LinkedIn: Bez soli, to je umění!

Jistě jste zaznamenali zprávy o tom, že na internet unikly hashe hesel více jak 6 miliónů uživatelů sociální sítě LinkedIn. Problém však nespočívá ani tak v tom, že byla použita hashovací funkce SHA1, jako že hesla byla v DB uložena jako nesolené hashe. Jednu podstatnou věc ale zatím nikdo nezmínil, a to že minimální požadavek na délku hesla uživatele této sociální sítě je pouhých 6 znaků. A vězte, že se najde dost uživatelů, kteří si nastaví heslo přesně o této délce.

V okamžiku, kdy by byly použita komplexní hesla o minimální délce 9 znaků, tak by útočník neměl šanci v reálném čase najít takové heslo, které by tomuto hashi odpovídalo a nepomohly by mu ani rainbow tables, protože rainbow tables pro komplexní hesla o této délce prostě nejsou. Pokud se mýlím, a vy o takových rainbow tables pro sha1_mixalpha-numeric#1-9 víte, uveďte prosím v diskusi odkaz.

Dále je dobré si uvědomit, že solení hesel nás neochrání před všemi typy útoků, a že sůl obvykle bývá někde uložena, ať už v DB nebo v aplikaci. Případně nemusí být uložená nikde, pokud je generována např. z přihlašovacího jména uživatele a serveru, ke kterému se uživatel hlásí. Solené hashe mají jednu výhodu, že když uniknou, tak na jejich lámání nejdou použít rainbow tables, tedy pokud neunikne i sůl. V okamžiku kdy unikne i sůl, není problém rainbow tables pro všechna možná hesla s danou solí vygenerovat. Samozřejmě, pokud je použita pro každého uživatele jiná sůl, nemá útočník šanci dané heslo hrubou silou prolomit.

Jedno je jisté, používání soli je vůbec nejčastější a nejjednodušší způsob jak hesla v systému bezpečně ukládat, ale jde to i jinak, jak je ostatně uvedeno ve výše odkazovaném příspěvku. Nezapomínejte také, že je nutné se zamyslet i nad tím, jak hesla bezpečně přenášet po síti, obzvlášť pokud není komunikace mezi klientem a serverem šifrována.

Závěr: Vzhledem k tomu, že není zřejmé, kdy a jakým způsobem k získání hashů hesel došlo, doporučuji vám změnit si heslo na takové, které nepoužíváte k přihlášení k žádné jiné službě. Pokud jste stejné heslo používali k přihlášení i k ostatním službám, měli byste své heslo změnit i tam.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:

  1. Jan Garaj

    Technicka otazka, nad ktorou som sa zamyslal uz davnejsie (mozno to je/bol pripad aj LinkedInu):
    Mam (starsiu) aplikaciu, ktora bola vytvorena bez solenia hashov. Ako takuto aplikaciu/hashe elegantne osolit?


K článku “LinkedIn: Bez soli, to je umění!” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: