LinkedIn: Bez soli, to je umění!
Jistě jste zaznamenali zprávy o tom, že na internet unikly hashe hesel více jak 6 miliónů uživatelů sociální sítě LinkedIn. Problém však nespočívá ani tak v tom, že byla použita hashovací funkce SHA1, jako že hesla byla v DB uložena jako nesolené hashe. Jednu podstatnou věc ale zatím nikdo nezmínil, a to že minimální požadavek na délku hesla uživatele této sociální sítě je pouhých 6 znaků. A vězte, že se najde dost uživatelů, kteří si nastaví heslo přesně o této délce.
V okamžiku, kdy by byly použita komplexní hesla o minimální délce 9 znaků, tak by útočník neměl šanci v reálném čase najít takové heslo, které by tomuto hashi odpovídalo a nepomohly by mu ani rainbow tables, protože rainbow tables pro komplexní hesla o této délce prostě nejsou. Pokud se mýlím, a vy o takových rainbow tables pro sha1_mixalpha-numeric#1-9 víte, uveďte prosím v diskusi odkaz.
Dále je dobré si uvědomit, že solení hesel nás neochrání před všemi typy útoků, a že sůl obvykle bývá někde uložena, ať už v DB nebo v aplikaci. Případně nemusí být uložená nikde, pokud je generována např. z přihlašovacího jména uživatele a serveru, ke kterému se uživatel hlásí. Solené hashe mají jednu výhodu, že když uniknou, tak na jejich lámání nejdou použít rainbow tables, tedy pokud neunikne i sůl. V okamžiku kdy unikne i sůl, není problém rainbow tables pro všechna možná hesla s danou solí vygenerovat. Samozřejmě, pokud je použita pro každého uživatele jiná sůl, nemá útočník šanci dané heslo hrubou silou prolomit.
Jedno je jisté, používání soli je vůbec nejčastější a nejjednodušší způsob jak hesla v systému bezpečně ukládat, ale jde to i jinak, jak je ostatně uvedeno ve výše odkazovaném příspěvku. Nezapomínejte také, že je nutné se zamyslet i nad tím, jak hesla bezpečně přenášet po síti, obzvlášť pokud není komunikace mezi klientem a serverem šifrována.
Závěr: Vzhledem k tomu, že není zřejmé, kdy a jakým způsobem k získání hashů hesel došlo, doporučuji vám změnit si heslo na takové, které nepoužíváte k přihlášení k žádné jiné službě. Pokud jste stejné heslo používali k přihlášení i k ostatním službám, měli byste své heslo změnit i tam.
Štítky: autentizace
K článku “LinkedIn: Bez soli, to je umění!” se zde nachází 1 komentář.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.
Technicka otazka, nad ktorou som sa zamyslal uz davnejsie (mozno to je/bol pripad aj LinkedInu):
Mam (starsiu) aplikaciu, ktora bola vytvorena bez solenia hashov. Ako takuto aplikaciu/hashe elegantne osolit?