Programišių rankose – 2,2 milijardai asmeninių duomenų: „Tai beprecedentis duomenų kiekis, kuris galiausiai pateks į viešumą“

Toks labai elementarus klausimas: O tai Yahoo“, „LinkedIn“ ir „Dropbox“ slaptažodžius savo duomenų bazėje laiko neužencryptintus? Juk, kad slaptažodžiai turi būti saugomi ne tekstu, o hash, pridedant dar "druskos" yra vienas iš basic dalykų, kurį sužino dar tik pradedantis web developeris. Jei tokie duomenys ir nutekėtų, tai hackeriai liktų nieko nepešę...

Ten garantuotai tėra meilo ir hasho pora. Blogumas tas, kad pagal meilą gali išsirinkt taikinį ir tada mest visus resursus jo slaptažodžio išrinkimui. Nėra taip baisu, kaip bando parodyt.

Kompanijos passwordų nesaugo, bet saugo privačius raktus, su kuriais gali jau atkoduoti visą norimą info. Aišku čia ne tas pats kaip pavogti pass, bet jie su šita info gali atkurti tavo passwordą.

Tačiau tas bandymas parodyt, kad yra baisu, manau yra naudingas.

ne visai tiksliai: pvz Linkedin 2012 hack'as (~165 mln. prisijungimų): prisijungimo vardai (atviri) + slaptažodžio hash'as. Tačiau hash'ams buvo naudotas sha1 algoritmas be jokio salt'o, t.y. jie buvo labai greitai atkoduoti. pvz Adobe 2013 hack'as (~150 mln. prisijungimų): prisijungimo vardai (atviri) + slaptažodžio hash'as + slaptažodžio priminimo hint'ai ir jų atsakymai (atviri). Be to, pats hash'as buvo padarytas nekokybiškai, dauguma slaptažodžių buvo labai greitai iššifruoti.