» »

Hotmail gesla kar po domače rezal na 16 znakov

Hotmail gesla kar po domače rezal na 16 znakov

Ars Technica - Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.

Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro odvrnemo napade s surovo silo (brute force), seveda pa moramo geslo varovati tudi sami in ne nasedati socialnemu inženiringu ali ribarskim napadom. Kakorkoli že, kdor se je ta teden poizkusil prijaviti v Hotmail z geslom, ki je daljše od 16 znakov, je dobil obvestilo, naj poizkusi vpisati samo prvih 16 znakov. In račun se je normalno odprl. To ima pomembne implikacije.

Razlagi sta samo dve. Bodisi Hotmail hrani gesla v tesktovni obliki in primerja le prvih 16 znakov, ker je velika neumnost. Druga razlaga je bolj verjetna. Hotmail očitno že od začetka upošteva le 16 znakov in iz njih izračuna zgoščeno vrednost (hash), ki jo potem hrani v bazi. S tem načeloma ni nič narobe, a uporabnike bi moral o tem obvestiti. Tako pa so mnogi vtipkovali precej daljša gesla in bili zmotno prepričani, kako varna so.

Microsoft je omejitev priznal in potrdil, da že nekaj let uporabljajo le šestnajst znakov. Razlog naj bi bila zgodovinska navlaka, saj se gesla in algoritmi vlečejo še z različnih strani in storitev, zato so jih bili primorani omejiti na šestnajst. Za močna gesla je to dovolj, a uporabniki morajo to vedeti. Sicer se lahko zgodi, da si kdo izmisli geslo abcdefgh123456789MocniDelGesla in se čudi, kako je bil njegov račun lahko kompromitiran.

80 komentarjev

«
1
2

RejZoR ::

Tistega, ki se je spomnil omejevati gesla z max številom znakov ga je treba za jajca obesit na obcestno svetilko.
Isto sranje se je zmislil SiOL pred leti z max mislim da 12 znaki. Če si imel več enostavno nisi mogu naredit želenega gesla. Minimalno še razumem ker s tem povečuješ varnost, ker od uporabnikov zahtevaš daljše geslo ampak da pa omejuješ navzgor pa je kretenizem brez primere.
Angry Sheep Blog @ www.rejzor.com

WamPIRe- ::

Pa dobro.. Da je omejen na 255 znakov še razumemm za 12 oz. 16 pa res ne.
Msi Z77 | Intel i7-3770K | Kingston HyperX DDR3 16GB
CM Silent Pro Gold 700W | Asus RTX 2080 | Samsung 850 EVO 250GB
Samsung 850 EVO 500GB | 2x Asus ROG PG279Q

HeMan ::

Zakaj pa na 255 razumeš?

BALAST ::

Dobra ali slaba podlaga za tožbo?!
"You may fool all the people some of the time;
you can even fool some of the people all the time;
but you can't fool all of the people all the time."

Lion29 ::

ce bi ti ga zaradi tega sheknali, bi bila dokaj dobra... tako pa precej, precej sibka...

kak danny crane bi verjetno zmagu... kjer drug pa ne :D
Founder and CTO @ Article-Fatctory.ai

RejZoR ::

Mislim da je 32 znakov povsem razumna zgornja meja, ki bi zadovoljila tudi največje paranoike.
Angry Sheep Blog @ www.rejzor.com

techfreak :) ::

Shranjujejo par GB mailov, slik in datotek na uporabnika, za geslo pa šparajo na prostoru?:))

WamPIRe- ::

HeMan je izjavil:

Zakaj pa na 255 razumeš?

Ker še nisem zasledil gesla daljšega od 50 znakov ;)
Si tudi ne predstavljam, da bi se daljši dejansko uporabljal ;)
Msi Z77 | Intel i7-3770K | Kingston HyperX DDR3 16GB
CM Silent Pro Gold 700W | Asus RTX 2080 | Samsung 850 EVO 250GB
Samsung 850 EVO 500GB | 2x Asus ROG PG279Q

Rias Gremory ::

Dobro bi bilo uvesti kakšne globe za take primere. Ali pa pač prepovedati shranjevanje gesel v plain obliki.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

root987 ::

Dolžina gesla je tako ali tako irelavantna - ko vržeš v hash funkcija imaš konstantno dolžino.
"Myths which are believed in tend to become true."
--- George Orwell

Roadkill ::

root987 je izjavil:

Dolžina gesla je tako ali tako irelavantna - ko vržeš v hash funkcija imaš konstantno dolžino.


lol wut?

Omejitev 255 je smiselna, da DBAji ne ponorijo.
Ü

Lonsarg ::

Relavantna glede shranjevanja hasha od gesla, ampak še kako relavantna glede varnosti. Dolžina geslo v bistvu eksponentno povečuje težavnost brute-force napada.

Jaz se nisem kaj sekiral in nisem gesla spreminjal, ko so ukradli hash od mojega gesla iz ena spletne strani, ker vem da izmed 10 000 ukradenih ni šans da bodo ravno mojemu hashu posvetili mesece/leta/več brute forca:) Drugo je, če je spletna stran plod kretenov ali kriminalcev, pa shranjuje v text..

technolog ::

Razlagi sta samo dve.


Še tretja. Najbolj logična.

HRANIJO samo prvih 16 znakov, seveda kar v plaintextu, kot se za MS spodobi.

Sploh je pa to njihovo opozorilo neumno. Uporabniku gredo težit, naj vnese samo prvih 16 znakov, čeprav bi lahko to naredili sami (torej porezali na serverju POST podatek), in nihče ne bi posumil ničesar. Ah, Microsoft.

Zgodovina sprememb…

techfreak :) ::

Mislim da je bilo pri Amazonu tako, da si lahko vnesel poljubno dolžino gesla, vendar je sistem avtomatsko odstranil več kot X znakov.

root987 ::

Omejitev 255 je smiselna, da DBAji ne ponorijo.

To že, moj stavek je bolj letel na razne "ok, pa saj je 30 dovolj...". Itak je vseeno če moraš shranit hash z 255 znaki.
"Myths which are believed in tend to become true."
--- George Orwell

techfreak :) ::

Imaš lahko upanje, da shranjujejo hash in ne plain text oblike.

zeleni ::

Ce bi plain text, bi verjetno precej lazje rezali pri neki storitvi prvih N znakov, pri drugi vzeli celo. Ker pa je verjetno en hash za vse storitve so pa potem tezave.

Sicer pa so po moje z on screen tipkovnicami dolzine gesl edino padle.

Wega ::

Z gesli je sploh križ. Zadnjič sem za geslo vpisal "kurac" pa me je zavrnilo z: "vaše geslo je prekratko"
Wega,
lep, postaven, pameten
in skromen.

Lion29 ::

Wega je izjavil:

Z gesli je sploh križ. Zadnjič sem za geslo vpisal "kurac" pa me je zavrnilo z: "vaše geslo je prekratko"


stara fora, a si mi polepsal vecer :D
Founder and CTO @ Article-Fatctory.ai

Okapi ::

Mene je bolj zaskrbelo, ko sem zadnjič enkrat pozabil geslo od enega poštnega računa, potem sem pa ugotovil, da obstaja programček Mail PassView, ki je izpisal vsa gesla, ki sem jih uporabljal.8-O

O.

Mesar ::

Ja ker imaš tak okužen sistem, da še tvojim sosedom počasi delajo računalniki.
Your turn to burn!

BigWhale ::

Okapi je izjavil:

Mene je bolj zaskrbelo, ko sem zadnjič enkrat pozabil geslo od enega poštnega računa, potem sem pa ugotovil, da obstaja programček Mail PassView, ki je izpisal vsa gesla, ki sem jih uporabljal.8-O

O.


Gesla, ki jih imas shranjena na racunalniku morajo biti shranjena tako, da jih lahko brskalnik prebre in posreduje naprej. Ce jih lahko brskalnik, potem jih lahko tudi Mail PassView. :)

Zgodovina sprememb…

  • spremenil: BigWhale ()

carota ::

To, da MS shranjuje le prvih 16 znakov za geslo sem odkril že pred dobrim letom, ko sem spremenil geslo za Live ID in potem se z messegerjem (Pidgin) nisem mogel več logirat. Ne vem kako se mi je posvetilo skrajšat na le prvih 16 znakov in je potem delovalo. Glede na to, da mi gesla generira in hrani KeePass(X), imam običajno nastavljeno na 20+ znakov.

Mesko89 ::

Eh 16 znakov ... to je še dosti. Za oddajo prošnje za subvencijo si rabil meti geslo, ki je daljše od 5 znakov (ali 6 ne spomnim se tega), vendar KRAJŠE od 10. Sem se kar namučil, da bi dobil spet kako moje "staro" geslo, ki je krajše od 10. Drugače a ni bila enkrat debata, da tole tudi ni tako slabo geslo?
"Moja mama je šla danes v trgovino in zapravila 10€."?

Itak kot so že prej omenili gre skozi hash funkcijo in se zgosti na določeno število znakov (glede na hash funkcijo).

Relanium ::

Koliko vas tukaj dejansko uporablja geslo, daljše vsaj 16 znakov ?

gslo ::

večina, ki uporablja password managerje z master passwordom. moj master password je npr. 23 znakov, ampak je eno redkih gesel, ki jih rabim znat na pamet. lahko si narediš usb-key za to. poleg tega lahko za razne shekane linkedine uporabljaš random generirana gesla in si zagotoviš, da se derivacije tvojih pravih gesel (ali delov le teh) ne znajdejo v wordlistah po internetu. :-P win-win-win.

technolog ::

Saj ni pomembno, to da je geslo omejeno na N znakov je hud namig, da imajo gesla v plaintextu.

Hash funkcija namreč po definiciji sprejme poljubno velik vhod.

metalc ::

Mesko89 je izjavil:

Drugače a ni bila enkrat debata, da tole tudi ni tako slabo geslo?
"Moja mama je šla danes v trgovino in zapravila 10€."?


Problemček pri tem geslu je, če ga boš kdaj moral vtipkati na mašini, ki ne pozna šumnikov/€vrov/podobnih eksotičnih znakov. Ali če ti bo te znake prekodirala po kakem drugem standardu.

Mesko89 ::

Ne vidim problema. Šumnike zamenjaš s s,z,c, znaki kot so €|!"#$%&&/()=?*'+ pa že tako povečajo moč gesla, da nekako je samoumevno, da jih uporabiš v geslu. Sploh, če imaš absurdno omejitev na 5-10 znakov. Če ti bo znake kodiralo po drugem standardu pa ne ravno razumem ... če je stran pravilno narejena bo sprejela vse pravilno tako kot mora.

Kenpachi ::

Relanium je izjavil:

Koliko vas tukaj dejansko uporablja geslo, daljše vsaj 16 znakov ?


30.
Zaraki Kenpachi.

Rias Gremory ::

Ali mogoče kdo ve za stran kjer vpišeš geslo in ti izračuna koliko časa bi trajalo da ga zlomijo z brute-force napadom? Vsaj zdi se mi da obstaja taka ali podobna stran.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Chymera ::

Rias Gremory je izjavil:

Ali mogoče kdo ve za stran kjer vpišeš geslo in ti izračuna koliko časa bi trajalo da ga zlomijo z brute-force napadom? Vsaj zdi se mi da obstaja taka ali podobna stran.


Rabm 5 minut da ti nardim eno tako stran, zravn te pa se povprasam a je password za gmail, facebook ali kaksen drug servis. Oh, pa ne se cudit ce potem kaksn kitajski IP bere tvojo posto....

Rias Gremory ::

Ne boš verjel, našel sem 2 strani in nobena me ni vprašala za kaj uporabljam geslo, če ti ni všeč pač ne uporabljaj.

http://howsecureismypassword.net/
http://www.passwordmeter.com/
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

Zgodovina sprememb…

Lonsarg ::

A si star 10 let al zakaj si tko naiven, da si šel gesla vpisovat na stran, ki ni od lastnika za kamor je namenjeno geslo? Upam da trolaš, ker če si mislil resno, potem raje hitro zamenjaj gesla.

BaToCarx ::

Rias Gremory je izjavil:

Ne boš verjel, našel sem 2 strani in nobena me ni vprašala za kaj uporabljam geslo, če ti ni všeč pač ne uporabljaj.

http://howsecureismypassword.net/
http://www.passwordmeter.com/



Obe sta fajn, za paranoike (če že ne znate napisat drug "podoben" password) lahko stran shranite v mht (opera) in iztaknete lan kabel, odprete mht in bo delalo. Gut? gut!

M-XXXX ::

Dejansko je dost zanimivo, tako iz firbca:

beseda 0.077s
beseda1100 10 dni
Beseda1100 6 let
Beseda1100- 4000 let
Beseda1100-Beseda1100-Beseda1100-Beseda1100-Beseda1100-Beseda1100-Beseda1100-Beseda1100- 81 septillion quadragintillion years

Zgodovina sprememb…

  • spremenil: M-XXXX ()

amigo_no1 ::

Lonsarg je izjavil:

A si star 10 let al zakaj si tko naiven, da si šel gesla vpisovat na stran, ki ni od lastnika za kamor je namenjeno geslo? Upam da trolaš, ker če si mislil resno, potem raje hitro zamenjaj gesla.

Geslo brez vse ostalih potrebnih podatkov (kje ga vpisati, kaj je up. ime/nick) nima nobene "vrednosti".

Daedalus ::

Geslo brez vse ostalih potrebnih podatkov (kje ga vpisati, kaj je up. ime/nick) nima nobene "vrednosti".


Razen tega, da je zelo uporaben dodatek k slovarjem za izvajanje "pametnega" brute force krekanja ukradenih hashev gesel iz xyz strani. Kjer pa ponavadi dobiš še ostale kontekstualne podatke.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

techfreak :) ::

Azgard in ostali: Lahko bi nas še podučili kako lahko lastniki omenjenih strani dobijo gesla od uporabnikov.

Lonsarg ::

Brez da iztaknemo LAN kabel ali kako drugače blokiramo skripti dostop do interneta nikakor ne moremo biti prepričani, da ne pošilja gesel, pa še tko ne 100%, ker lahko uporablja kak exploit. Je pa res, da če je zadeva obiskana in na vrhu google zadetkov najverjetneje ne krade gesel.

Za bit 100% šur? Jah pregledat celotno kodo vrstica za vrstico ali lažje v virtualki zagnat zadevo in potem zbrisat, brez priklopa na internet.

para! ::

Kaj to pomeni "po domače" in kakšen je drug, ne ta domač način?
Death before dishonor!

technolog ::

Jaz sem preveril in nisem zaznal kakšnih internetnih aktivnosti medtem, ko tipkaš geslo.

Preveril sem tudi piškotke in pa HTML 5 localStorage, če bi se kaj hranilo tja.

In iz tega sem lahko ziher, da je stran varna. Me kdo prepriča v nasprotno?

Lonsarg ::

Glede na povedano si lahko 99.999% zihr, zadosti v bistvu. Ampak brez da bi preveril stran na način kot si jo ti pa ni šans da se gre direktno tipkat prava gesla.

Looooooka ::

mene zanima zakaj je na slo-techu tale novica sele zdele?
ze prvic ko sem hotmail uporabil sem videl da je vseeno ce pri 30 mestnem geslu vpisem polovico.
to velja za cisto vse live accounte. in fact tam je zadeva celo KRAJSA od teh 16 znakov(vsaj nazadnje je bilo tko na xbox.com-u) :)
sem sel dejansko skrajsat geslo da sem bil zihr, da se na eni izmed storitev ne zatipkavam zaradi dolzine...
v glavnem. novica, ki sploh ne bi smela bit novica...vsaj ne sele letos.

para! ::

Looooooka je izjavil:

mene zanima zakaj je na slo-techu tale novica sele zdele?
ze prvic ko sem hotmail uporabil sem videl da je vseeno ce pri 30 mestnem geslu vpisem polovico.
to velja za cisto vse live accounte. in fact tam je zadeva celo KRAJSA od teh 16 znakov(vsaj nazadnje je bilo tko na xbox.com-u) :)
sem sel dejansko skrajsat geslo da sem bil zihr, da se na eni izmed storitev ne zatipkavam zaradi dolzine...
v glavnem. novica, ki sploh ne bi smela bit novica...vsaj ne sele letos.

Računalniška srenja je tole ugotovila šele pred kratkim, ST ni edini, ki je tole uvrstil pod news. Zakaj nisi ti napisal novice, ko si ugotovil to?
Death before dishonor!

SuperVeloce ::

Lonsarg je izjavil:

Brez da iztaknemo LAN kabel ali kako drugače blokiramo skripti dostop do interneta nikakor ne moremo biti prepričani, da ne pošilja gesel, pa še tko ne 100%, ker lahko uporablja kak exploit. Je pa res, da če je zadeva obiskana in na vrhu google zadetkov najverjetneje ne krade gesel.

Za bit 100% šur? Jah pregledat celotno kodo vrstica za vrstico ali lažje v virtualki zagnat zadevo in potem zbrisat, brez priklopa na internet.

In zakaj namesto "Mojpassw123!" ne vpišeš "Jojkakec321!" ? Kakšna bo razlika pri takšnem dokaj osnovnem izračunavanju varnosti?
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

Zgodovina sprememb…

Lonsarg ::

To itak da, sam folk vpisuje tja svoja prava gesla.

Rias Gremory ::

Če bi bile take in podobne strani za preverjanje gesla zlonamerne sem prepričan, da bi kdo že zdavnaj preveril kodo in vse kar se preveriti da.
Pa še google bi jih nehal indexirati.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

techfreak :) ::

In kaj točno je narobe, če na statično stran vpisuješ prava gesla? Za večino uporabnikov je 99,999% dovolj varno.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17642626 (29045) Pero_SLO
»

Yahoo nadaljuje odpravljanje gesel

Oddelek: Novice / Omrežja / internet
2710642 (4857) Kenpachi
»

Google bi se znebil gesel. Kaj je alternativa?

Oddelek: Novice / Omrežja / internet
4612984 (10337) Jst
»

Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )

Oddelek: Novice / Varnost
8017652 (14330) BaToCarx
»

Internetna in mrežna gesla

Oddelek: Informacijska varnost
91666 (1665) jerneju

Več podobnih tem