam pouzitelny pro tu jedinou sluzbu Xzone.
-
Ondra Satai NekolaZlatý podporovatelNe.
I pokud soli, tak ze z MD5 da velmi casto dostat heslo. (Technicky vzato to muze byt jine heslo kvuli kolizim, ale prakticky vzato to nebude zas takovy problem, protoze ty metody najdou pouzite heslo kapitanpejsek driv nez koliduji chrchel).
-
atarist (neregistrovaný)
Muzes to prosim napsat podrobneji, to tema me zajima. Rekneme ze mam 16bit sul, takze to chapu tak, ze utocnik bude muset namisto jedne rainbow tabulky (rekneme 1TB) stahnout 65536 tabulek? Nebo to myslis jako utok na jedno jedine heslo v celem tom seznamu? To potom muze skutecne vyzkouset hrubou silu...a slovnik samozrejme.
-
Ondra Satai NekolaZlatý podporovatel
Sul je vetsinou znama, kdyz jsi neco prokopnul, jako bylo Xzone prokople.
A i kdyby ne, tak se k ni u MD5 dostanes pres jedno zname heslo (zalozit si na serveru ucet pred utokem je to nejmensi) a jeho hash hrubou silou. Nebo to mas pro sve zname heslo predpocitane.
A samozrejme, ze kdyz te zajima konkretni ucet, tak mas moznosti docela dost, pokud neni dotycny dost velky paranoik s neslovnikovym (nikoli "ne slovo" ale "ne kombinace slov a malych uprav") heslem. Ale u nej by se stejne dala cekat unikatni hesla.
-
Mira B. (neregistrovaný)
Sul je pro kazdy zaznam generovana nahodne (a ukladana spolu s hashem). Tomu spolecnemu retezci se prezdiva 'pepper' a ke samozrejme nedostatecny -- polud by dva uzivatele meli stejne heslo, meli by i tak stejne hashe. A na to uz se daji pouzit statisticke metody (nejcastejsi hesla vs nejcastejsi hashe).
-
atarist (neregistrovaný)
No ja chapu a predpokladam, ze sul bude utocnik znat, ale jak mu to pomuze? Vem si treba standardni crypt(3), ten krasne prida ke kazdemu hashi sul, takze ji kazdy, kdo ukradne /etc/shadow (driv jeste jednoduseji kdo precte /etc/passwor) ma k dispozici. Nezbude mu tedy - pokud to chapu dobre - si stahnout nebo vygenerovat rainbow tables pro kazdou sul zvlast ze? Popr. jit na to hrubou silou heslo po heslu, coz je porad o mnoho radu slozitejsi, nez mit jednu rainbow table na neosolene MD5 hashe.
-
Ondra Satai NekolaZlatý podporovatel
Vzhledem k tomu, jak rychle se daji pocitat MD5ky tabulky nepotrebujes.
(u /etc/shadow se presne z tohohle duvodu uz nejakou dobu nepouziva MD5ka na zadnem rozumnem systemu. Pokud se nepletu, tak trebas na Archu je to SHA-512 s 5k iteracemi)
