Pull to refresh

Comments 68

Хеши в DES… Феерический идиотизм…
Идиотизм не в том, что они в DES, а в том что на ТАКИХ сайтах они в DES :)
да нет, идиотизм в том, что DES — алгоритм шифрования, а не хеширования…
DES вполне применяем для хеширования. Другое дело, что уже лет пятнадцать-двадцать, как простой DES не считается криптостойким к прямому перебору — слишком быстро отрабатывает функция на современно технике.

Но применительно к чисто чистовому паролю, наподобие упомянутого тут — никакой алгоритм шифрования или хеширования не спасает от лени юзера.
ммм. а можно пруф насчет хеширования десом? возможно есть хеш-функции на его основе, но в чистом виде одно из требований к хеш-функции, а именно не зависимость длинны результата от длинны сообщения, не выполняется.
Набираем в гугле:
хеширование DES
и получаем несколько ссылок.

В частности в FreeBSD он какое-то время использовался для хеширования системной /etc/passwd, что меня лично когда-то давно стукнуло и почему меня и не смутило упоминание симметричного алгоритма в контексте хешей.
угу, непонятно, чем им не угодил тот же засоленный SHA1
UFO landed and left these words here
Конфликты конфликтами, а всё-таки ломать нехорошо.
Является ли взломом проникновение через технологическое отверстие?
+1, если есть дыры, то почему бы их не поюзать?
«Всемирная история. Происхождение анального и орального секса.»
Т.е. если вы шли, увидели дом, открытую дверь, зашли, в открытом ящике стола увидели деньги, взяли их то потом в участке будете рассказывать что нашли клад и хотели получить свои 25%?
Отличайте кражу от кражи со взломом :) Взлом — отягчающее обстоятельство.
А как еще можно без спросу проникнуть на сайт, как не использовав дыру в системе?
Пресловутая социальная инженерия, хотя классово это все та же дыра, да ;)
А, ну да…
Но социальная инженерия — это дыры в голове у людей. А люди — это часть системы :)
я считаю, что да. вы можете украсть в магазины Сникерс, засунув его себе в рукав. камеры и охрана скорее всего не заметят (так утверждает знакомый, баловавшийся в детстве). является ли это дырой? и хорошо ли так делать?
А если бы они сломали сайт, а потом тихо сообщили бы администрации об уязвимости — это тоже по-вашему нехорошо? Ну-ну…
А вы за меня не додмывайте.
UFO landed and left these words here
Кстати, пароли тупые аля qwerty, и их очень много.
У меня много подобных паролей. Поясняю почему. Бывает немало случаев, когда я ищу какую-то программу, а она находится только на каком-то сайте, где нужна рега. Но кроме этой программы, мне не нужно на этом сайте ничего. Т.о., вбиваем простой пароль, быстро подтверждаем регистрацию с помощью мыла с таким же дебильным паролем, скачиваем. Далее забываем и о сайте, и о мыле, потому что туда сыплется спам

Как Вам такой подход?
подход не очень.
я пользуюсь lastpass или подобным сабжем к каждому сайту 20+ рандомных символов.
мыло gmail, также для реги в gmail можно добавлять префиксы то есть если мыло habr@gmail.com можно получать письма и на mail.habr@gmail.com или любой вам понравившийся префикс.
А где эти префиксы прописывать надо? В настройках не нашел.
вот, посмотрите ниже! мне кажется, вариант ниже еще лучше)

а насчет префиксов забыл уже давно как-то, благодарствую))
при чем я использую одноразовую почту на mailinator.com в таких случаях.
регистрироваться на сайте не надо. просто вводишь имя ящика — и смотришь письма на нем. )
спасибо, запомню этот сайт))
спасибо, забаню этот сайт у себя.
Используй логин qweqwe и пароль qweqwe или qweqwe1. На многих сайтах такие юзеры уже есть
Если такой юзер уже есть, не придется регистрироваться
Если такого юзера нет, зарегистрируешь и следующему не придется регистрироваться
Будет жить до последнего сида ;)
перефразируя Булгакова: «разруха не в сайтай, а в головах...»
«Gawker Media — гавкнем в медию ваши логины!»
«будет использовать такой „надежный“ пароль, как '24862486,'?»
что же значат эти цифры?.. вес-рост-возраст не подходит… пошел думать =)
24 августа родился. А 86 непонятно. Может в этом году он этот пароль придумал =)
может 24 — 8(августа) — 64 года он родился? )
Не,
он наверное 24862486-й в рейтинге хабралюдей
24 — это день рождения. 86 — ?
Гляньте на расположение клавиш с этими цифрами на numpad'e.
2 4 8 16 32 64 128 256
да это просто два круга на нумпаде по часовой стрелке
во-первых 2486 повторяется 2 раза
во-вторых это ромб на нампаде, удобно набирать :)
«квадрат» по часовой стрелке на цифровой клавиатуре, два раза
крестик, кружочек или цветочек (не знаю, кому как нравится) на калькуляторе клавиатуры, 2 оборота по часовой стрелке
может, серийный номер его доски для сноуборда))
Комментарии не читай, а сразу отвечай!
Да ничего они не значат, просто набирать удобно — цифры по кругу.
наверное, просто заикается человек… поэтому два раза 2486 2486
Для секурности, «спецсимвол» же. Или как финальный аккорд идиотизма :)
тож на нумпаде)
хотя там точка… но может быть на каких-то раскладках — это запятая
С одной стороны — хочется сказать спасибо хакерам за то, что они устраивают нам тут естественный отбор и тренируют систему безопасности. И хочется сказать, что авторы взломанного сервиса сами виноваты, что хранили всё в открытом виде и в легко доступном месте.
Но я сам в своё время попадал в похожую ситуацию, когда из моего проекта увели данные с паролями ~32 000 пользователей. Хочу выразить сочувствие и понимаю, какая это ответственность и головная боль перед аудиторией сервиса, и насколько это бьет по репутации сервиса.

Так что коллеги-стартаперы, ханите пароли за семью256-битными печатями и в хороших сундуках. Чем вы становитесь популярнее — тем чаще вас начинают пробовать на прочность.
Объясните мне пожалуйста вот на какой такой интересно случай хранить пароли пользователей в незашифрованном виде? В базе должен хранить только хэш и ни как иначе.
Теперь-то я с вами согласен :)
«Военные лучше всего готовы к уже прошедшей войне»
Так там и так хеш был.
DES
56 бит
Мой пароль (13 символов с верхним регистром и пробелами) в таком хеше, стянутый с /etc/passwd фрибсдшного сервера, ломали прямым перебором на средненьком сервере ещё в году этак 98-м. Две недели ломали, правда, но мощности с тех пор выросли несоизмеримо.

Потому я и говорю, что использование DES хешей паролей в наше время — идиотизм категорический. И может иметь только одно разумное обоснование — владельцы ресурса и сами были не прочь получить доступ к паролям пользователей.
А у меня там логин через Facebook был, и моего пароля в базе данных просто нет.
На самом деле Анонимус пытается научить нас использовать OpenID
Лайфхакер старательно удаляет отрицательные отзывы о той фигне, которую рекламирует.
Так что туда им и дорога.
Only those users with full accounts are able to leave comments. Log in, please.