LinkedIn: Bez soli, to je umění!

Jistě jste zaznamenali zprávy o tom, že na internet unikly hashe hesel více jak 6 miliónů uživatelů sociální sítě LinkedIn. Problém však nespočívá ani tak v tom, že byla použita hashovací funkce SHA1, jako že hesla byla v DB uložena jako nesolené hashe. Jednu podstatnou věc ale zatím nikdo nezmínil, a to že minimální požadavek na délku hesla uživatele této sociální sítě je pouhých 6 znaků. A vězte, že se najde dost uživatelů, kteří si nastaví heslo přesně o této délce.

V okamžiku, kdy by byly použita komplexní hesla o minimální délce 9 znaků, tak by útočník neměl šanci v reálném čase najít takové heslo, které by tomuto hashi odpovídalo a nepomohly by mu ani rainbow tables, protože rainbow tables pro komplexní hesla o této délce prostě nejsou. Pokud se mýlím, a vy o takových rainbow tables pro sha1_mixalpha-numeric#1-9 víte, uveďte prosím v diskusi odkaz.

Dále je dobré si uvědomit, že solení hesel nás neochrání před všemi typy útoků, a že sůl obvykle bývá někde uložena, ať už v DB nebo v aplikaci. Případně nemusí být uložená nikde, pokud je generována např. z přihlašovacího jména uživatele a serveru, ke kterému se uživatel hlásí. Solené hashe mají jednu výhodu, že když uniknou, tak na jejich lámání nejdou použít rainbow tables, tedy pokud neunikne i sůl. V okamžiku kdy unikne i sůl, není problém rainbow tables pro všechna možná hesla s danou solí vygenerovat. Samozřejmě, pokud je použita pro každého uživatele jiná sůl, nemá útočník šanci dané heslo hrubou silou prolomit.

Jedno je jisté, používání soli je vůbec nejčastější a nejjednodušší způsob jak hesla v systému bezpečně ukládat, ale jde to i jinak, jak je ostatně uvedeno ve výše odkazovaném příspěvku. Nezapomínejte také, že je nutné se zamyslet i nad tím, jak hesla bezpečně přenášet po síti, obzvlášť pokud není komunikace mezi klientem a serverem šifrována.

Závěr: Vzhledem k tomu, že není zřejmé, kdy a jakým způsobem k získání hashů hesel došlo, doporučuji vám změnit si heslo na takové, které nepoužíváte k přihlášení k žádné jiné službě. Pokud jste stejné heslo používali k přihlášení i k ostatním službám, měli byste své heslo změnit i tam.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:

  1. Jan Garaj

    Technicka otazka, nad ktorou som sa zamyslal uz davnejsie (mozno to je/bol pripad aj LinkedInu):
    Mam (starsiu) aplikaciu, ktora bola vytvorena bez solenia hashov. Ako takuto aplikaciu/hashe elegantne osolit?


K článku “LinkedIn: Bez soli, to je umění!” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: