Názory k článku
Ze serveru Vareni.cz unikla uživatelská data, server 7 dní mlčel
-
To je vám taková zapeklitá otázka. Vezměme si tenhle jeho příspěvek:
1. Má pravdu, že SHA-1 není na hesla moc dobrá. Bez soli je to prakticky plaintext, se solí to sice ještě obstojí, ale bylo by dobré to změnit. HW stále nestačí na to, aby někdo vylouskal v dohledné době desítky tisíc uniklých hashů, ale na pár hesel by už stačit mohl.
2. Odkazované informace o kolizích jsou také pravdivé. Zveřejněné a popsané skutečnými odborníky.Potud dobré. Jediné, co trochu znalého člověka zarazí je to, proč uvádí tyhle dvě věci? Ony spolu totiž nesouvisí. Bod 1 je o tom, jak snadné je podle hashe a soli uhodnout heslo. Bod 2 je o tom, jak snadné je vytvořit dva bloky dat, které budou mít různý obsah, ale hash bude stejný. Kolizní funkce vám s bodem 1 nepomohou, jejich (ne)existence na bod 1 nemá vliv.
Nechci generalizovat, protože jinou práci pana Špačka moc neznám. Jen si chci postesknout, že podobných článků a zpráv je v posledních letech stále více - sice dobře ozdrojovaných, ale nesouvisejícími věcmi. Skoro mám až pocit, že už ty texty generuje nějaká AI která bez pochopení obsahu jen remixuje potvrzené informace podle klíčových slov. "SHA-1 near hledat" jako "SHA-1 near hledat", nebo ne?
-
Pivotal (neregistrovaný)
Akorát nějak se z celé aféry vypařilo, jak data byly vyčteny a co přečetl, řekl bych že u podobných úniků si dotyčný vyčte co všechno půjde, takže co třeba i další údaje k daným účtům...
Zajímalo by mě to, jak je to s tou děravostí SHA1, když je použitá sůl. Jestli to není jen přehánění. Technicky data byla uložená s hashem a solí, ale otážka je nakolik to SHA1 táhne ke dnu.
Mimochodem neexistuje ještě nějaký další trik nebo koncept, který by podobné úniky učil nepoužitelnými (neodhadnutelné heslo, více kryptografických funkcí, pravidelné přehashování)? Například nějak drobnost v reprezentaci dat...
-
Vice lidi tady zminuje sul. Bohuzel pridanim soli do procesu se vubec nic neresi, pouze se znemozni primemu rozlousknuti z rainbow tables. Stale je to ta sama hardwarove akcelerovana funkce kterou si muzete za par korun spustit na farme stroju v cloudu a vylouskat z toho milion hesel za noc.
Spravne reseni je pouze jedno. Pouzit hashovaci funkci primo urcenou k ukladani hesel. Jedna takova nejpouzivanejsi se jmenuje bcrypt.
Ocenuji praci Michala i pres ty ustepacne poznamky lidi co jsou bud nekompetentni, nebo vareni.cz fans. Je potreba o tom mluvit a tim ze se to dostane do medii si o tom precte treba nejaky jiny programator nebo programatorka a nasadi bcrypt.
13. 6. 2019, 08:12 editováno autorem komentáře
ČLÁNKY DO MAILU