Comments 68
Хеши в DES… Феерический идиотизм…
Идиотизм не в том, что они в DES, а в том что на ТАКИХ сайтах они в DES :)
да нет, идиотизм в том, что DES — алгоритм шифрования, а не хеширования…
DES вполне применяем для хеширования. Другое дело, что уже лет пятнадцать-двадцать, как простой DES не считается криптостойким к прямому перебору — слишком быстро отрабатывает функция на современно технике.
Но применительно к чисто чистовому паролю, наподобие упомянутого тут — никакой алгоритм шифрования или хеширования не спасает от лени юзера.
Но применительно к чисто чистовому паролю, наподобие упомянутого тут — никакой алгоритм шифрования или хеширования не спасает от лени юзера.
ммм. а можно пруф насчет хеширования десом? возможно есть хеш-функции на его основе, но в чистом виде одно из требований к хеш-функции, а именно не зависимость длинны результата от длинны сообщения, не выполняется.
угу, непонятно, чем им не угодил тот же засоленный SHA1
UFO just landed and posted this here
Конфликты конфликтами, а всё-таки ломать нехорошо.
Является ли взломом проникновение через технологическое отверстие?
+1, если есть дыры, то почему бы их не поюзать?
Т.е. если вы шли, увидели дом, открытую дверь, зашли, в открытом ящике стола увидели деньги, взяли их то потом в участке будете рассказывать что нашли клад и хотели получить свои 25%?
А как еще можно без спросу проникнуть на сайт, как не использовав дыру в системе?
я считаю, что да. вы можете украсть в магазины Сникерс, засунув его себе в рукав. камеры и охрана скорее всего не заметят (так утверждает знакомый, баловавшийся в детстве). является ли это дырой? и хорошо ли так делать?
А если бы они сломали сайт, а потом тихо сообщили бы администрации об уязвимости — это тоже по-вашему нехорошо? Ну-ну…
Тот самый архив goo.gl/s8MQR
UFO just landed and posted this here
с торрентов качается
Кстати, пароли тупые аля qwerty, и их очень много.
У меня много подобных паролей. Поясняю почему. Бывает немало случаев, когда я ищу какую-то программу, а она находится только на каком-то сайте, где нужна рега. Но кроме этой программы, мне не нужно на этом сайте ничего. Т.о., вбиваем простой пароль, быстро подтверждаем регистрацию с помощью мыла с таким же дебильным паролем, скачиваем. Далее забываем и о сайте, и о мыле, потому что туда сыплется спам
Как Вам такой подход?
Как Вам такой подход?
подход не очень.
я пользуюсь lastpass или подобным сабжем к каждому сайту 20+ рандомных символов.
мыло gmail, также для реги в gmail можно добавлять префиксы то есть если мыло habr@gmail.com можно получать письма и на mail.habr@gmail.com или любой вам понравившийся префикс.
я пользуюсь lastpass или подобным сабжем к каждому сайту 20+ рандомных символов.
мыло gmail, также для реги в gmail можно добавлять префиксы то есть если мыло habr@gmail.com можно получать письма и на mail.habr@gmail.com или любой вам понравившийся префикс.
при чем я использую одноразовую почту на mailinator.com в таких случаях.
регистрироваться на сайте не надо. просто вводишь имя ящика — и смотришь письма на нем. )
регистрироваться на сайте не надо. просто вводишь имя ящика — и смотришь письма на нем. )
на будущее
bugmenot.com
bugmenot.com
Используй логин qweqwe и пароль qweqwe или qweqwe1. На многих сайтах такие юзеры уже есть
Только с Бухты. Остальные торренты живы.
Будет жить до последнего сида ;)
перефразируя Булгакова: «разруха не в сайтай, а в головах...»
«Gawker Media — гавкнем в медию ваши логины!»
«будет использовать такой „надежный“ пароль, как '24862486,'?»
что же значат эти цифры?.. вес-рост-возраст не подходит… пошел думать =)
что же значат эти цифры?.. вес-рост-возраст не подходит… пошел думать =)
24 августа родился. А 86 непонятно. Может в этом году он этот пароль придумал =)
24 — это день рождения. 86 — ?
Гляньте на расположение клавиш с этими цифрами на numpad'e.
Только цифры
2 4 8 16 32 64 128 256
да это просто два круга на нумпаде по часовой стрелке
во-первых 2486 повторяется 2 раза
во-вторых это ромб на нампаде, удобно набирать :)
во-вторых это ромб на нампаде, удобно набирать :)
«квадрат» по часовой стрелке на цифровой клавиатуре, два раза
крестик, кружочек или цветочек (не знаю, кому как нравится) на калькуляторе клавиатуры, 2 оборота по часовой стрелке
может, серийный номер его доски для сноуборда))
Да ничего они не значат, просто набирать удобно — цифры по кругу.
наверное, просто заикается человек… поэтому два раза 2486 2486
С одной стороны — хочется сказать спасибо хакерам за то, что они устраивают нам тут естественный отбор и тренируют систему безопасности. И хочется сказать, что авторы взломанного сервиса сами виноваты, что хранили всё в открытом виде и в легко доступном месте.
Но я сам в своё время попадал в похожую ситуацию, когда из моего проекта увели данные с паролями ~32 000 пользователей. Хочу выразить сочувствие и понимаю, какая это ответственность и головная боль перед аудиторией сервиса, и насколько это бьет по репутации сервиса.
Так что коллеги-стартаперы, ханите пароли засемью256-битными печатями и в хороших сундуках. Чем вы становитесь популярнее — тем чаще вас начинают пробовать на прочность.
Но я сам в своё время попадал в похожую ситуацию, когда из моего проекта увели данные с паролями ~32 000 пользователей. Хочу выразить сочувствие и понимаю, какая это ответственность и головная боль перед аудиторией сервиса, и насколько это бьет по репутации сервиса.
Так что коллеги-стартаперы, ханите пароли за
Объясните мне пожалуйста вот на какой такой интересно случай хранить пароли пользователей в незашифрованном виде? В базе должен хранить только хэш и ни как иначе.
Теперь-то я с вами согласен :)
«Военные лучше всего готовы к уже прошедшей войне»
«Военные лучше всего готовы к уже прошедшей войне»
Так там и так хеш был.
DES
56 бит
Мой пароль (13 символов с верхним регистром и пробелами) в таком хеше, стянутый с /etc/passwd фрибсдшного сервера, ломали прямым перебором на средненьком сервере ещё в году этак 98-м. Две недели ломали, правда, но мощности с тех пор выросли несоизмеримо.
Потому я и говорю, что использование DES хешей паролей в наше время — идиотизм категорический. И может иметь только одно разумное обоснование — владельцы ресурса и сами были не прочь получить доступ к паролям пользователей.
DES
56 бит
Мой пароль (13 символов с верхним регистром и пробелами) в таком хеше, стянутый с /etc/passwd фрибсдшного сервера, ломали прямым перебором на средненьком сервере ещё в году этак 98-м. Две недели ломали, правда, но мощности с тех пор выросли несоизмеримо.
Потому я и говорю, что использование DES хешей паролей в наше время — идиотизм категорический. И может иметь только одно разумное обоснование — владельцы ресурса и сами были не прочь получить доступ к паролям пользователей.
А у меня там логин через Facebook был, и моего пароля в базе данных просто нет.
На самом деле Анонимус пытается научить нас использовать OpenID
Не плохо, не плохо.
Лайфхакер старательно удаляет отрицательные отзывы о той фигне, которую рекламирует.
Так что туда им и дорога.
Так что туда им и дорога.
Sign up to leave a comment.
Тотальный взлом Gawker Media: украдено 1.5 млн аккаунтов