Názory k článku
GitHub vyzval část uživatelů ke změně hesla, omylem si některá uložil
-
Ondra Satai NekolaZlatý podporovatelPokud nevidis rozdil mezi vrazdou a celkem beznou chybou, tak mas asi trochu problem...
-
Ondra Satai NekolaZlatý podporovatel
Kdo si nikdy neposlal debug do produkčního logů ať hodí kamenem.
-
Motyq (neregistrovaný)
Co je na tom divného? Existují hashovací funkce, které se přesně na toto dají využít - myšleno na zjišťování podobnosti, bez nutnosti exposnout zdrojovy cleartext. Neříkám, že to fcbk použil, ale už jsem to párkrát viděl v akci. Takže jestli tím narážíte na to, že fcbk ukládá někde hesla v plaintextu, aby zjistil podobnosti, tak se Vaše úvaha nemusí zakládat na skutečnosti
-
Karel (neregistrovaný)
Ne, takové hashovací funkce neexistují. Požadavek na hashovací funkce je, aby změna byť jediného bitu na vstupu způsobila velkou změnu hashe. Podobnost vstupu se tudíž podle podobnosti hashe odhadnout nedá. On by to byl docela vážný problém, kdyby ano, protože byste pak mohl poměrně rychle heslo z hashe uhodnout. Požadavek "nepoznat, zda jsem blízko" je jedním z těch základních.
-
Filip JirsákStříbrný podporovatelTakové hashovací funkce existují. Požadavek na náhodnost rozložení výstupu platí pro kryptografické hashovací funkce, ale ne obecně pro hashovací funkce. Hashovací funkce s podobným výstupem je slabší, než kryptografická hashovací funkce, ale to ještě neznamená, že půjde heslo snadno uhodnout – pořád musíte trefit nějaké podobné heslo, a teprve od něj se můžete dostat k tomu správnému. Ale pokud provozovatel dostává heslo v otevřeném tvaru, je nějaké následné hashování stejně jenom taková hra, takže je to skoro jedno, jaká hashovací funkce se tam použije. Jinak zrovna u Facebooku bych za nejrozumnější považoval, pokud mají uložený kryptografický hash hesla pro běžné přihlašování a vedle toho i zašifrovaná hesla, přičemž klíč by měli uložen off-line. Pak klidně mohou dělat (ne realtime) analýzu podobnosti hesel – případně ty podobnostní hashe mohou mít rovnou uložené v nějaké oddělené síti.
-
P K (neregistrovaný)
S jejich šmírovacími algoritmy bych měl strach mít stejné heslo k nim a do pošty. Neexistují žádná data, která by tahle společnost nedokázala zneužít.
A upřímně, ta chybová hláška opravdu zněla tak, jak jsem napsal - heslo bylo podobné. Nechápu, proč s tím otravují uživatele, je přece jeho problém, že použije nějaké profláknuté heslo. Asi jim marketing neřekl, že je to sice fakticky správně, ale že se tím odkopávají. -
Ondra Satai NekolaZlatý podporovatel
Takže z logů jde vyčíst stringy, co jsou hodně podobné existujícím heslům?
Co by se asi tak mohlo pokazit?
-
Filip JirsákStříbrný podporovatel
Provozovatel heslo nepotřebuje vůbec k ničemu – existují jednoduché metody přihlášení, u kterých serveru stačí znalost hashe hesla. Ale když uživatelé hesla serverům pořád posílají, neměli by se divit, že servery se ta hesla dozví a mohou je ukládat třeba do logů. Pořád se řeší jen následek a ne příčina.
-
null null (neregistrovaný)
@P K
Aha, takže když se seknu o písmenko, tak se pak někde v logech nachází moje téměř přesné heslo a ty logy se pak přeosílají po ajťácích z firmy, válí na fleškách a kdoví kde, když se řeší nebo dohledává cokoliv?
No paráda ... To se pak nedivím, že některé nezajímá HTTPS, když provádí takové věci ... -
mngnt (neregistrovaný)
Pôžitkár, agent: poprosim vas, dali by ste nam tu vediet, ake sluzby vy prevadzkujete? Ja len ak mam u vas nahodou ucet, rad by som si ho okamzite zmazal a pri troche smoly budem musiet menit hesla inde (ano, som vinny z obcasneho password reuse na throwaway sluzbach).
Ako k tomu pristupuje legislativna ochrana osobnych udajov? Ak poziadam, musia z logov odstranit moje udaje (IP, meno heslo) ak su zalogovane?
-
Filip JirsákStříbrný podporovatel
Ta vaše takřka bezmezná důvěra je pozoruhodná. Vy se dozvíte, že někdo zapisuje do logu hesla při neúspěšných pokusech o přihlášení, ale stejně věříte, že všichni ostatní s vaším heslem zacházejí velmi opatrně a nemohou ho kompromitovat ani chybou natož úmyslně.
-
null null (neregistrovaný)
Pokud se chceš někam opakovaně přihlásit, tak vždycky musíš něco posíla, nebo něco někde ověřit, přeposlat nebo nějak verifikovat. A vždycky je nějaká možnost, že ten, kdo by to měl ověřit, předat nebo s tím pak zachází, to může zneužít.
Ale evidentně, když tak potutelně pořád naznačuješ jak je metoda hesel zastaralá a všichni jsou hloupí a čekáš až ti někdo odpoví abys tu mohl rozjet svůj učební kurz, tak bys mohl teda konečně prozradit, která že je to ta metoda přihlášení, která jde nasadit masově a nejde jí nikým nikde podrazit nohy nějakým podobným diletatstvím ....
-
Filip JirsákStříbrný podporovatel
A vždycky je nějaká možnost, že ten, kdo by to měl ověřit, předat nebo s tím pak zachází, to může zneužít.
Aha, to jsem nevěděl. Jak konkrétně může server zneužít známé údaje při autentizaci na základě veřejného a soukromého klíče? Nebo abychom byli konkrétní a zůstali u webu, při autentizaci klientským certifikátem přes HTTPS? A ještě jeden případ – jak konkrétně může server zneužít uložený hashMD5(username:realm:password)(kromě uživatelského jména server žádný jiný údaj ke konkrétnímu uživateli nemusí znát) při HTTP autentizaci stařičkou metodou Digest? Dnes už je samozřejmě možné použít daleko modernější algoritmy, např. aspoň SHA-2 místo MD5, ale jde o ten princip. -
Filip JirsákStříbrný podporovatel
Kentan z Montargi: Ne, v mém komentáři je napsáno něco úplně jiného. Jsou to dost základní věc. Chápu, že vůbec netušíte, o čem se v tom komentáři píše, ale v takovém případě je chyba, že se vůbec pouštíte do diskuse o něčem, o čem vůbec nic nevíte.
Já jsem věděl, že na notorického trolla nemám reagovat. No nic, tak se zase vracíte do ignore.
-
null null (neregistrovaný)
Jaký trolling?
Tak tvrdíš, že jsou lepší metody než posílání nějaké hesla někam, ale vysvětlit jaké a teda jak řeší ten samý problém, tedy že ten, kdo to zpracovává, nebo to ukládá či generuje to podělá svým diletantstvím, to už jaksi neumíš? Stejně nakonec někomu věříš, že to dobře zpracuje nebo vygeneruje ... Jenom mě zajímá, jaký je teda ten způsob, který se nedá sabotovat výrobcem nebo provozovatelem? -
mngnt (neregistrovaný)
Suhlasim, dnes verit netreba. doba je surova. Ale vsetky online sluzby su postavene na dovere: dovere, ze ked sa zaregistrujem, ze pod mojim menom budu moje nakupy a moje prispevky na fore, ze sa k mojmu uctu neprihlasi kazdy, kto je kamarat s adminom a podobne. Keby to tak nebolo, neregistrujem sa nikde a rovno strihnem WAN kabel od routra.
Ako pisem, hesla opakujem len na sluzbach, na ktorych mi nevelmi zalezi: nejake fora, ktore vyzaduju login na pozeranie priloh (ubuntuforums.org kedysi), nejake stranky, ktore maju pre mna dolezity obsah za loginom, stranky, kde mozem stiahnut SW len po registracii, proste sluzby, ktore vyuzijem raz a zbohom. Aj to len niekedy, obvykle guerilla mail a jednorazove heslo.
Kazdy prevadzkovatel nejakej takejto sluzby by mal citit istu zodpovednost voci zakaznikovi/uzivatelovi, najma ak to so svojou sluzbou mysli vazne a chce mat nejaky dlhodoby vztah so zakaznikom (ako github zjavne chce).
ČLÁNKY DO MAILU