Albo po prostu odpalili standardowy łamacz haseł na liście user + hash. Taki np. johntheripper potrafi "zgadywać" hasła typu inazwisko123 lub inne kombinacje danych osobowych

Jeśli nic się w protokole gadu-gadu nie zmieniło, to sposób autoryzacji nadal wymaga posiadania przez serwer hasła w postaci jawnej. Wynika to z metody autoryzacji: serwer wysyła 4 bajty, klient przetwarza hasło i odebraną wartość od serwera pewną funkcją po czym wysyła 4 bajty. Problem w tym, że funkcja autoryzacyjna nie hashuje w żaden sposób hasła, co wymaga aby na serwerze hasło było znane. Może tym by się zainteresować?

A jak ma działać opcja przypominania hasła, jak go nie będą mieli w postaci jawnej? Bezpieczeństwo w modelu cloud-computing to mit.

~janas: W takim przypadku generuje się nowe hasło i wysyła je na mail - poprzednie hasło nie zostaje ujawnione.

Zwykle opcja przypominania hasła tak naprawdę tworzy nowe z losowego ciągu znaków. I dobrze, bo ja bym nie chciał dostać swojego zapomnianego hasła mailem.

A nie latwiej po prostu sprawdzic ile razy powtarza sie dany hash i uznac, ze haslo to wtedy jest latwe? Jezeli powiedzmy 200 tys osob ma ten sam hash to raczej nie wpadli oni na jakies skomplikowane haslo :>

"(...)obniżeniem ryzyka związanego z atakami słownikowymi na konta użytkowników"

jeśli można przeprowadzić atak metodą słownikową (az tego korzysta co drugi dzieciak-włamywacz) to można również w taki sam sposób wytypować zagrożone ta metodą ataku konta. nawet jeśli hasła są shashowane. nie ma w tym nic dziwnego ani skomplikowanego.
co do "nabierania wody w usta"... nikogo nie powinien dziwić również fakt, że allegro nie chce ujawniać szczegółów dotyczących swoich zabezpieczeń.

Co do uznawania hasła za słabe - można przecież stworzyć słownik słów które zostają uznane za hasła zbyt słabe, wygenerować ich hashe, porównać z tymi w bazie i wysłać maile do odpowiednich użytkowników. Doprawdy nie widzę problemu jeżeli to przebiega w podobny sposób.

mam dość skomlikowane hasło - jakieś 20 znaków - w tym małe, duze litery, liczby i znaki specjalne i zadnego maila od allegro nie dostałem
wniosek z tego taki ze rzeczywiscie allegro przechowuje hasla w plain tekscie

Przecież Allegro już dawno się przyznało, że hasła przechowuje w postaci niezaszyfrowanej. Sprawa wyszła na jaw, gdy zaczęli uwzględniać wielkość liter przy logowaniu, wcześniej w haśle nie miało to znaczenia. Sprawa była szeroko omawiana na forum Allegro.

Przecież sposobów są setki. Do aktywnych userów łatwość hasła mogli sprawdzać przy logowaniu, a "starych", dawno się nie logujących losować czy być może mają łatwe hasło (lub brać wszystkich).

Wieżycie, że allegro ma jawne hasła w bazie? ;-/

Allegro nie daje możliwości przypomnienia hasła - ich skrypt tworzy nowe.

Nie oznacza to jednak, że w bazie nie są trzymane jawne hasła.

"jeśli można przeprowadzić atak metodą słownikową (az tego korzysta co drugi dzieciak-włamywacz) to można również w taki sam sposób wytypować zagrożone ta metodą ataku konta. nawet jeśli hasła są shashowane."
Częściowo się zgadza, bo łatwe hasła dość prosto można wyciąć. Jednak allegro poblokowało również wszystkie hasła krótsze niż 6 znaków. Tergo raczej metodo słownikową nie wychwycili. Nie puścili również brutale na wszystkie hasła, bo inaczej się nie da szybko wykryć haseł typu d$5@D, 8F4*q, c_r1T

"Nasza baza jest zabezpieczona, tak więc hasła są bezpieczne. Są one zabezpieczone zgodnie z wszelkimi wymogami"
No i racja, tylko, że żadna ustawa ani rozporządzenie nie mówi, że nie wolno przechowywać haseł w sposób jawny.

Nie rozumiem też dlaczego Pan Olgierd Rudak uważa iż jawne przechowywanie haseł oznacza problem z dopełnieniem obowiązku zapewnienia zastosowania środków bezpieczeństwa danych osobowych na poziomie wysokim.

Po pierwsze najlepszą metodą na sprawdzenie haseł jest podjęcie próby ich złamania.
wystarczy prosty skrypt i słownik i trochę czasu na to, żeby skrypt ten podjął próbę zalogowania się z wygenerowanym (pobranym ze słownika bądź losowym) hasłem. Jeśli próba się powiedzie, oznacza to, że hasło było zbyt słabe.
Na średniej jakości maszynie w jeden dzień można tak skontrolować tysiące haseł.
Takie proste sprawdzenie wystarczy do ujawnienia użytkowników ze zbyt prostym hasłem.