Ars Technica - Vdor v Ashley Madison je že tako ali tako imel precej resne posledice za vse vpletene, sedaj pa se seznamu njihovih težav pridružujejo še razkrita gesla. Ker so upravljavci strani shranjevali zgoščene vrednosti gesel (hash) po algoritmu bcrypt, smo spočetka napak predpostavili, da jih ne bo mogoče zlomiti. A pisci strani so zagrešili dve ogromni napaki, ki sta v nekaj tednih omogočili razbitje 90 odstotkov od 15 milijonov prizadetih gesel.
V pobeglem arhivu je bila namreč tudi datoteka, ki je vsebovala spremenljivko z imenom $loginkey za 15 milijonov uporabnikov. Izkazalo se je, da gre za zgoščeno vrednost iz uporabniškega imena in gesla, ki je verjetno služila hitrejši večkratni prijavi, da ni bilo treba vsakokrat vpisovati gesla. Spremenljivko so tvorili tako, da so združili uporabniško ime in geslo, oboje pretvorjeno v male tiskane črke in ločeno z dvema dvopičjema. Ta niz so potem shranili v zgoščeni vrednosti MD5. Algoritem MD5 odlikuje visoka hitrost in ni namenjen shranjevanju gesel, saj lahko pri razbijanju preizkušamo milijarde nizov na sekundo. Krajša gesla lahko zlomimo kar s surovo silo, daljša pa s pametnejšimi slovarskimi napadi. Nekatere vrednosti spremenljivke $loginkey so tvorili nekoliko drugače, a z isto varnostno luknjo.
Za analizo gesel imamo torej pred seboj sorazmerno enostaven problem, ki je rešljiv vsaj milijonkrat hitreje, kot bi bil neposredni napad na bcrypt. Uporabniško ime preberemo iz baze, algoritem za tvorjenje niza tudi poznamo (ime::plaintextgeslo), tako da lahko enostavno z izčrpavanje možnosti ugotovimo del $loginkey, ki predstavlja geslo z malimi tiskanimi črkami. Dostikrat je konec že tu, saj 90 odstotkov gesel ne vsebuje velikih tiskanih črk. V preostalih primerih je treba ugotoviti še pravilno razporeditev velikih in malih črk, kar izvedejo s primerjanjem z zgoščeno vrednostjo bcrypt, kar je obvladljiv problem.
Ni jasno, kako so si pri Ashley Madison mogli privoščili tako resno varnostno napako. Kaže tudi, da so se je očitno zavedli, saj so za novejša gesla pravilno poskrbeli - torej so v MD5 poslali združeni niz uporabniškega imena in bcrypt vrednosti gesla (namesto plaintext). Zakaj tega niso storili za vsa gesla, ostaja neznanka.
Novice » Varnost » Gesla iz vdora v Ashley Madison zaradi hude malomarnosti že zlomljena
Hitch-Hiker ::
Ne z ljubico, z botom.
Pomagajmo Microsoftu v boju proti piratstvu - namestimo Linux!!
HPME ::
Največje vprašanje je, kako so lahko obratovali če skoraj nobeden ni dobil zmenka s te strani?
Zgodovina sprememb…
- spremenilo: HPME ()
repson ::
Ars pravi, da CynoSure Prime gesel ne bodo jih objavili.
To protect end users, the team members aren't releasing the plaintext passwords. The team members are, however, disclosing all the details others need to replicate the passcode recovery.
Ribič ::
Tudi če je oni ne bodo objavili, se bo pa našel nekdo drug, ki jih bo. Ponavadi je tako.
En seznam gesel s strani Ashley Madison sicer že imam, samo je žal ta kratka verzija.
En seznam gesel s strani Ashley Madison sicer že imam, samo je žal ta kratka verzija.
Blinder ::
Hja inzenir CS ze nebi delal takih napak. Ce dajo opravit delo programerckom pride pol lahko do takih scenarijov.
99.991% of over-25 population has tried kissing.
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 3050 Pismo smo stari v bozjo mater. Recesija generacija
If you're one of the 0.009% who hasn't, copy & paste this in your Signature.
Intel i3-12100f gtx 3050 Pismo smo stari v bozjo mater. Recesija generacija
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Kakšna gesla so pred 40 leti imeli Unixovi pionirji?Oddelek: Novice / Varnost | 7229 (4937) | jype |
» | Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )Oddelek: Novice / Zasebnost | 19709 (13518) | MrStein |
» | Odstop izvršnega direktorja in druge posledice vdora v Ashley MadisonOddelek: Novice / Kriptovalute | 7771 (5286) | roko granata |
» | Na internetu arhiv z domnevnimi podatki s strani Ashley MadisonOddelek: Novice / Varnost | 24186 (16767) | SeMiNeSanja |
» | Vdor v Kickstarter odnesel osebne podatkeOddelek: Novice / Varnost | 4939 (3579) | Tody |