Hakeri ukrali lozinke korisnika Dropboxa

Uvijek je riječ o funkciji sažetka s malo soli, glup je onaj koji takve podatke drži kao običan tekst. Međutim, svakako se nadam da nije riječ o funkciji sažetka MD5, nego da su koristili bar SHA-2.

 

Problem je što je danas rainbow attack jako efikasan zbog mogucnosti jeftinog zakupa ozbiljnih cloud procesorskih resursa koji prije nisu bili dostupni svakome. 

 

A na 68 mln hasheva, sigurno ima na tisuce "password123" genijalaca :D

zar opet... neki dan su hakirali epicgames forum, moro sam password minjati, sad dropbox pff...

To nije problem Dropbox-a (oni su sigurnost sa svoje strane ispoštovali), vec čisto tih genijalaca. Za takve je genijalce dovoljan i običan napad grubom silom preko rječnika.

Međutim, ako su dodali soli kao što sam već spomenuo (a pretpostavljam da jesu, nije riječ o Štefekovom forumu za ekipu iz razreda, već o poduzeću s milijunima korisnika), napadi "duginim"() tablicama postaju nedjelotvorni.

 

Zato ja kažem da dobar recept uvijek mora imati malo soli. :D (ponekad i Vegete ;)

EDIT: Osim naravno, ako nisu maznuli i sol. Čut ćemo iz paške solane da li im fali.

EDIT2: Svi sažetci imaju i soli: "As part of these ongoing efforts, we recently learned about an old set of Dropbox user credentials (email addresses plus hashed and salted passwords) that we believe were obtained in 2012." - https://www.dropbox.com/help/9257

Iz napisanog bi se dalo zaključiti da su hakeri ukrali samo lozinke i adrese pošte, bez vrijednosti soli što bi značilo da nemaju velike koristi od toga.

 

Kako bilo, sve su lozinke poništene i sustav traži stvaranje nove. Samo mi nije jasno zašto su toliko dugo čekali i zašto im je trebalo toliko dugo da odrede opseg krađe.

Danas je uz jači hash i "sol", koja se gotovo uvijek nalazi u tablici zajedno s hashanim passwordima - što nije samo po sebi loše - tako da su vjerojatno maznuli i "sol", standardno da se i to sve skupa zavrti kojih par tisuća puta na način da se ne može paralelizirati, tako da hashiranje traje desetinku sekunde pa gotovo do pol sekunde. Ili kako se kaže: ne izmišljaj svoj algoritam, već koristi one provjerene: PBKDF2, Bcrypt, ... No iako većina ljudi to zna, uvijek se na kraju ispostavi da malo tko to i slijedi, pogotovo kod velikih "bizniza", gdje u početku nisu imali vremena misliti na tako nešto, a kasnije se nisu htjeli zamarati - jer "vrijeme je novac" :-P

Pod broj jedan, nigdje nisam ni spominjao SHA-1 sazetke, pod broj dva, kakvo izracunavanje nula? Molim te, prosvjetli nas.

Ok, krivo sam te onda razumio ovo za nulu. Ajmo redom, u prvom sam postu napisao da se nadam da su koristili SHA-2. Dakle, ne znam sto su koristili, samo sam kazao da se nadam da je SHA-2.

 

Dalje, da li imas negdje izvor koja je funkcija sazetka koristena prilikom izracuna sazetka? Kazes da je SHA-1, no ja nisam nigdje naletio na vijest u kojoj bi to bilo opisano?

 

Trece, ovi clanci koje si ovdje postavio, jedan govori o LinkedInu, koji su koristili SHA-1 bez soli! Sto je prilicno glupo za jedno takvo poduzece. Drugi clanak govori opcenito o probijanju lozinki. Da, SHA-1 nije pretjerano siguran, no u kombinaciji sa soli i visestrukim iteracijama (dakle izracunas sazetak, pa nakon toga sazetak sazetka i ponavljas proces, recimo, 1000 iteracija) sigurnost raste. U kojem smislu raste? Raste u tom smislu sto ti za izracunati 1000 iteracija treba puno vise vremena po lozinki od jedne iteracije. I tada hakeru nije svejedno ako za 10000 lozinki treba potrositi jednu sekundu (jedna iteracija izracuna sazetka) ili ako za jednu lozinku treba potrositi jednu sekundu. Drugim rijecima, na taj si nacin kupujes vrijeme (da korisnici stignu promijeniti lozinke). Pogotovo ako koristis i neku bolju funkciju sazetka, poput SHA-2.

 

Takoder, u tom clanku kaze sljedece: "A third of them contained eight characters, 19 percent contained nine characters, and 16 percent contained six characters. PACK also reported that 69 percent of the plains were "stringdigit" meaning a string of letters or symbols that ended with numbers. He also noticed that 62 percent of the recovered passwords were classified as "loweralphanum," meaning they consisted solely of lower-case letters and numbers." - dakle, totalna glupost od strane samog korisnika. Jedna trecina lozinki da je duga samo osam znakova?! 16% ima duzinu od 6 znakova! 69% su jednostavne lozinke "rijecbroj" kao npr., "zvijezdica123". 62% koristi samo mala slova! To je iskljucivo krivica samog korisnika. Dakle, i dalje ostajem pri tvrdnji koju sam iznio ranije: "To nije problem Dropbox-a (oni su sigurnost sa svoje strane ispoštovali), vec čisto tih genijalaca.". Da li su izracunali sazetke lozinki? Jesu (ne znamo da li iterativno, ali recimo da jesu). Da li su pritom koristili sol? Jesu. Sto su jos trebali, svakom korisniku posebno generirati njegovu ekstra sigurnu lozinku? Njihova je krivnja samo to sto su toliko tupavo cekali da produ 4 godine od napada.

 

A ako ti koristis lozinku "password123", a sto da ti ja radim?