10/9/2015
* 11 milionów hashy bcryptowych użytkowników Ashley Madison złamanych – komedia pomyłek programistów
Kiedy z Ashley Madison wykradziono dane 15 milionów użytkowników, szczęściem w nieszczęściu było to, że programiści serwisu skorzystali z zalecanej funkcji bcrypt do przechowywania haseł. Dzięki bcryptowi, który pozwala ustawić tzw. “parametr kosztu”, można znacząco wydłużyć obliczenia i tym samym mocno opóźnić proces łamania hashy.
Okazuje się jednak, że łamanie hashy Ashley Madison można znacznie przyśpieszyć — programiści skorzystali także z innych funkcj bazujących na haśle użytkownika (ale słabszych niż bcrypt, a w dodatku pracujących na danych zoptymalizowanych za pomocą funkcji tolowercase). Polecamy lekturę arcyciekawego artykułu grupy CSP o łamaniu hashy, które wykradziono z serwisu Ashley Madison. Pomimo użycia bcrypta, złamano już 11 milionów (!!!) haseł.
Za informację dziękujemy Szulowi, zwycięzcy konkursu łamania hashy, z którym rok temu przeprowadziliśmy wywiad.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
To będzie piękny świerzy słownik }:-D
Nie mogłem się powstrzymać, ale komuś tutaj przydałby się nawet stary słownik.
Tobie z pewnością słownik się przyda.
MSPANC
Po kolejnych 26 milionach, fali samobójstw, pozwów i/lub ataku seryjnego samobójcy na programistów… ktoś na pewno wyciągnie… takiego uja jak słonia trąba a nie wnioski i za miesiąc albo dwa poczytamy znowu o kolejnym gigantycznym wycieku haseł ;)
@pawel
kto to jest seryjny samobójca?
@divak
Seryjny samobójca sensu politycznego, czyli niespodziewane odejście z tego świata w okolicznościach co najmniej nieoczekiwanych lub/i dziwnych. Często grupy osób związanej z wydarzeniem.