Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyciekło 100 milionów unikalnych e-maili. Do tego telefony, adresy, hasła w plaintext

14 lipca 2019, 21:18 | W biegu | komentarze 4

Dawno nie słyszeliśmy o dużym wycieku. Oto on. Troy Hunt pisze o bazie serwisu Evite z 2013 roku, która zawierała sporo danych osobowych uzupełnionych hasłami użytkowników w zupełnie jawnej formie:

W „normalnej” sytuacji – tj. hasła przechowywane w bazie za pomocą stosownej funkcji jednokierunkowej – proste przypadki tak czy siak da się odzyskać (złamać). Prędkość zależy od algorytmu – np. w przypadku windowsowego hasha NTLM prędkość łamania może wynieść aż 100 miliardów prób na sekundę na jednym GPU; dla haseł z morele.net prędkość łamania na jednym GPU to już rząd wielkości kilku milionów prób na sekundę.

W opisywanym przypadku w oczywisty sposób można poznać teoretycznie niełamalne hasła, co daje dwa ciekawe efekty:

  • relatywnie łatwy dostęp do kont w innych serwisach (atakujący mają zarówno email jak i hasło)
  • poznanie potencjalnych nowych sposobów / reguł, na których opierają się ludzie tworząc swoje hasła

W jaki sposób bezpiecznie przechowywać hasła? TLDR: użyj bcrypt() lub pbkdf2(). Ale w sensowny sposób.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. k9no

    *TLDR: użyj argon2

    Odpowiedz
  2. korniszonek

    powiedzcie dobrodzieje, gdzie to pobrać?

    Odpowiedz
    • trololol

      Przyłączam się do pytania.

      Odpowiedz
  3. Bartek

    Mniej bardziej ciekawi prędkość łamania sha256 z solą ?

    Odpowiedz

Odpowiedz