?

Log in

No account? Create an account
Самое интересное в истории с линкединовскими паролями - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Самое интересное в истории с линкединовскими паролями [Jun. 8th, 2012|06:53 pm]
ArkanoiD
это не хэш без соли, нешто мы хэшей без соли не видели, и не sha1 в один раунд.

Больше всего заставляет задуматься вот это:




http://thenextweb.com/insider/2012/06/06/as-news-of-linkedins-potential-security-leak-spreads-the-market-yawns/

Думаю, моим коллегам эта ссылка поможет более реалистично смотреть на то, чем мы занимаемся и зачем.
linkReply

Comments:
[User Picture]From: rednyrg721
2012-06-08 02:58 pm (UTC)
Слегка офф: По поводу хэшей и соли вчера отжог readwriteweb.com:

"Passwords that are hashed but not salted become susceptible to brute-force hacking techniques. The malicious hacker jargon for this (among other things) is SQL injection, a way to hook into a data set and extract information from it."

www.readwriteweb.com/archives/avoiding-password-breaches-101-salt-your-hash.php

priceless же! ну и вообще статья адовая во многих местах.
(Reply) (Thread)
[User Picture]From: _slw
2012-06-08 02:59 pm (UTC)
нихуянепонял
(Reply) (Thread)
[User Picture]From: blacklion
2012-06-08 03:04 pm (UTC)
У Линкедина спиздили базу легколомаемых паролей, а акции и не подумали рухнуть под плинтус.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: sorhed
2012-06-08 03:01 pm (UTC)
Ничего не произошло. Ну, собственно, и не ожидалось. Люди не понимают, что это не просто «пароль поменять».
(Reply) (Thread)
[User Picture]From: arkanoid
2012-06-08 04:33 pm (UTC)
Ну, видишь, для нас, безопасников, это такой необходимый компонент синхронизации с реальностью. Можно, как большинство, считать, что если факты не согласуются с нашим представлением, то тем хуже для фактов. А можно остановиться. Задуматься. Задать себе вечные вопросы -- кто я? че я вообще по жизни делаю? с какого я раена? есть ли у меня закурить? че я такой дерзкий?
(Reply) (Parent) (Thread) (Expand)
From: mindfactor
2012-06-10 08:42 am (UTC)
>Люди не понимают, что это не просто «пароль поменять».

А что это насамом деле ?
(Reply) (Parent) (Thread)
[User Picture]From: za1chas
2012-06-08 03:09 pm (UTC)
Прокомментируй. Я сейчас похожее строю, чем тебе не нравится sha1 с солью? И что такое один раунд? Я делаю два раунда - одно солится через IP, а другое на изолированном домене восстанавливает при смене IP, но не уверен, что ты имел в виду это ;)
(Reply) (Thread)
[User Picture]From: blacklion
2012-06-08 03:13 pm (UTC)
чем тебе не нравится sha1 с солью?
Тем, что на GPU считается с ураганной скоростью.

И что такое один раунд?
Один вызов sha1.

Вообще, надо использовать или scrypt нынче или PBKDF2.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: rblaze
2012-06-08 03:20 pm (UTC)
Ну очевидно же: на курс акций влияют ожидания относительно благополучия компании. Благополучие linkedin зависит от числа его пользователей, по большому счету. Будет ли сколько-нибудь заметный исход пользователей из Linkedin из-за этой утечки? Конечно нет, мы любим его совсем не за это. Ну вот цена акций и не дергается ни секунды.
(Reply) (Thread)
[User Picture]From: _slw
2012-06-08 03:53 pm (UTC)
(Reply) (Thread)
[User Picture]From: ximaera
2012-06-08 04:42 pm (UTC)
Так и раньше было понятно, что основной массе вся эта гиковская херня типа privacy, information security, уязвимостей и т. п. -- побоку. Вот если бы эти аккаунты сломали, личные данные переписали и / дефейснули (всё сразу), вот тогда бы дошло и до биржи. А так -- ну, украли, ну, (наверное) починили, бывает.

Решительно не повод брать пример с линкедина, поскольку ведь реально могли и сломать, и переписать, и дефейснуть.

Edited at 2012-06-08 04:43 pm (UTC)
(Reply) (Thread)
[User Picture]From: brainsucker
2012-06-14 07:47 am (UTC)
Сорри что поднимаю пост (впрочем неделя ещё не прошла - можно ;).

линкед ин там правда только хэши паролей слил, без связи с аккаунтами? спрашиваю т.к. есть некоторая вероятность что эту инфу уже пробовали использовать для взлома скажем live.com (подробнее расписал тут, правда склоняюсь к мысли что просто баг у мелкомягких был).

понятно что вероятность слива единого пароля используемого пользователем на многих помойках вообще стремится к бесконечности, просто тут масштаб ого-го :)
(Reply) (Thread)
[User Picture]From: arkanoid
2012-06-14 08:08 am (UTC)
"слил" в смысле опубликовали или "слил" в смысле украли? от ответа на этот вопрос могут зависеть два разных варианта ответа на исходный.
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: arkanoid
2012-06-27 12:54 pm (UTC)
Может, но в данном случае маловероятно.
(Reply) (Parent) (Thread)