Šimtus milijonų slaptažodžių saugojo atviru tekstu. Skyrė 101 000 000 dolerių baudą

Įdomu koks būtų tinkamas Meta darbuotojo mano slaptažodžio panaudojimas Jeigu darbuotojas bent pamatė mano slaptažodį, kad ir "scrolindamas" tą duomenų bazę, tai jau yra slaptažodžio nutekėjimas. O panaudot/parduot jis jį gali ir už įmonės ribų.

Tiems, kas skaitė straipsnį ir nieko nesuprato: Atviru tekstu saugomi slaptažodžiai yra tokie: 1234 Slaptazodis BumBumBum123 Ir.t.t. Tinklapiuose slaptažodžiai užšifruojami registravimosi metu ir net tinklapio savininkas išsaugotus slaptažodžius mato maždaug taip (tai realiai užšifruotas tekstas, pateikto kaip pavyzdys aukščiau; skliausteliuose - originalas): Adr7Rv46VE.LE (1234) AdmhPga2ay/m6 (Slaptazodis) Adok65/L5vG2s (BumBumBum123) Ad7QxtlHEVGLA (Ir.t.t.) Atgal tos sulygina su išsaugota. Jei sutampa - prašome užeiti.

Logiškai, sistema, kuri gali 1234 paversti į Adr7Rv46VE.LE ir tai daro šimtus kartus, ir visada su tuo pačiu rezultatu, tai ta pati sistema turi galimybę ir atvirkščiai iš kodo išgauti slaptažodį. Taigi, iššifruoti įmanoma, ir turėtų būti taip pat lengva, kaip ir užšifruoti, reikia tik turėtų identišką šifravimo programą.

Klysti. Hashas nėra įprastine prasme užšifruotas tekstas - jame nebėra pakankamai informacijos tekstui atkurti. Pvz, gali įsivaizduoti tokią primityvią hashinimo funkciją, kuri susumuoja visus teksto raidžių baitus, dalina sumą iš 256 ir grąžina liekaną - baitą aka reikšmę nuo 0 iki 255.

Man įdomu, kodėl šiame straipsnyje rašoma jog md5() gali būti iššifruota? nors tai bene populiariausia salptažodžių šifravimo funkcija. Aš asmeniškai savo portaluose pridedu kelis simbolius prie slaptažodžio t.y jei slaptažodis "123456" dar pridedu "123456abc!" tuomet atlieku MD5 ir dar į gautą Hashą įterpiu kelias raides - žinoma matant visų slaptažodžių hashus bus lengva pastebėti jog tarkime penktas simbolis hash'e visada yra pavyzdžiui raidė "m" . Bet tai irgi papildomas saugumas, jei kenkėjas gauna tik vieną slaptažodį, jis to nežinos.

Rašyti, kad gali būti iššifruota, gal ir nėra labai korektiška, bet laužimo būdų yra žinoma: https://en.wikipedia.org/wiki/MD5#Overv ... ity_issues Galbūt kokie atsilikę nuo gyvenimo PHP skriptvaikiai jį ir naudoja, bet dabar jis laikomas nebesaugiu jautrios informacijos saugojimui ir keičiamas SHA-2/SHA-3 šeimos algoritmais (pvz, SHA-256, SHA3-512)