Власти США требуют у крупнейших интернет-компаний раскрыть пароли пользователей

    День безудержного веселья продолжается!

    image

    CNet со ссылкой на свои источники в индустрии сообщает, что власти США затребовали у крупнейших интернет-компаний страны все пароли пользователей, а также информацию о непосредственно процессе шифрования паролей — например, подробности алгоритма засолки, а также сами хэш-соли.

    Пресс-секретарь Microsoft отказался напрямую говорить, получали ли они запрос на выдачу этой информации, но на прямой вопрос о том, раскроет ли MS пароли, соли, или подробности процесса шифрования пароля, ответил: «Нет, и я не могу себе представить обстоятельств, в которых мы бы сделали это». Один из источников CNet заявил, что своими глазами видел факсимиле запроса, и что они «отказались» [его выполнять] («We push back»).

    Google и Yahoo поступили схожим образом, и отказались подтвердить или опровергнуть факт получения подобных требований. Apple, AOL, Facebook и ряд других компаний не стали комментировать ситуацию в принципе.

    Ссылки на тему:
    news.cnet.com/8301-13578_3-57595529-38/feds-tell-web-firms-to-turn-over-user-account-passwords
    lenta.ru/news/2013/07/26/passwords
    Поделиться публикацией
    Комментарии 156
      +25
      Их скандал с PRISM разве ничему не научил?
        +21
        Сейчас там большая паника царит, на самом деле, на днях голосование в Конгрессе было по поводу того, чтобы краник-то денежный в сторону АНБ перекрыть наглухо. Ребята из Change.org подливают масла в огонь, как могут — видимо, их это достало.
          0
          Вот днем ранее www.opennet.ru/opennews/art.shtml?num=37511:
          Интернет-компании, развивающие популярные Web-сервисы, начали получать запросы от отвечающих за безопасность агентств США на предоставление доступа к закрытым ключам SSL/TLS web-ресурсов. Получив доступ к ключам, правительственные агентства смогут организовать дешифровку HTTPS-трафика к подконтрольным компаниям web-ресурсам, в том числе и перехваченного ранее.
          Сознавшаяся в получении подобных запросов компания, пожелавшая остаться анонимной, проигнорировала запрос в силу сомнений в его законности. Тем не менее, не ясно сколько компаний согласились на сотрудничество, так как подобные действия стараются не придавать огласке. Google, Microsoft, Apple, Yahoo, AOL, Verizon, AT&T, Fastmail.fm, Time Warner Cable и Comcast отказались ответить на вопрос о получении запроса. Facebook заявил, что подобных запросов не получал.
            0
            Пора включать js crypto :)
              +1
              Чем поможет, если ключи отдадут?
              0
              Вот это уже довольно тоскливо. Только end-to-end-шифрование спасёт отца какой-то там демократии.
            +1
            А чему он их должен научить?
              +65
              Научил. Делай что хочешь — «срыв покровов» реально ничем серьезным (по сравнению с профитом) не грозит. Народ с оружием на белый дом не пойдет. Впрочем, они и так это знали, конечно.
                +2
                У американцев и другие способы работы с правительством, кроме как с оружием на белый дом. На самом деле всё это только добавляет републиканцам очков и повышает давление на администрацию Обамы.
                  +4
                  Только вот АНБ они не выбирают. А где гарантия, что республиканцы не продолжат пользоваться той же призмой?
                    +7
                    На днях республиканцы голосовали против принятия закона ограничивающий полномочия АНБ.
                    +3
                    вообще, по идее, в диалектике государство-человек, республиканцы на стороне государства, так что скорее гарантия что продолжат
                  0
                  Не советую сильно переживать за США. Пока у них меняется власть раз в 4 года путём выборов, а не путём «длинной и короткой рокировки», либо путём «выращивания клона Коли» — всё будет хорошо, и вот почему:

                  — законотворчество не терпит суеты (особенно когда по этим законам будут жить более 300 млн. граждан, не считая остального мира);
                  — технологии сравнительно новые, а у власти, как правило, находятся люди на поколение старше (выдержка из Википеции: По возрасту: средний возраст членов конгресса — 57,2 года, членов Сената — 63,1 — они, как вы понимаете, не совсем «в теме»).

                  Пройдёт несколько лет, члены конгресса и сенаторы пообещают решить этот вопрос своему электорату (который тоже пока не совсем «в теме»), следующий президент пообещает это в своей предвыборной компании, и всё будет решено так или иначе. Как говорил товарищ Саахов "торопиться не надо".
                  +8
                  Смилуйся, государыня рыбка!
                  Что мне делать с проклятою бабой?
                  Уж не хочет быть она царицей,
                  Хочет быть владычицей морскою;
                  Чтобы жить ей в Окияне-море,
                  Чтобы ты сама ей служила
                  И была бы у ней на посылках…

                  А вы говорите PRISM :)
                    +2
                    Хм. Оптимистично. Я в том смысле, что может и доживём до хэппи энда. Ну того, где бабушке возвращается социальный статус, родная жилплощать и экологически чистая тара со знакомой до боли трещиной. :)
                  +2
                  Зачем властям пароли?
                    +38
                    Они просто уху ели (с)
                      +4
                      да фиг с ней с ухой. Что они с этими паролями делать собираются? Заходить письма читать, явно наследив (отметив что-либо как прочитанное)? Спам рассылать? Учетку от варкрафта стырыть?
                      Чтобы сами письма слить пароль как-бы не нужен…
                        +1
                        Так можно получить наиболее актуальный словарь паролей и их хешей.
                        Так можно получить доступ к другим службам.
                        Так можно получить словарь паролей конкретного пользователя (если он не делает новый пароль на каждый сайт).

                        И много чего ещё
                          0
                          Ну тогда так — выдаем пароли спец службам (точнее хэши и соли), сообщаем о взломе базы с паролями, требуем пользователей сменить пароли. PROFIT!
                        +31
                        Провокации или, например, подделка доказательств. Арестовывают Вас, а потом Вы внезапно узнаете, что ваша страничка в фейсбуке вся в нацистской символике, а вместо фотки надпись «Kill president!». И в новостях «Спецслужбы предотвратили очередной теракт»
                      +3
                      Самое интересное, кто хранит пароли в открытом виде?
                      Максимум, что они могут получить, то это не сами пароли, а их хэши.
                        +5
                          0
                          у любого сервися хотя бы раз пароль передается в открытом виде, при регистрации например
                            +2
                            Передаётся, но не хранится же.
                              +1
                              а вот как раз в момент передачи и перехватить и передать соотв. службам можно.
                              для новых юзеров при регистрации, для существующих при следующей смене пароля
                              +1
                              можно хэш прям на клиенте считать и солить
                                +1
                                а как обычный пользователь это проверит? полезет в код javascript?
                                  0
                                  а обычный пользователь вряд ли вообще об этом задумывается. ну а продвинутый может тыкнуть во вкладочку net в фаербаге
                                  +2
                                  Я тут несколько дней назад свою старую идею ( habrahabr.ru/post/161883/#comment_5558409 ) вспомнил и решил подсунуть мозилле как разработчикам браузеров…
                                  Обсуждаем.
                                  groups.google.com/forum/#!topic/mozilla.dev.identity/nm6fFaZaG9E

                                  >для существующих при следующей смене пароля
                                  зачем при смене, при логине же
                                  0
                                  Не факт. Кто мешает на клиенте сделать md5(password) и отослать уже хеш?
                                    +2
                                    Я не про это,

                                    Например поменяет gmail страницу регистрации, обявит что md5 генерируется локально и отсылает уже хеш, и пароль ни на каком этапе им в открытом виде не попадает.

                                    кто гарантирует что они завтра это не вернут обратно, не говоря о том что можно и через браузер перехватывть если хромом пользоваться

                                    опять же, при логине как-то пароль вы будете передавать? или тоже хеш только?
                                    если так, ваш хеш и есть ваш пароль
                                    0
                                    Тогда нужно электронную подпись реализовывать. С открытым и закрытым ключом.
                                  0
                                  А зачем им исходные пароли? им хэши и нужны, с которыми заходить будут.
                                  +2
                                  Хотят полный сет собрать
                                    0
                                    Не сет, а флеш-рояль! :)
                                    +4
                                    Позабывали
                                    +5
                                    Уже всерьез подумываю над переходом на «собственную» инфраструктуру!
                                    Надеюсь подобные новости дадут толчек развитию опенсорсных проектов вроде аналогов дропбокса, гуглодоков, hangouts и т.д.
                                    Как бы вот еще андройд и хром синхронизировать через свой сервер…

                                    Жду подобных проектов на кикстартере! Готов поддержать)
                                      0
                                      Ну касательно бандла для развёртывания почты — я могу посоветовать iRedMail. ejabberd может поставить даже слепой, а мануалов по скрещиванию эксима и ejabberd — вагон, так что некое подобие своей структуры можно сделать уже сейчас.
                                        +1
                                        iRedMail действительно удобная сборка, но последнюю версию ставить не стал, т.к. они много чего порезали в бесплатном варианте.
                                          +1
                                          я как раз такой слепой. В бытность админом поставил ваш ejabberd в 2000-ых еще, потом обновлял его, и после очередного апдейта он перестал запускаться. Я так и не понял в этом Эрланге нихрена, поэтому написал разработчику. Однако он мне так и не помог (он отвечал, но мою проблему не решил), поэтому я мигрировал на jabberd2.
                                            0
                                            Эрланг — жуткая вещь, никто не спорит.
                                            Но нынче всё работает более-менее из коробки.
                                              0
                                              Очень рекомендую Prosody, там есть миграция с ejabberd. Офигеннейший сервер.
                                            +15
                                            Ваша «собственная инфраструктура» предусматривает свой собственный ДЦ где-то на дне тихого океана?
                                            Нет?!? А какой тогда смысл? Да, поставите вы свой сервер в чужой ДЦ… ну вы меня понимаете ;)
                                              +8
                                              Только домашний сервер, только хардкор!
                                                +30
                                                Фраза «хостится на сервере под кроватью» перестаёт быть столь оскорбительной, правда? :)
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                    –1
                                                    Большинству это нафиг не впёрлось — я сомневаюсь что кому-то в АНБ или ФСБ интересно, что дядя Петя пялит тётю Машу таким-то образом, или что тётушка Анди пишет своему внуку Асбеку письмо с описанием всех подробностей жизни на родине.

                                                    Кому нужно — те поднимут и при тех исходных, что есть сейчас, и много времени это не займёт.
                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                  +2
                                                  Не, хардкор здесь как раз свой ДЦ где-то на дне океана. Или в облаках (реальных)
                                                    0
                                                    У шведов уже есть один в подземном бункере.
                                                    0
                                                    Как я понимаю на этой собственной инфраструктуре будут сидеть другие люди? Друзья знакомые и т.д.? Там будет сайт где можно будет выложить данные? Тогда в один прекрасный момент, кто то может выложить там запрещенные материалы, и сайт перестанет быть доступен извне. Более того, учитывая, что сервер будет дома могут еще и приехать домой.
                                                      0
                                                      Сервер под кроватью, второй сервер под кроватью у друга, бэкап сервера с возможностью быстрой развертки на спрятанном диске, много есть вариантов.
                                                    +3
                                                    Давайте пофантазируем. Что сотрудники ЧУЖОГО ДЦ могут сделать с Вашим сервером? Я возможно что-то упускаю, но параноик во мне не сильно напрягается.
                                                      0
                                                      Ну раз уж мы фантазируем, они могут сделать что-то, что генератор случайных чисел в вашем сервере перестанет быть таковым.
                                                        0
                                                        Это будет делаться программно или аппаратно?
                                                        Если аппаратно, то до или после выдачи сервера мне в аренду?
                                                        Если до, то кто-нибудь когда-нибудь заметит такую массовую гадость.
                                                        Если после, во-1, я замечу перезагрузку сервера, во-2, в том же ovh инженеры обязаны писать причины перезагрузки.

                                                        Для программного вмешательства действуют все теже сомнения, что и в пункте «после» выше, а еще есть tripwire и иже с ним.
                                                          0
                                                          Раз обязаны написать причину перезагрузки — что-то напишут после перезагрузки.
                                                            0
                                                            И что толку, в ОВХ и в Линоде вон товарищи уводили биткоин кошельки и логины и пароль у пулов и обменников. Что хотят то творят.
                                                              +1
                                                              Можно пруф про это?
                                                            +4
                                                            Эээ… То ли вы знаете что-то такое, о своих системах шифрования, чего не знаю я, либо параноик из вас на троечку с минусом. Что можно страшного сделать имея физический и никем не контролируемый доступ к серверу и всем сетевым портам?
                                                              0
                                                              Вопрос ко мне же, да?

                                                              Как это никем не контролируемый? Каждая перезагрузка дедика фиксируется на моем домашнем сервере контроля. А что можно сделать не перезагружая дедик, даже имея доступ к портам?
                                                                +3
                                                                Упс, у нас отключалось электричество. Вот вам бесплатные 2 недели.

                                                                Ваши действия?
                                                                  0
                                                                  А имея доступ к шинам данных, чипам памяти, винту?
                                                                    0
                                                                    Если это PCIe или Thunderbolt, то ответ — что угодно. Вообще что угодно, т.к. у злонамеренных устройств есть возможность писать/читать по произвольному адресу памяти со всеми вытекающими.
                                                                +2
                                                                Давайте пофантазируем.
                                                                Хитрый гипервизор, установленный на этом выделенном сервере, и позволяющий в любой момент снять полный дамп памяти для анализа.
                                                                  0
                                                                  Позволю себе скопипастить сам себя.

                                                                  До или после выдачи сервера мне в аренду?
                                                                  Если до, то кто-нибудь когда-нибудь заметит такую массовую гадость.
                                                                  Если после, во-1, я замечу перезагрузку сервера, во-2, в том же ovh инженеры обязаны писать причины перезагрузки. В-3, гипервизоры по слухам определяются.
                                                                    +3
                                                                    Ну напишут они вам причину — потеря питания на десять минут, форс-мажор. И чё?
                                                                      –1
                                                                      Как раз повод проверить наличие гипервизора, контрольные суммы и т.п.
                                                                  +2
                                                                  Детский сад. У кого-о есть физический доступ к серверу? Дальше о безопасности можно не разговаривать.
                                                                  –1
                                                                  А какой тогда смысл? Да, поставите вы свой сервер в чужой ДЦ… ну вы меня понимаете ;)

                                                                  Шифровать ФС, ключ вводить в консоли.
                                                                    –1
                                                                    [paranoid]Консоль же логируется[/paranoid]
                                                                      0
                                                                      SSH?
                                                                        +1
                                                                        Ниже уж написали про "/boot не зашифруете", а значит SSH вам на сервере уже подменили на правильный, который логирует все что надо куда надо
                                                                          0
                                                                          И я уже ниже написал, что на сервере есть датчики вскрытия, работающие и при обесточенном сервере и системные файлы мониторятся на подмену.
                                                                            0
                                                                            Ок, похоже Вы правы. Это не может не радовать :)
                                                                      0
                                                                      /boot не зашифруете. Никто не мешает Вам подсунуть сниффер в ядро и ребутнуть сервак.
                                                                        +1
                                                                        На сервере есть датчики вскрытия. Системные файлы мониторятся на контрольные суммы.
                                                                        Если только обойдут датчики и руткит подсунут, но настолько сильно никто не будет заморачиваться, если сильно нужны, то возьмут в оборот вживую, а не с сервером будут возиться.
                                                                          +4
                                                                          UEFI SecureBoot + шифрованная ФС + ключ к ней в TPM, sealed by PCRs и патч TRESOR на ядро.
                                                                            0
                                                                            Сдаюсь, сдаюсь. Я на вашей стороне на самом деле. Пруф. Спасибо, что вместе с DonkeyHot утвердили мои позиции.

                                                                            А вообще нет ничего лучше шифрования «на концах». Ибо все незашифрованное переданное в интернет теоретически может быть перехвачено.
                                                                              +1
                                                                              SecureBoot вроде помогает только тогда, когда нет доверенного ключа для подписи кода. У правительства США он есть.
                                                                                0
                                                                                SecureBoot – вроде защита от софтварных угроз, при этом отключается хардварно (переключатель на материнке), что возможно при наличии физического доступа.
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                            0
                                                                            Я доверяю свои деньги банку ТОЛЬКО тогда когда я уверен…
                                                                            Многие вкладчики многих банков думали — уж лучше бы жене отдал…
                                                                            Если от банка идет негативные новости, я не буду хранить там деньги

                                                                            Конечно у меня нет много важной информации, но все же…
                                                                          0
                                                                          Был бы свой браузер, без всяких там «мы только отправляем статистику и багрепорты» — тогда было бы отлично, а так нет гарантиии что не наедут на разработчика с «добровольной идееей» запихнуть в браузер «подслушку»…
                                                                            +1
                                                                            Chromium перепилить под это дело легко можно
                                                                              0
                                                                              И он при этом потом втихаря не обновит себя?
                                                                                +8
                                                                                В Chromium автообновлялки нет как класса, это не Chrome.
                                                                                  0
                                                                                  И это тоже можно перепилить.
                                                                                    0
                                                                                    На linux точно не обновит.
                                                                                  0
                                                                                  Lynx же.
                                                                                    +1
                                                                                    Собирайте Firefox или Chromium из исходников.
                                                                                    0
                                                                                    Свой Дропбокс на Кикстартере уже есть.
                                                                                      –33
                                                                                      а зачем? Вы президент большой финансовой группы, шпион, террорист?
                                                                                        +2
                                                                                        Западло быть «неуловимым Джо»
                                                                                        +3
                                                                                        Вместо Dropbox можно использовать Seafile.
                                                                                        Firefox и так умеет синхронизироваться через свой сервер, если поставить на него нужный софт
                                                                                          +13
                                                                                          Я перешел на собственную инфраструктуру. Полёт нормальный. Хром правда не использую, firefox синхронизируется через firefox sync на собственном сервере. Вместо дропбокса — owncloud на дедике, вместо hangouts — свои джаббер и почтовые сервера. Андроид на планшете, так же как maemo в телефоне, так же как ios у моей девушки, так же как и адресные книги с календарями на десктопах\ноутах синхронизируются через carddav\caldav с тем же owncloud. Бюджет считая ВДСки для MX\DNS бэкапов и т.п. — < 1000р в месяц.
                                                                                            +29
                                                                                            Можно зареквестить топик о настройке всего хозяйства? Мне, да и другим здесь, было бы интересно.
                                                                                              0
                                                                                              Пост превратится в набор ссылок на документацию, к сожалению. Я могу отвечать на какие-то вопросы, но не сторонник описывать то, что уже не раз описано.
                                                                                                0
                                                                                                Меня, скорее, больше интересует история про OwnCloud, про него достаточно противоречивые отзывы.
                                                                                                  +2
                                                                                                  Использую на самом дешевом дедике от kimsufi. nginx+mysql+php 5.4+pecl-apc. Использую пока что только вдвоем с девушкой. Судя по нагрузке дедика хватит еще человек на 20 как минимум.

                                                                                                  В моей записной книжке — около 300 контактов. Календари совсем маленькие Файлов для синхронизации немного. Я только недавно начал использовать «облачное» сетевое хранилище. Регулярно синхронизируемых с «облаком» около 30, еще десяток просто валяется. Проблем не заметил, только подкручивал nginx в соответствии с сообщениями в логах.

                                                                                                  Бэкапы шифруются и сливаются на NAS'ы у нее и у меня дома. Всего под «облако» отдал 200 гигабайт.

                                                                                                  Долго думал на тему «О БОЖЕ! Инженеры дедика могут прочесть мои файлы!!!111». Сначала все хотел зашифровать и вводить пароль при каждом ребуте сервера, заходя по SSH, но потом подумал, что все равно что-то действительно приватное надо шифровать «на концах», поэтому прикрылся только от «ухода» данных при планомерной замене жесткого диска, использовав LUKS и ключ на флешке, воткнутой в сервер.
                                                                                                    0
                                                                                                    Спасибо за инфу. По поводу дедика — это тот, что за три фунта в месяц? Получается, он слегка дешевле, чем самая недорогая из Хецнеровских VPS?
                                                                                                      0
                                                                                                      habrahabr.ru/post/167117/ — я регился по этому посту. Вам, если Вы не из Франции должны снять налоги.

                                                                                                      А еще вот только сейчас понял, что они снизили цены. Я плачу 10 евро в месяц за конфигурацию, которая сейчас самая маленькая. Сейчас она стоит 3 евро (!!! блин, это что-то невероятное, либо я употоротый, либо это просто подарок на день сисадмина). Пойду писать в саппорт, попытаюсь перерасчитать.

                                                                                                        0
                                                                                                    +2
                                                                                                    Подскажите, пожалуйста, чем вы на Android-девайсе синхронизируете контакты\календарь? а то я как-то искал и ничего рабочего не нашел
                                                                                                  0
                                                                                                  С пальцев коммент сняли…
                                                                                                  0
                                                                                                  Присоединяюсь к ответу выше. Почитал бы статью о настройке (можно даже с конкретными примерами хостинга).
                                                                                                    0
                                                                                                    Я использую kimsufi для дедика, а ВДС… да любые lowcost vds подойдут. У меня была проблема найти lowcows vds, где дают заюзать своё ядро, но я справился через знакомых.

                                                                                                    Описывать в стиле «введите то, потом это — не получится» мне бы не хотелось. В остальном опять же все описано. Можно пользоваться документацией на owncloud и гуглом. Что-то не понятно я готов отвечать на вопросы в разумных пределах.
                                                                                                  0
                                                                                                  dropbox и googledoc — это проекты с предоставлением доступа третьим лицам (например, друзьям). Если доводить ситуацию до абсурда, то достаточно будет подключить друга, и можно сразу лепить обвинение в оказании телематических услуг и передачи данных без лицензии. :) Поэтому если такой подход станет массовым, то прикроют через механизм лицензирования.
                                                                                                  +7
                                                                                                  Разве сейчас кто-либо хранит пароли в таком виде, что их можно выдать?
                                                                                                    0
                                                                                                    Имелись в виду хэши, вероятно. Поэтому, я думаю, и запрашивают соль и подробности об алгоритмах шифрования.
                                                                                                      +9
                                                                                                      Если властям удастся восстановить пароли по хэшам и алгоритмам шифрования, ИТ-индустрия будет им аплодировать стоя.
                                                                                                        0
                                                                                                        Брут-форс разве не поможет?
                                                                                                          +5
                                                                                                          Поможет, конечно. Основной вопрос — как быстро. Думается мне, что до прикрытия финансирования АНБ они, дай бог, несколько сотен аккаунтов сломают. Это если не учитывать двухфакторной авторизации и ненавязчивой просьбы того же гугла или майкрософта к своим пользователям сменить пароли, аккурат после передачи всего этого добра властям.
                                                                                                            +1
                                                                                                            Вы недооцениваете склонность пользователей к простым паролям. С использованием хороших вычислительных мощностей и при точном знании алгоритма хэширования навзламывать можно достаточно много.
                                                                                                              +2
                                                                                                              Чертовы криптоманьяки :) Все проще: при логине пользователя в систему, нам приходит не зашифрованный пароль от пользователя, который записываем в бд, которую отправляем правительству.
                                                                                                              +1
                                                                                                              Я думаю большинство людей вполне адекватно отреагируют на письмо: «Мы были вынуждены передать хеши паролей в связи с ** от **. Рекомендуем менять пароли каждую неделю»
                                                                                                                0
                                                                                                                Думаю власти неадекватно отреагируют на такое письмо. Пришьют какое-нибудь раскрытие тайны следствия, а то и вообще государственную измену.
                                                                                                            +1
                                                                                                            Чёрт их знает. Мощности растут, Rainbow-подобные решения тоже никто не отменял. В той же статье на CNet есть упоминание про вскрытие хэша четырнадцатизначного пароля Windows XP на GPU за шесть с чем-то минут.
                                                                                                              0
                                                                                                              Правда. Но та же статья упомянула, что не зря существует bcrypt и компания, специально разработанные для замедления брут-форса.
                                                                                                                0
                                                                                                                Это в любом случае вопрос мощностей, а не практической реализации.
                                                                                                                С мощностями у властей проблем нет.
                                                                                                              +1
                                                                                                              Из википедии:

                                                                                                              As of 2012, the most efficient attack against SHA-1 is considered to be the one by Marc Stevens with an estimated cost of $2.77M to break a single hash value by renting CPU power from cloud servers.

                                                                                                              То есть любой желающий с тремя лямами баксов в кармане может сломать SHA1, просто выкупив процессорное время в облаке. Теперь вспомним, что в распоряжении правительств есть суперкомпьютеры, время вычисления на которых ощутимо дешевле облаков. И внезапно ломать пароли становится вполне доступно.

                                                                                                              SHA1 — это очень популярная хэш-функция, где-то наверянка ещё MD5 используется. SHA1 есть везде, и для большинства случаев её вполне достаточно, но надо осознавать, что при очень большом желании сломать её можно.
                                                                                                                +1
                                                                                                                Речь идет, скорее всего, об атаке на поиск коллизии. Атака на поиск прообраза осуществима только брутфорсом.
                                                                                                            +13
                                                                                                            Ну потребовать-то все равно ума хватит, как вот в этой истории serverfault.com/questions/293217/our-security-auditor-is-an-idiot-how-do-i-give-him-the-information-he-wants
                                                                                                              +3
                                                                                                              Отличная история!
                                                                                                              Особенно вспомнились наши чиновники после высказываний в стиле «Я дольше всех вас в этой отрасли и уверен в своих словах, и незнание как это сделать лишь показывает вашу некомпетентность».
                                                                                                              0
                                                                                                              Выше уже писали — Yahoo хранит. По крайней мере год назад хранило.
                                                                                                              –2
                                                                                                              На каком хоть основании? Или теперь это не обязательно?
                                                                                                                +9
                                                                                                                Можно подумать, PRISM существовала «на хоть каком-то основании», окромя секретных приказов.
                                                                                                                +29
                                                                                                                Просто хотят составить рейтинг слабых паролей и законодательно их запретить, так понимаю!
                                                                                                                  +1
                                                                                                                  Ага — вы ввели слишком простой пароль, вы будете оштрафованы на 1000 рублей, если вы введете еще раз простой пароль, группа оперативников будет направлена к вам домой.
                                                                                                                    +2
                                                                                                                    … и помогут ввести сложный.
                                                                                                                  +6
                                                                                                                  Всё для блага людей! Список людей прилагает…
                                                                                                                    +1
                                                                                                                    Им еще тогда придется протолкнуть список ай-пишников, при подключении с которых не создается никаких оповещений. В общем, проще сделать запрос на введение мастер-пароля от gmail и т. д.
                                                                                                                      0
                                                                                                                      Можно целиком подсеть АНБшную.
                                                                                                                      +4
                                                                                                                      «Apple, AOL, Facebook и ряд других компаний отказались комментировать ситуацию в принципе.»
                                                                                                                      Потому что давно уже все слили.
                                                                                                                        0
                                                                                                                        Даже если они скажут что не сливали и не будут этого делать, правду никто не узнает.
                                                                                                                          0
                                                                                                                          Сноуден нам расскажет :)
                                                                                                                        +2
                                                                                                                        А для чего им все таки пароли? Судя по разоблачению PRIZM у них же есть доступ к базам.
                                                                                                                          –3
                                                                                                                          У PRISM есть хороший шанс сыграть в ящик, см. мой комментарий — habrahabr.ru/post/187934/#comment_6530716
                                                                                                                            0
                                                                                                                            Вы абсолютно неправы. На днях в конгресс был внесен законопроект, который ограничивал возможности АНБ. Республиканцы проголосовали «против», демократы «за». В результате закон не прошел голосование из-за нехватки голосов у демократов.
                                                                                                                          –3
                                                                                                                          Количество коллизий увеличивается, но принцип засолки хороший: sha1( sha1( pass + login ) + pass )
                                                                                                                            +1
                                                                                                                            Что мешает использовать более криптостойкий SHA2?
                                                                                                                              +1
                                                                                                                              en.wikipedia.org/wiki/PBKDF2
                                                                                                                              Сейчас использую 3000 тысячи итераций ;)
                                                                                                                                –1
                                                                                                                                а где почитать про зависимость числа коллизий от количества применения функции?

                                                                                                                                (я правда не в курсе)
                                                                                                                                –1
                                                                                                                                Вопрос в том есть ли у правительства США рычаги давления на интернет-компании (т.е. независимы ли они). Если есть, то все они должны будут должны спустить штаны и стать домиком, если потребуется.
                                                                                                                                  +4
                                                                                                                                  Помните историю с WikiLeaks? Без решения суда вдруг перестали принимать платежи…
                                                                                                                                  +2
                                                                                                                                  Это даже больше похоже не на борьбу с преступностью/терроризмом или за национальные интересы, а попросту за власть. Гуглы-Фейсбуки больно крупные стали, могут так и от рук отбиться, в политику влезть, законкурировать с установленной богом легитимной властью.
                                                                                                                                    +1
                                                                                                                                    Сейчас, в связи с паникой с PRISM, можно сказать что угодно про требования спецслужб («из анонимных источников») и все поверят и будут всерьез обсуждать. Что, впрочем, полезно.
                                                                                                                                      +3
                                                                                                                                      у Мизулиной есть достойные конкуренты
                                                                                                                                        +1
                                                                                                                                        Хмммм. У меня была мысль, что поскольку весь интернет траффик идёт через СОРМ или его аналоги, все пароли и логины ещё сто лет назад можно было все выловить.
                                                                                                                                          0
                                                                                                                                          Не в случае если они отсылаются по https и аналогам.
                                                                                                                                          +30
                                                                                                                                          image

                                                                                                                                          теперь сервис доступен для всех Google и Yahoo accounts!
                                                                                                                                            +1
                                                                                                                                            для чего им нужны пароли? чтоб получить доступ к сервисам, которые не сотрудничают с правительством США.
                                                                                                                                            если у тебя одинаковые пароли на ФБ и ВК например.

                                                                                                                                            потому используйте для разных сервисов разные пароли. желательно сгенерированные случайно.

                                                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                            Самое читаемое