Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wyciekło 100 milionów unikalnych e-maili. Do tego telefony, adresy, hasła w plaintext
Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie:
New breach: Invitations website Evite had 101M unique email addresses breached this year from a 2013 archive (most were invite recipients). Members also had names, phones, DoBs & plain text passwords exposed. 65% were already in @haveibeenpwned. Read more: https://t.co/yALSBbZxfS
— Have I Been Pwned (@haveibeenpwned) July 14, 2019
W „normalnej” sytuacji – tj. hasła przechowywane w bazie za pomocą stosownej funkcji jednokierunkowej – proste przypadki tak czy siak da się odzyskać (złamać). Prędkość zależy od algorytmu – np. w przypadku windowsowego hasha NTLM prędkość łamania może wynieść aż 100 miliardów prób na sekundę na jednym GPU; dla haseł z morele.net prędkość łamania na jednym GPU to już rząd wielkości kilku milionów prób na sekundę.
W opisywanym przypadku w oczywisty sposób można poznać teoretycznie niełamalne hasła, co daje dwa ciekawe efekty:
- relatywnie łatwy dostęp do kont w innych serwisach (atakujący mają zarówno email jak i hasło)
- poznanie potencjalnych nowych sposobów / reguł, na których opierają się ludzie tworząc swoje hasła
W jaki sposób bezpiecznie przechowywać hasła? TLDR: użyj bcrypt() lub pbkdf2(). Ale w sensowny sposób.
–ms
*TLDR: użyj argon2
powiedzcie dobrodzieje, gdzie to pobrać?
Przyłączam się do pytania.
Mniej bardziej ciekawi prędkość łamania sha256 z solą ?