Hotmail gesla kar po domače rezal na 16 znakov
Matej Huš
25. sep 2012 ob 21:21:21
Z gesli je križ. Njihovo hranjenje v tekstovni obliki je najhujša napaka, ki jo lahko spletna stran zagreši (v sosednji novici poglejte, kako se je to maščevalo IEEE-ju), a še zdaleč ne edina. Microsoft je priznal oziroma je bil zasačen, da je njihova storitev Hotmail zadnjih nekaj let uporabnike zavajala, kako varna so njihova gesla.
Za dostop do Hotmaila je bilo treba izbrati geslo, ki na videz ni bilo omejeno v dolžino. Večina uporabnikov seveda pozna ustaljeno formulo, da k varnosti gesla prispevata njegova nepredvidljivost oziroma unikatnost ter dolžina. S pametno izbiro odvrnemo napade s surovo silo (brute force), seveda pa moramo geslo varovati tudi sami in ne nasedati socialnemu inženiringu ali ribarskim napadom. Kakorkoli že, kdor se je ta teden poizkusil prijaviti v Hotmail z geslom, ki je daljše od 16 znakov, je dobil obvestilo, naj poizkusi vpisati samo prvih 16 znakov. In račun se je normalno odprl. To ima pomembne implikacije.
Razlagi sta samo dve. Bodisi Hotmail hrani gesla v tesktovni obliki in primerja le prvih 16 znakov, ker je velika neumnost. Druga razlaga je bolj verjetna. Hotmail očitno že od začetka upošteva le 16 znakov in iz njih izračuna zgoščeno vrednost (hash), ki jo potem hrani v bazi. S tem načeloma ni nič narobe, a uporabnike bi moral o tem obvestiti. Tako pa so mnogi vtipkovali precej daljša gesla in bili zmotno prepričani, kako varna so.
Microsoft je omejitev priznal in potrdil, da že nekaj let uporabljajo le šestnajst znakov. Razlog naj bi bila zgodovinska navlaka, saj se gesla in algoritmi vlečejo še z različnih strani in storitev, zato so jih bili primorani omejiti na šestnajst. Za močna gesla je to dovolj, a uporabniki morajo to vedeti. Sicer se lahko zgodi, da si kdo izmisli geslo abcdefgh123456789MocniDelGesla in se čudi, kako je bil njegov račun lahko kompromitiran.