Buvo įsilaužta į KTU duomenų bazę, paviešinta informacija

Kūl. Dabar Ada Vyšniauskaitė ir Adelė Tamošiūnaitė susilauks milijono žydiško spamo. Va prie ko priveda visokie viešųjų pirkimų įstatymai, kai rimtas sistemas kodinti duodama kreivarankiams. Ir dabar dar sykį pakartokit, kad sistemų architektu gali būti bet kuris trečiakursis ;]

Nugi pigiau išeina, kame problemos?

Viskas aišku. Įsilaužėlis yra KTU studentas kuris rado klaida, bet niekas jos nenorėjo taisyti. Tai ir nulaužė ir paviešino, kad pradėtu dirbti sistema prižiūrintys programuotojai.

Nors slaptažodžiai nėra "plain text" saugomi (dėja būna ir taip)

Jo, bet irgi pasirenka slaptazodius.. b81874126ff2470e77392925b59f1e26 - belenkas

Tokiam puslapiui toks ir slaptažodis Aš pats ne kitokį naudoju tokiems puslapiams, kur vieną kartą užsiregistruoji ir pamiršti. Beje pragooglinau savo hash'a ir dideliai nuostabai nieko nėra matyt skaičiai ir simboliai daro savo nors ilgis vos 6 simboliai.

"Beje pragooglinau savo hash'a ir dideliai nuostabai nieko nėra matyt skaičiai ir simboliai daro savo nors ilgis vos 6 simboliai." 1. Google neindeksuoja md5 hašų duomenų bazių. 2. Bruteforce. Nuomojami kompiuteriniai ištekliai ar turimas galingas kompiuteris 6 simbolių hašą įmins mažiau nei per parą.

Googlinti gali ne vien googleje yra pilna md5 hash dumbaziu. Esmėje naudos nebus jei ir sužinosi koki lieva slaptažodi, kuris naudojamas lėviems puslapiams.

Plius "rainbow tables", kai kreivarankiai koderiai pamiršta "sūdyti" slaptažodžius. Pasūdyto bent 8 simboliais joks nuomojamas kompas per metus neatspės. Nebent iš kažkur sužinos pačią druskelę.

[quote="rwc"][quote="Sim"]"Beje pragooglinau savo hash'a ir dideliai nuostabai nieko nÄ—ra matyt skaiÄ

Galima saugoti ir toje pačioje DB, tiesiog reikia į konfiguracijos failą serveryje įdėti ilga slaptažodi kuris visas tas druskeles taip pat užšifruos. O kai vartotojas bandys prisijungti paims slaptažodi iš konfiguracijos failo ir iš koduos.

jūs ponas neteisus 8 simbolių hashą galima nulaužti tikrai palyginus labai greitai aišku naudojant GPU

Tai kad echo "belenkas" | md5sum 1fcba3ae7eab65a5f9bc28fc5104d2ce - Tai kažkoks kitas algoritmas panaudotas gal?

jei teisingai atsimenu tai su echo patikrint md5 reikia pridet -n parametra kad eilutes pabaigos simbolio neitrauktu.

O „salt“ nebuvo naudojamas?

Šiuo metu rekomenduojama dėti slaptažodį 12 simbolių, čia jau ir nuo super kompų galima saugotis.

beja, tie kas savo paw tikrinot duombazese, tai jie jau itraukti ir beverciai, kad ir kiek simboliu naudojote

, teisingai padarytos druskelės ilgis šiaip jau įskaičiuojamas į slaptažodį. Išskyrus brute force - su krekeriu nepakariausi, jei jis iš 51 simbolio (slaptažodžio+salt) žino 50 (salt). Bet kuriuo atveju, nerekomenduočiau į galvą susigrūsti ilgesnių nei 8-10 simbolių slaptažodžių, nes jų ateitis tuomet lipdukas ant monitoriaus.

Galima susikurti slaptažodžių sistemą, ir tuomet turėti gerokai ilgesnius, nei 8-10 simbolių slaptažodžius. Tik ar to reikia?.. Jei nesi kažkoks labai svarbus asmuo, neturi kažkokių internetinių verslų, tai nelabai kam įdomus ir esi. Nebent patrollinti kas nors sugalvos.