10/9/2015
* 11 milionów hashy bcryptowych użytkowników Ashley Madison złamanych – komedia pomyłek programistów
Kiedy z Ashley Madison wykradziono dane 15 milionów użytkowników, szczęściem w nieszczęściu było to, że programiści serwisu skorzystali z zalecanej funkcji bcrypt do przechowywania haseł. Dzięki bcryptowi, który pozwala ustawić tzw. “parametr kosztu”, można znacząco wydłużyć obliczenia i tym samym mocno opóźnić proces łamania hashy.
Okazuje się jednak, że łamanie hashy Ashley Madison można znacznie przyśpieszyć — programiści skorzystali także z innych funkcj bazujących na haśle użytkownika (ale słabszych niż bcrypt, a w dodatku pracujących na danych zoptymalizowanych za pomocą funkcji tolowercase). Polecamy lekturę arcyciekawego artykułu grupy CSP o łamaniu hashy, które wykradziono z serwisu Ashley Madison. Pomimo użycia bcrypta, złamano już 11 milionów (!!!) haseł.
Za informację dziękujemy Szulowi, zwycięzcy konkursu łamania hashy, z którym rok temu przeprowadziliśmy wywiad.
To będzie piękny świerzy słownik }:-D
Nie mogłem się powstrzymać, ale komuś tutaj przydałby się nawet stary słownik.
Tobie z pewnością słownik się przyda.
MSPANC
Po kolejnych 26 milionach, fali samobójstw, pozwów i/lub ataku seryjnego samobójcy na programistów… ktoś na pewno wyciągnie… takiego uja jak słonia trąba a nie wnioski i za miesiąc albo dwa poczytamy znowu o kolejnym gigantycznym wycieku haseł ;)
@pawel
kto to jest seryjny samobójca?
@divak
Seryjny samobójca sensu politycznego, czyli niespodziewane odejście z tego świata w okolicznościach co najmniej nieoczekiwanych lub/i dziwnych. Często grupy osób związanej z wydarzeniem.