22:15
10/9/2015

Kiedy z Ashley Madison wykradziono dane 15 milionów użytkowników, szczęściem w nieszczęściu było to, że programiści serwisu skorzystali z zalecanej funkcji bcrypt do przechowywania haseł. Dzięki bcryptowi, który pozwala ustawić tzw. “parametr kosztu”, można znacząco wydłużyć obliczenia i tym samym mocno opóźnić proces łamania hashy.

Okazuje się jednak, że łamanie hashy Ashley Madison można znacznie przyśpieszyć — programiści skorzystali także z innych funkcj bazujących na haśle użytkownika (ale słabszych niż bcrypt, a w dodatku pracujących na danych zoptymalizowanych za pomocą funkcji tolowercase). Polecamy lekturę arcyciekawego artykułu grupy CSP o łamaniu hashy, które wykradziono z serwisu Ashley Madison. Pomimo użycia bcrypta, złamano już 11 milionów (!!!) haseł.

Za informację dziękujemy Szulowi, zwycięzcy konkursu łamania hashy, z którym rok temu przeprowadziliśmy wywiad.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

6 komentarzy

Dodaj komentarz
  1. To będzie piękny świerzy słownik }:-D

    • Nie mogłem się powstrzymać, ale komuś tutaj przydałby się nawet stary słownik.

    • Tobie z pewnością słownik się przyda.

      MSPANC

  2. Po kolejnych 26 milionach, fali samobójstw, pozwów i/lub ataku seryjnego samobójcy na programistów… ktoś na pewno wyciągnie… takiego uja jak słonia trąba a nie wnioski i za miesiąc albo dwa poczytamy znowu o kolejnym gigantycznym wycieku haseł ;)

    • @pawel
      kto to jest seryjny samobójca?

    • @divak
      Seryjny samobójca sensu politycznego, czyli niespodziewane odejście z tego świata w okolicznościach co najmniej nieoczekiwanych lub/i dziwnych. Często grupy osób związanej z wydarzeniem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.