310 wykop

Allegro zapomniało zahashować hasła w swojej bazie danych?

Użytkownicy Allegro, których hasła zostały zakwalifikowane jako słabe, muszą je zmienić na trudniejsze, żeby uzyskać dostęp do wszystkich funkcji serwisu. [...] Powstaje jednak pytanie: skąd wiadomo, które konta są źle zabezpieczone? Czy Allegro przechowuje hasła w postaci niezahashowanej?

Dodany z di.com.pl do Technologia » Internet z tagami allegro hasła zabezpieczenie użytkownicy

Wykopali 310, zakopali 13

Allegro.pl

Powiązane (1)

Pokaż: ustaw jako domyślne
pokaż obrazki

Komentarze (104)

  • Reklamy Google

  • neoneo +5  

    Może trzymają w osobnym polu długość hasła przed zhashowaniem czy inne dane na jego temat, np. do celów statystycznych? Osłabia to co prawda jego siłę, ale nie na tyle, by było to niebezpieczne w chronionej przecież bazie.

    pokaż komentarz
    neoneo
  • bajda_ops +1  

    Dokładnie o czymś takim też pomyślałem :) Może to także być dodatkowe pole w tabeli użytkowników nazwane powiedzmy silaHasla i w nim wartość je określająca ze zbioru ['słabe', 'średnie', 'silne']. Pole wypełniane przy tworzeniu konta. SELECT * FROM uzytkownicy WHERE silaHasla='słabe' i sprawa załatwiona :)

    pokaż komentarz
    bajda_ops
  • grip +2  

    Albo już od początku mieli zaimplementowane sprawdzanie siły hasła i trzymają w bazie WYNIK tej operacji ('słabe', 'mocne'). Wtedy cały ten ambaras na nic ;]. Możliwe, że nie chcą o tym powiedzieć, bo może się posypać na nich krytyka w związku z takim działaniem (które potencjalnie może zmniejszyć bezpieczeństwo użytkowników - wyciągamy z bazy słabe hasła i robimy brutal force lub cokolwiek innego).

    pokaż komentarz
    grip
  • Adaslaw 0  

    @neoneo
    Długość prawdziwego hasła można również trzymać w formie zahaszowanej ;]

    pokaż komentarz
    Adaslaw
  • PoshPaul -2  

    hmm zawsze myslalem ze allegro trzyma uzytkownikow w tabeli Users... no coz, dawno nie wchodzilem na ich baze, moze zmienili od tamtej pory

    pokaż komentarz
    PoshPaul
  • sciana +53  

    Zatrudnili Chucka Norrisa. Podobno potrafi on czytać książki zahaszowane MD5.

    pokaż komentarz
    sciana
  • kapitan_bomba +21  

    Rany boskie, dowcip o Chucku z plusami? Koniec świata..

    pokaż komentarz
    kapitan_bomba
  • whd +9  

    na szczęście to jeszcze nie teraz

    pokaż komentarz
    whd
  • szaron +21  

    "Powstaje jednak pytanie: skąd wiadomo, które konta są źle zabezpieczone?"

    atakuje sie je zwyklym brute forcem. koduje sie kolejno wygenerowane hasla (alfabetycznie, slownikami + kombinacje i mnostwo sztuczek) i porownuje HASHE z tymi w bazie. Wiec kto powiedzial ze musza je trzymac w formie niezahashowanej?

    PS: Jesli dalej twierdzicie ze madre jest sprawdzanie sily hasla przygladajac sie ORYGINALOWI a nie hashowi to co z takim przypadkiem:
    Mam 23 literowe haslo z malymi i wieklimi literami, cyframi i znakami specjalnymi.... i pech chcial ze trafila mi sie rzecz jedna na miliard - hash mojego hasla pokrywa sie z hashem slowa DUPA. ... ;) 1 Pytanie: czy moje haslo jest silne? 2 Pytanie: czy dalej sprawdzamy czyste hasla, czy hashe?

    pokaż komentarz
    szaron
  • pink_art_pl +8  

    Wiesz ile to trwa? przypuszczam, że mają dość dużą bazę. Pozatym, w momencie złamania hasła sprowadzają je do formy plain-text - tak więc jesli nawet problem nie dotyczy wsztstkich haseł, to na pewno haseł tych użytkowników, którym przysłano informacje.

    pokaż komentarz
    pink_art_pl
  • szaron +3  

    @pinkartpl
    co ile trwa? rozkodowywania hasha? przy tak duzym zbiorze kont jakie tam maja nie beda przeciez lamac brute-forcem kazdego hasla oddzielnie, wystarczy sobie zbudowac liste kilku (?) milionow hashy ktore powstaly z prostych hasel. Moze ujalem to tak, ze brzmi trywialnie, ale Ty chyba sugerujesz ze KAZDE haslo probuja lamac niezaleznie.

    Nie lepiej raz zbudowac duza baze prostych hashy a potem poszukac pokrywajacych sie hasel z obu baz? Poza tym zrobienie takiej listy w formie bardzo uproszczonej (najprostsze warianty np. same imiona i slowa w j.polskim) to akurat nie jest takie obszerne zadanie, a wylapie te najgorzej zabezpieczone konta. Nie mowimy przeciez o odkodowaniu wszystkich hasel, tylko znalezieniu slabych.

    pokaż komentarz
    szaron
  • darco3 +6  

    cytat z komentarzy pod artykułem:

    "~Wiktor

    Przecież Allegro już dawno się przyznało, że hasła przechowuje w postaci niezaszyfrowanej. Sprawa wyszła na jaw, gdy zaczęli uwzględniać wielkość liter przy logowaniu, wcześniej w haśle nie miało to znaczenia. Sprawa była szeroko omawiana na forum Allegro."

    jeżeli tak rzeczywiście było to jasne, że nie korzystali ze skrótów

    pokaż komentarz
    darco3
  • Zombiak +2  

    @szaron: W artykule nawet o tym pisze, że wystarczy salt unikalny dla każdego użytkownika aby wygenerowanie jednej listy było niemożliwe. Może to być dołączany uid albo login (nawet wielokrotnie). Chociaż przy znajomości algorytmu to nie jest żadne zabezpieczenie. Allegro ma aktualnie 6 mln. użytkowników, na moim sprzęcie generuje się 281 mln. hashy na sekundę. Ktoś myśli, że taki słownik może zawierac więcej haseł aby wygenerowanie skrótu dla każdej pary (słowo, user) zajeło więcej niż dobę (4 mln haseł dla każdego użytkownika)?

    pokaż komentarz
    Zombiak
  • mith -2  

    Dawno temu słyszałem od ex narzeczonej admina allegro o tym, że hasła są plaintextowe.

    pokaż komentarz
    mith
  • irving 0  

    Pinkart - tak wiem ile to trwa, zamiast się wymądrzać poproś admina z dostępem do dużej bazy haseł md5 aby ci puścił johna z polskim słownikiem i pokazał jak szybko wyskakują hasełka.

    pokaż komentarz
    irving
  • pink_avenger -3  

    Jak pisze irving, wystarczy John the Ripper i większość haseł jest złamana. Raz zrobiłem test na prawdziwej bazie haseł i jestem zdegustowany. Program chodził ze 2 dni i nie złamał tylko kilku haseł z ponad trzystu. Nie sposób zmusić ludzi, żeby mieli naprawdę trudne hasła.
    Allegro nie może przyznać się do łamania haseł klientów, bo to pachnie kryminałem. Co innego gdyby robili audyt haseł swoich pracowników. Trudno uwierzyć w to, że hasła klientów Allegro, są zapisane otwartym tekstem. Chociaż z drugiej strony "kreatywny management", nie takie rzeczy potrafi przeforsować w firmie, i to nie przy pomocy "siły argumentów" lecz całkiem odwrotnie.

    pokaż komentarz
    pink_avenger
  • EmmetBrown +6  

    A może żeby wszyscy nie-programiści zrozumieli, niech ktoś wyjaśni na czym polega/co to jest ten cały hash w przypadku allegro.

    pokaż komentarz
    EmmetBrown
  • yoghyt +5  

    Jest to inaczej funkcja skrótu. Jeżeli taką funkcją potraktujesz dowolne dane (np. hasło) zamienią się one w ciąg o stałej długości (w np. przypadku MD5 jest to 25 liter (dużych i małych) oraz cyfr). Hashować można np. program (i porównać z haszem od dostawcy) w celu sprawdzenia czy nie został gdzieś zmodyfikowany/źle się pobrał, lub hasło żeby nie było w jawnej postaci.
    Oczywiście możliwych kombinacji jest skończona ilość więc mogą się one powtarzać jak już wspomniał użytkownik @szaron.

    pokaż komentarz
    yoghyt
  • szaron +8  

    uh, myslalem, ze EmmetBrown pije do tego, że nie wiemy dokladnie jakich technologii uzyli ;p

    Podkresle jeszcze tylko ze taki hash to kodowanie stratne. NIE DA SIE rozszyfrowac danych zrodlowych. Jedyne co mozna zrobic, to zahashowac "cos" i sprawdzic czy przypadkiem hash nie pokrywa sie z tym, ktory jest zapisany w bazie danych. W ten sam sposob sprawdza sie hasla przy logowaniu do wiekszosci popularnych uslug - szyfrujac podane przy logowaniu dane i porownujac z tymi w bazie

    pokaż komentarz
    szaron
  • pogromca-idiotow +15  

    @yoghyt:
    >w np. przypadku MD5 jest to 25 liter (dużych i małych) oraz cyfr

    Oczywiście miałeś na myśli 32 cyfry w systemie szesnastkowym, co oznacza zakres 0-9, a-f (bez uwzględnienia wielkości znaków).

    pokaż komentarz
    pogromca-idiotow
  • yoghyt +17  

    Racja, przepraszam, pogromiłeś mnie, nie umiem wytłumaczyć tego kardynalnego błędu dlaczego tak napisałem. Przepraszam. Używam md5 na co dzień, więc taka pomyłka nie powinna się zdarzyć, nie wiem co we mnie wstąpiło.

    pokaż komentarz
    yoghyt
  • Zombiak -4  

    Nie można po prostu pisać: 128 bitów? ;) Hash md5 wcale nie musi być przechowywany w postaci tekstowej.

    pokaż komentarz
    Zombiak
  • ponton +8  

    Funkcja haszująca (funkcja skrótu) to funkcja, która potrafi dowolną ilość danych (np. plik) zamienić na pseudounikalny skrót (hash) o stałej wielkości (np. 256 znaków alfanumerycznych). Pseudounikalny, bo oczywiście tych skrótów jest skończona liczba, a wszystkich możliwych danych nieskończenie (ale przeliczalnie) wiele. Jednak w praktyce jest to unikalny skrót, bo liczba skrótów 256-znakowych jest pewnie większa niż liczba atomów we Wszechświecie, więc kolizja jest prawie niemożliwa.

    Dobre algorytmy haszujące robią to w taki mądry (tj. z wykorzystaniem skomplikowanej matematyki) sposób, aby nie można było tego odtworzyć w tył (czyli z hasha zrobić oryginalne dane) i aby mała zmiana danych (np. jedna litera w pliku) powodowała radykalną zmianę hasha.

    pokaż komentarz
    ponton
  • rtuvae -2  

    jak to możliwe że nie można tego odtworzyć w tył?
    znalazłem to http://pl.wikipedia.org/wiki/Funkcja_jednokierunkowa ale nic nie kapuje.

    aaa "Ponieważ do tej pory nie wiadomo czy funkcje jednokierunkowe istnieją, w praktyce używa się kilku funkcji które są o to podejrzewane..."

    pokaż komentarz
    rtuvae
  • metaxy 0  

    rtuvae w przypadku hashy nie można z banalnego powodu np. md5 tworzy kod o długości 128 bitów. W związku z tym nie jest możliwe uzyskanie w sposób jednoznaczny wiadomości, z której powstał. Teoretycznie można stworzyć tablicę o nieskończonej długości powstałą z wszystkich możliwych kombinacji znaków i na tej podstawie ją porównywać. Jednak teoretyczna pojemność md5 to 2^128 kombinacji dlatego będą następować kolizje i nie możemy jednoznacznie ich rozpoznać. Oczywiście istnieją inne algorytmy o dłuższych słowach, ale nadal jest to pewien skończony zbiór przy nieskończonej ilości możliwych kombinacji znaków.

    pokaż komentarz
    metaxy
  • KKKas +5  

    rtuvae: np używając takiej magicznej operacji jak "reszta z dzielenia" (modulo).

    5 mod 10 = 5
    15 mod 10 = 5
    16 mod 10 = 6
    26 mod 10 = 6

    zapisując sobie resztę z dzielenia (w przykładach 5, 6) nie wiesz później czy user podał "5", "15", "25", czy "10005".

    pokaż komentarz
    KKKas
  • yacool 0  

    Łopatlologicznie (przepraszam speców, nie chcę nikogo urazić, ale nie każdy jest kryptologiem). Mam nadzieję, że trochę rozjaśnie.

    Ponieważ modulo to może akurat nie każdy musi znać, na mnożeniu chyba będzie łatwiej. Przykładowo mamy różne działania, których wynik jest identyczny:
    1x30=30
    2x15=30
    3x10=30
    6x5=30
    Wszędzie wynikiem działania jest 30, ale trudno odgadnąć z jakiej kombinacji wejściowej powstał taki wynik 30 - jest to w przybliżeniu zasada działania funkcji jednokierunkowej - z matematyki jest to funkcja która nie posiada f-ji odwrotnej (funkcje odwrotna to np. kwadrat i pierwiastek) )*

    Podobnie jest z hashowaniem hasła, tylko że hashowanie hasła to nie jest zwykłe mnożenie, tylko wynik działania funkcji hash%!ącej - jak w artykule, np md5, lub sha:
    MD5(hasło) = hashhasła
    analogicznie - i to w sumie jest najważniejsze w całym hashowaniu -
    >>>na podstawie hash    hasła nie bardzo można odgadnąć hasło

    )*Uwaga - oczywiście działanie mnożenia ma swoją funkcję odwrotną, mnożenia użyłem tu tylko żeby pokazać ideę.

    pokaż komentarz
    yacool
  • rozkminator +3  

    Dobra, a nie mogli przy rejestracji i zmianie hasła oznaczać jaki jest poziom hasła?
    Przecież nie musi trafiać do bazy danych od razu zahashowane

    pokaż komentarz
    rozkminator
  • Regis86 +2  

    Nie szukajcie afery. Dlugosc hasla mozna 'dopisac' do bazy przy logowaniu. Pewnie sprawdzali też, czy login nie jest taki sam jak haslo (jesli zhash!#emy login i dostaniemy taki sam skrot jak dla hasla, to znaczy ze najprawdopodobniej sa one identyczne; najprawdopodobniej, bo w funkcjach skrotu wystepuja czasami tzw. 'kolizje', ale sa to tak rzadkie przypadki, ze mozna w tych rozwazaniach je pominac). Mogli tez uzyc rainbow tables, albo przesledzic ilosc takich samych hasel w bazie (tj. z tym samym hashem). Pomimo, ze haslo nie jest jawne, pole do popisu dalej jest spore.

    edit: fajnie działa cenazura na wykopie - rozumiem ze slowo 'h.u.j.' w 'has.h.u.j.emy' to przeklenstwo? ;)

    pokaż komentarz
    Regis86
  • metaxy +3  

    RT nie zawierają pełnego zbioru możliwych kombinacji to raz. Dwa jeżeli miałby się przydać to hasła musiałyby być hashowane bezpośrednio np. md5("hasło"), a to również głupota. Aby podnieść poziom zabezpieczeń musi być dodawany jakiś salt, wtedy md5 z "hasło(d8sad8aasdabsnda7sy8d7qkjsfh&^" nie znajdziesz w RT. Po trzecie - trzymanie w bazie informacji o długości hasła to już nawet nie głupota. To kretynizm - ilość możliwych kombinacji spada diametralnie.

    pokaż komentarz
    metaxy
  • RobusCracker -1  

    @metaxy
    trzymanie w bazie informacji o długości hasła to już nawet nie głupota. To kretynizm - ilość możliwych kombinacji spada diametralnie.
    Jeśli rzeczywiście używają dobrego saltu - dalej poza zasięgiem, obojętnie czy znasz długość czy nie.

    pokaż komentarz
    RobusCracker
  • jacekowski +3  

    a czy wszyscy zapomnieli o tym ze najbezpieczniejsze mechanizmy autoryzacji bazuja na nieszyfrowanych haslach ( plaintext znany przez obie strony ) - gdzie haslo jest mieszane z wygenerowanym czyms po obu stronach i jest potem wynik porownywany - jako ze wygenerowane cos jest zawsze inne przechwycenie odpowiedzi i tak nic nie da, haslo nie jest przesylane nieszyfrowane przez siec wiec tez jest bezpieczne
    hashowane hasla tak na prawde nie sa bezpieczne - haslo od poczatku do konca leci nieszyfrowane, zamiast byc niezaszyfrowane tylko 2 dwoch miejscach
    i jakby wszyscy zapomnieli - banki wymagaja przewaznie podania konkretnych znakow z hasla co tez wymaga posiadania plaintextu

    pokaż komentarz
    jacekowski
  • pink_art_pl +6  

    IMO w generalnym ujęciu problem aż tak wielki nie jest. Jeśli firma ma wdrożoną politykę bezpieczeństwa, to wgląd w produkcyjną bazę danych mają wyłącznie DBAs. Nie mniej jednak jeśli faktycznie nie haszują haseł, a w sumie sporo wskazuje, że tego nie robią, to świadczy o ich nieciekawym podejściu do kwestii bezpieczenstwa.

    Kto ma wszędzie takie same hasła? :P

    pokaż komentarz
    pink_art_pl
  • metaxy 0  

    Obstawiam, że może istnieć pewna redundancja w przechowywaniu haseł (o ile oczywiście odrzucimy najgłupszą formę, czyli trzymanie ich w formie jawnej). Możliwe, że istnieje podział na główną bazę, gdzie hasła są hashowane i druga w formie jawnej, która jest wyłącznie używana podczas aktualizacji hasła (czy jak teraz ich testowania). Do bazy z formą jawną ma dostęp b. wąska grupa osób. Osobiście jednak uważam, że jest to głupota.

    pokaż komentarz
    metaxy
  • AndyPSV +24  

    bardzo latwo zliczyc czy dane haslo jest slabe: wystarczy policzyc ile jego powtorzen wystepuje w bazie

    pokaż komentarz
    AndyPSV
  • metaxy 0  

    AndyPSV to rozwiązanie daje b. mały zbiór wyników. Oczywiście to + hash z loginu + hash z daty urodzenia + ew. hashe ze słownika dają taką możliwość. Aczkolwiek nie sądzę bo kolega pisze, że dostał takie info, a jego hasło składało się z liter, 1 cyfry i jednego znaku specjalnego.

    pokaż komentarz
    metaxy
  • Szym-s 0  

    @AndyPSV a może oni mieli je zahashowane, ale stwierdzili że sprawdzą którzy użytkownicy mają słabe i nakażą im zmienić, więc rozpoczęli wielką akcje deszyfracji za pomocą Tęczowych Tabliczek? :P

    pokaż komentarz
    Szym-s
  • dredzik +3  

    A może tak po prostu wygenerowali md5 z każdego słowa w polskim słowniku i porównali z tym co mają w bazie?

    pokaż komentarz
    dredzik
  • irving +11  

    Nie, z tego nie można wyciągnąć wniosku że allegro nie hash%!e haseł. Wystarczy że zapuścili john the ripper na swojej bazie i wykryli że spory procent jest łatwy do złamania bruteforcem.

    pokaż komentarz
    irving
  • irving +17  

    jeszcze mam uprzejme pytanie do developmentu wykopu...
    Dlaczego do ch!!a wacława nie możecie w końcu zaimplementować normalnego drzewka tak żeby każda odpowiedź była w swoim miejscu w wątku???

    pokaż komentarz
    irving
  • AndyPSV -5  

    tez mi sie wydaje, ze hasla sa po prostu zapisane w jawnej postaci - w koncu to allegro, nie oszukujmy sie panowie

    pokaż komentarz
    AndyPSV
  • oredaktor +3  

    A nie mogli poprostu zapisać w bazie także informacji o sile hasła?

    pokaż komentarz
    oredaktor
  • mrowek -7  

    Mówicie jakby jedynymi hashami były MD5 i SHA-1. Jak mówią że można przetestować siłę hasła na podstawie hasha, to ja myślę że skorzystali z jakiegoś innego systemu hash!#ącego i tyle. Wielka mi rzecz.

    pokaż komentarz
    mrowek
  • tharkang +2  

    Algorytmów hash$#ących używa się właśnie po to, by na podstawie hasha nie dało się uzyskać żaden sposób jakiejkolwiek istotnej informacji o haśle sposób inny niż sprawdzenie wszystkich kombinacji, zahashowanie każdej i porównanie, czy się zgadza.

    pokaż komentarz
    tharkang
  • gregorek +8  

    a kto powiedzial ze musze trzymac hasla jawnie zeby stwierdzic ze sa slabe. w momencie logowania i tak haslo leci plain'em do serwera gdzie dopiero jest liczony hash.

    przezylem kiedys taki problem, przy integracji pewnej appy z duzym system potrzeba byla przeniesc uzytkownikow i wyszstko co sie z nimi wiaze do calkiem innego systemu ktory mial swoje policy dot. hasel a store formy jawnej czy symetrycznie szyfrowanej nie wchodzil w jakakolwie gre. w zwiazku z tym ze byla to calkiem duza akcja, rok wczesniej juz zostalo zaimplementowane rozwiazanie ktore w momencie logowania (i pozniej ewentualnych zmianach hasla) klasyfikowalo je i tylko taka informacja byla trzymana w bazie. I w odpowiednim momencie Ci ze slabym haslem zostali poproszeni o zmiane hasla. W miedzyczasie na niesklasyfikowanych slownikowy brute. A kilka procent userow ktore sie przez ten rok nie zalogowalo bylo dobrym info dla dzialu biznesowego ze sa slabymi klientami i trzeba wznowic wspolprace, albo ich poprostu nie migrowac.

    Jest kilka innych sposobow ktore byly rozwazane, nie wymagajacych trzymania hasel formie ktore umozliwialaby ich odczyt. oczywiscie atak slownikowy zawsze daje duzo wynikow, zdziwilibyscie sie ile :P

    pokaż komentarz
    gregorek
  • irving -1  

    "pijesz kokainę i wąchasz hasz ale ty mnie nie oszukasz"
    Kazik Staszewski

    pokaż komentarz
    irving
  • TheBlackMan -3  

    Polecam następującą wtyczkę do Firefokx'a w celu hashowania haseł do różnych stron.
    Allegro nie musi wcale znać waszego prawdziwego hasła.

    https://addons.mozilla.org/pl/firefox/addon/3282

    pokaż komentarz
    TheBlackMan
  • Preclowski -3  

    Czego sie boicie? Haslo mozna odhashowac w ciagu kilku sekund... Zadne to zabezpieczenie a dzieci neo robia z tego afere... Tablica teczowa, kilka dni i odhashowane sa wszystkie hasla z allegro. Pozatym dzieki odpowieniemu wykorzystaniu tablic teczowych mozna obliczyc sile hasla bezposrednio na hashu.

    pokaż komentarz
    Preclowski
  • Szym-s +1  

    @TheBlackMan nie do końca jest to dobry pomysł. Gdyby niezahashowane hasła wyciekły to wówczas bez tego pluginu trzeba by wpisać jako hasło to które wyciekło czyli zahashowany ciąg w celu logowania... Podsumowanie (konkluzja dla ludzi odległych od świata IT) ---> jeśli hasło zostałoby wykradzione z bazy allegro, a nie naszego prywatnego komputera, wówczas owa wtyczka nie ma racji bytu, ponieważ nie zabezpiecza w ogóle... :-)

    pokaż komentarz
    Szym-s
  • Szym-s +3  

    @Preclowski a zakład, że nie odhash!$esz? To chyba logiczne ze po generacji Tęczowych Tablic dehashowanie stało się dość szybkie i po to zostało wprowadzone "słowo kluczowe" czyli przykładowo MD5(MD5(hasło)+słowo_kluczowe). Dam Ci takowe hasło i zobaczymy jak i ile będziesz łamał, ok?

    pokaż komentarz
    Szym-s
  • mosbiq +2  

    @Preclowski - a slyszales kiedys o hash+salt ?

    pokaż komentarz
    mosbiq
  • Deykun -2  

    A ja bym zrobił w php liczenie znaków str() i haswoanie może allegro myśli jeszcze bardziej i liczy ilosc znaków przy rejestracji.

    Ja też nie hasuje pisząc gry dla 50-70 osób ale zaznaczam to w regulaminie.

    pokaż komentarz
    Deykun
  • M4ks +1  

    Ja kiedyś dostałem mejla od CDProjektu z moim hasłem w plaintekście (w mejlu!!) i prośba,żebym zmienił (jak jakiś nowy portal robili czy coś)

    pokaż komentarz
    M4ks
  • kocureq -1  

    Tak, to niestety jest popularne.

    pokaż komentarz
    kocureq
  • gvs +1  

    Miałem praktyki w Allegro, uczyłem ich jak działają indeksy B-drzewo..

    pokaż komentarz
    gvs
  • Adaslaw -2  

    @gvs
    O B-Tree to toczy się właśnie rozmowa, ale pod innym wykopie ;P
    http://www.wykop.pl/link/221060/mysleliscie-ze-dysk-twardy-waszego-komputera-jest-szybki

    pokaż komentarz
    Adaslaw
  • kocureq 0  

    A to możliwe, patrząc ile im zajęła ta migracja do Oracle :)

    pokaż komentarz
    kocureq
  • pike +1  

    Zajmuje się bezpieczeństwem i administracja sieci, jak i w oprogramowaniu od dawna (także zawodowo). Normalka jest to, ze się sprawdza hasła „zahashowane” (np. md5, DES itp) co jakiś czas (np. za pomocą 'cronjoba' i prostych narządzi (w trybie offline) i tak zwanych „rainbow tables” , czy użytkownicy się stosują do odpowiednich podstawowych zasad. Są to działania w pełni zautomatyzowane, tak ze administrator nie ma możliwości (raczej: nie chce miec) wglądu co to za hasła. Komunikat w tym wypadku jest automatycznie wysyłany. Statystycznie ponad 30% osób mających odpowiednie konto w takim systemie ma słabe hasła.
    Jest to sposób używany w każdej poważnej firmie, uniwersytecie itp. dbającej o bezpieczeństwo swoich użytkowników , jak i systemu. Jest jeszcze wiele innych sposobów. Nie jestem związany z Allegro, nie wiem jakie techniczne rozwiązanie mają (jest wiele), ale takie działanie jest godne pochwały.

    Smieczą mnie wypowiedzi „informatyka”. Prawie każda dziedzina w informatyce jest dzisiaj oparta także na pewnych aspektach bezpieczeństwa, a to są absolutne podstawowy.

    pokaż komentarz
    pike
  • kocureq 0  

    "są absolutnie podstawowy"?

    A soli nie stosujesz w bazie, bo?

    pokaż komentarz
    kocureq
  • 162 +1  

    No dostaje k%#$icy kiedy jakiś serwis mi każe podać LEPSZE hasło. Moje hasło - moja sprawa. Później zapomnę hasła z Allegro (bo moje niby jest słabe) i dupa, drugiego konta nie założę.

    pokaż komentarz
    162
  • neoneo +2  

    Większość użytkowników masowych serwisów jak Allegro nie ma pojęcia o informatyce. Trzeba ich chronić, nawet kosztem frustracji ekspertów ;)

    pokaż komentarz
    neoneo
  • Axior -2  

    Hasło nieobeznanego: Ania (bo skad maja wiedziec ze tak ma na imie jego dziewczyna)
    Hasło h4xora: f8789vjasŻć
    Hasło obeznanego: Ania (bo jak będą chcieli złamać to i tak złamią)

    pokaż komentarz
    Axior
  • lobo -1  

    Istnieje druga możliwość, hasła w bazie mogą być zaszyfrowane i możliwe do odczytania przy użyciu hasła głównego. W końcu allegro nie musi używać sha1 czy md5.

    pokaż komentarz
    lobo
  • Zryty +5  

    Soft i tak musialby znac haslo aby przeprowadzic operacje uwierzytelniania...
    Swoja droga, ciekawe czy panowie z google nie ulegli pokusie analizy hasel wykorzystywanych przez swoich uzytkownikow. Wyniki takich analiz moglyby okazac sie bardzo ciekawe.

    pokaż komentarz
    Zryty
  • patent +1  

    Sami Botanicy, w kółko o haszczach gadają.

    pokaż komentarz
    patent
  • oggy -1  

    IMHO sprawdzają hasło przy logowaniu i jeżeli jest słabe, to wysyłają e-mail.

    pokaż komentarz
    oggy
  • paziek -1  

    W artykule jest napisane, że wiadomość została rozesłana również do kont nieaktywnych.

    pokaż komentarz
    paziek
  • le_vampire -1  

    może sobie napisali program, który tworzy hasła przez brute force i metodę słownikową i hash$$e i tę bazę hashów porównali z rzeczywistą i jeśli ktoś miał ten sam hash co wygenerowany to uznano za zbyt proste hasło... i tyle (nie znam się)

    pokaż komentarz
    le_vampire
  • MNDT1992 -1  

    jesli sie nie znasz, to po co sie odzywasz, nietoperku

    pokaż komentarz
    MNDT1992
  • pink_avenger -3  

    Takich programów nie trzeba pisać, bo są dawno napisane. I tak właśnie działają. Ni mniej ni więcej, biorą hasło ze słownika, kodują według odpowiedniego algorytmu i jeśli wygenerowany skrót (hash) się zgadza, to hasło jest odgadnięte. Oczywiście program próbuje słów ze słownika, również w odwrotnej kolejności oraz dodaje do testowanego słowa, liczby. Sprawdza też czy hasłem nie jest login, imię, nazwisko czy inny atrybut "łamanego" konta.

    pokaż komentarz
    pink_avenger
  • kees -1  

    Może mają tęczowe tablice wszystkich prostych haseł i wiedzą po hashu, które takie są :P Zwykłe szukanie sensacji...

    pokaż komentarz
    kees
  • kocureq 0  

    Jak mają hasła bez soli, to nie zwykłe szukanie sensacji, tylko nadal problem. A jeśli mają hasła z solą, to tabele nie pomogą

    pokaż komentarz
    kocureq
  • lolcat666 -4  

    Wy i wasze teorie spiskowe... Po prostu zalozyli lipny sklepik internetowy na podatnym CMSie i wrzucili jako userow allegrowiczow, nastepnie umiescili jakis prosty inject na radzieckim forum i sprawdzali, ktore hashe udalo sie pasjonatom zlamac i zalogowac. No... to jest fajna teoria spiskowa, a nie to co wasze :)))

    pokaż komentarz
    lolcat666
  • MNDT1992 +1  

    umieścmy je na tureckim forum, będzie zabawniej

    pokaż komentarz
    MNDT1992
  • wendigo -2  

    select count(1), passwordhash from uzytkownicy group by passwordhash having count(1) > 10;

    Zakladajac ze 10 osob w serwisie ma to samo haslo (i nie sa to te same osoby, mozna sprawdzic po mailu np albo danych adresowych) to znaczy ze haslo jest do d... (test1234, ania86, kochammame, pokazcycki itp) ;]

    pokaż komentarz
    wendigo
  • litestep 0  

    To jakieś gówniane hashowanie i polityka bezpieczeństwa. Użytkownik ma w ogóle nie mieć możliwości wyboru słabego hasła zaś hash powinien być solony np. loginem i numerem użytkownika w bazie.

    pokaż komentarz
    litestep
  • M4ks -2  

    nie nie - hasło usera - problem usera, można mu conajwyżej doradzić zmianę, ostrzegać - ale nie wymuszać

    pokaż komentarz
    M4ks
  • mateyko -5  

    Jak zwykle masa specjalistów!

    UWAGA SPOSÓB NA SPRAWDZENIE CZY HASŁO NIE JEST ŁATWE

    wchodzimy na http://gdataonline.com/seekhash.php i wklejamy hasha. Jeśli znajdzie się on w bazie wyników hashowania jakiś ciągów poznamy ten ciąg.

    Zahash#$cie sobie hasła typu 12345 i zobaczycie że zostaną odkryte.

    pokaż komentarz
    mateyko
  • elKreciko 0  

    Nie sprecyzowałeś, jakim algorytmem mamy zahaszować hasło. MD5 jest już przestarzałe.

    pokaż komentarz
    elKreciko
  • Wareq 0  

    Bezużyteczne dla większości stron gdzie nie korzysta się z md5(hasło) tylko np. md5(hasło + @#@%$^%$#^$%^%$$#@@#losowyciąg_znaków)

    pokaż komentarz
    Wareq
  • gac3k -3  

    jest przecież jeszcze jedna możliwość o której nikt nie wspomniał,mogą przecież mieć własny system kodowania haseł zamiast korzystać z gotowego jak md5 czy sha1, w takim przypadku mogą dowolnie kodować i rozkodowywać hasła

    pokaż komentarz
    gac3k
  • lolcat666 +4  

    Wtedy bylaby to funkcja dwukierunkowa, lub funkcja z "master password" co klociloby sie z idea.

    pokaż komentarz
    lolcat666
  • gac3k -4  

    owszem była by to funkcja dwukierunkowa jak np base64 ale nie udostępniana publicznie

    pokaż komentarz
    gac3k
  • johnnychm -1  

    To, że allegro jest w stanie wskazać słabe hasła wcale nie oznacza, że przechowuje je w formie jawnej. Wystarczy, że trzymają je bez salta lub ze słabym saltem niezależnym od usera.
    Mogą generować ogromną listę hashy, dla krótkich i słabych haseł. Następnie porównać hashe z bazy danych z wygenerowaną listą. Wcale nie wymaga to długiego czasu - wystarczy dla każdego hasła sprawdzić czy nie jest na liście wygenerowanych hashy.
    Dziwię się, że Piotr Konieczny nie przytoczył tej metody.
    Dziennik Internautów mało rzetelnie podchodzi do tematu i robi panikę bez powodu.

    pokaż komentarz
    johnnychm
  • lolcat666 -1  

    Po pierwsze przytoczyl ta metode jako druga. Po drugie wnioskujac z cytatu: "Informacja została wysłana w związku z podniesieniem poziomu bezpieczeństwa kont Allegro i obniżeniem ryzyka związanego z atakami słownikowymi na konta użytkowników." wlasnie tej metody uzyli.

    pokaż komentarz
    lolcat666
  • johnnychm -1  

    @lolcat666

    Metoda może została przytoczona przez P. Koniecznego, ale raczej jako mało użyteczna i najwyżej dla "kilkudziesięciu prostych haseł". Co IMHO jest bzdurą - można w ten sposób zahashować 100 milionów krótkich haseł bez problemu i sprawdzić siłę haseł w bazie danych.

    pokaż komentarz
    johnnychm
  • lolcat666 -2  

    @johnnychm: Tak miedzy Bogiem, a prawda to w istocie jest to malo uzyteczna metoda, gdyz wymaga: [ilosc slabych hasel w bazie]*[ilosc uzytkownikow] porownan w najgorzym wypadku, ale nie zmienia to faktu, ze prawdopodobnie jej uzyli.

    pokaż komentarz
    lolcat666
  • razielpol -4  

    Mogli do takich statystyk uzywac mocy obliczeniowej serwerow w nocy, jest maly ruch, komputerki sie nudza, to niech hash$!a i sprawdzaja. ;]

    pokaż komentarz
    razielpol
  • sws -3  

    @razielpol : Nie zaśmiecaj forum swoimi d$%$%nymi komentarzami. Spadaj-trollu!

    pokaż komentarz
    sws
  • razielpol -3  

    Widze ze mam fana. Trzeba bylo wtedy nie pisac glupot, to by ci sie nie dostalo. Btw, myslalem ze na wykopie zarejestrowales sie tylko po to, zeby komentowac gejowskie watki i chwalic sie ze biegasz z obsranym kijkiem...

    pokaż komentarz
    razielpol
  • sws -4  

    @razielpol ; Nie wiem o czy mówisz, coś ci się w główce porąbało? WTF.

    pokaż komentarz
    sws
  • johnnychm -3  

    @locat666: Metoda nie jest słaba , bo wymaga
    ilosc slabych hasel w bazie + ilosc uzytkownikow operacji.
    Doświadczony programista tak to zakoduje z wykorzystaniem dowolnego słownika hashtablica lub cokolwiek innego.
    Złożoność, którą opisałeś [ilosc slabych hasel w bazie]*[ilosc uzytkownikow] ma metoda napisana na szybko i lamersko.
    Da się to zrobić liniowo tj. [ilosc slabych hasel w bazie + ilosc uzytkownikow ], przy niewielkim wysiłku mózgownicy. Dlatego dziwi
    mnie , że taki znawca jak P. Konieczny tej metody nie docenił.

    pokaż komentarz
    johnnychm
  • HeartCore -1  

    Ostatnio aktualizowałem swoje dane na allegro (akurat nie hasło). W ustawieniach informowano, że hasło jest słabe ale mejla żadnego nie dostałem.

    pokaż komentarz
    HeartCore
  • paziek -2  

    Saltowanie hasła użytkownika w bazie znacznie spowolni powyższą operację - zestaw hashy dla prostych haseł musielibyśmy generować osobno dla każdego z użytkowników.
    Nie rozumiem tego "experta". On używa innego salta dla każdego użytkownika? Czyli co, trzyma informacje jakiego salta użył tuż obok hasła? Bo inaczej tego nie widzę w takim przypadku, a jeśli tak jest, to jaki to w ogóle ma sens posiadanie tego salta? Jak ktoś mu pojedzie po SQL to będzie miał i hasha i salta.
    Mi się osobiście wydawało, że salta trzymasz w skrypcie i jeśli ktoś ci wlezie tylko w bazę danych, to salt nadal działa. A to, że został użyty taki sam wszędzie, to co to za różnica?

    Nie mniej jednak zgadzam się, że używanie tego samego hasła do różnych serwisów to głupota. Kiedy sam używam 2 różnych haseł do stron typu "sram na to, że ktoś mi się tutaj zaloguje", to do miejsc gdzie można stracić kasę to już mam unikalne. Wydawałoby się, że to jest zdrowy rozsądek posiadany przez większość ludzi.

    pokaż komentarz
    paziek
  • Kicok +2  

    Co jest złego w używaniu osobnego saltu dla każdego użytkownika? Np. md5( hasło + pół_loginu + data rejestracji )? Mając bazę danych możesz sobie kombinować ile wlezie a i tak jest mała szansa że odgadniesz sposób tworzenia soli.

    pokaż komentarz
    Kicok
  • paziek -1  

    W sumie racja.
    Ale jeden i drugi salt można pojechać brute force-em znając choćby jedno hasło (np. wstawione przez samego siebie). Tyle, że taki salt zapisany w kodzie to może być tak skomplikowany, że brute force niewiele da. Co prawda z twoim sposobem też można kombinować - ciąć, sklejać, przemieszczać itp. aby uzyskać również coś skomplikowanego do brute force'a ale to jest IMO marnowanie mocy obliczeniowej na coś, co można uzyskać wpisując gotowca w kod.

    pokaż komentarz
    paziek
  • kocureq -1  

    Tak, ale zauważ, że jeśli mamy hash(coś) i chcemy uzyskać "coś", to świadomość, że coś = hasło + "dupa" nic nam nie da, bo hash (hasło+dupa) wcale nie wynika z hash(hasło) + hasło(dupa) - więc sól może być jawnie trzymana w bazie

    pokaż komentarz
    kocureq
  • PoshPaul -2  

    Hasz i hasz na haszu... ale mam smaka... ide na Camden cos kupic :)

    pokaż komentarz
    PoshPaul
  • litestep -2  

    Ale o co chodzi? Przecież to, że Allegro nie haszuje haseł było wiadomo już jakiś czas temu, kiedy allegro zapowiedziało, że od pewnej daty będzie brać pod uwagę wielkość liter w haśle.

    pokaż komentarz
    litestep
  • Axior 0  

    Znajomy parę lat temu dostał bana bo na haśle miał ustawione "mam15lat". W sumie dziwna sprawa, bo przecież mógł mieć ustawione cokolwiek i nikt nie powiedział, że to musi mieć potwierdzenie w rzeczywistości, ale nikt nie raczył to sprawdzić. No i pokazało ewidentny wgląd w hasła.

    pokaż komentarz
    Axior
  • cypherq -5  

    Właśnie, może po prostu uznali za słabe hasła słownikowe? Zahashowali słownik angielski i / lub polski i porównywali?

    A ludzie zamiast pomyśleć od razu się pocą. Ja też mam hasło złożone z samych liter, małych w dodatku, jeśli chodzi o allegro i żadnego powiadomienia nie dostałem...

    pokaż komentarz
    cypherq
pokaż 

Wykopali i zakopali (310 / 13)