Do wszystkich zastanawiających się nad niekodowanym hasłem w bazie:
niepotrzebne jest łamanie haseł, jeśli w bazie istnieje pole z długością hasła (obliczane przy tworzeniu/zmianie hasła). Pytanie tylko, czy byli na tyle przewidujący przy tworzeniu szkieletu bazy...

przypuszczam, że chodziło o wyeliminowanie naprawdę prostych haseł dzięki którym można trafić już za pierwszym razem (bez względu na metodę, bf/s)
co do krótszych niż 6 znaków... ufff :) to juz musiałby być ciężki kaliber admina :) dopiero po takim czasie ? :D

przypuszczam, że chodziło o wyeliminowanie naprawdę prostych haseł dzięki którym można trafić już za pierwszym razem.
co do krótszych niż 6 znaków... ufff :) to juz musiałby być ciężki kaliber admina :) dopiero po takim czasie się obudził ? :D

ludziom się wydaje, że "poziom wysoki" w treści ustawy dotyczy samych zabezpieczeń :D
smutne ale prawdziwe

Przecież nie trzeba kombinować. Wystarczy zmodyfikować mechanizm logowania tak by otrzymane hasło sprawdził. Mamy moment kiedy serwer otrzymuje hasło i tworzony jest hash. Przed tym zanim hash zostanie wygenerowany zapamiętuje się hasło, przetwarza a algorytm TYLKO robi wpis w bazie danych że user 85215 ma wg algorytmu testującego proste hasło. Tyle.

Sprawa dziecinnie prosta do wykonania, bezpieczna i nie jest wymagająca. W ten sposób Allegro wie tylko i wyłącznie to że dany user ma słabe hasło ale nie musi go znać.

Więc nie wiem po co cała dyskusja. Wystarczy odrobinę pomyśleć.

I właśnie dlatego przechowywanie hasła w postaci "prostego" hasha typu MD5 czy SHA1 nie jest (już) poprawnym rozwiązaniem. Wskazane jest dodanie salta, tak by te same hasła dawały różne hashe.

Problem w tym, ze ludzie nawet od baaaardzo dawna nie logujacy sie dostali maila... myslisz ze zbierali miesiacami "kto ma jakie haslo" a potem nagle wyslali;>?

Sami zobaczcie, jak dobrze są zabezpieczone:
http://www.kompu(...)hni.aspx - ostatnie zdjęcie...
Jeszcze pisali, że psa uwiążą..

Dobra przyjmuje ze wiekszosc osob tutaj mniej wiecej wie jak dzialaja hashe itp. Ale sprawdzanie hasel metoda brute force mija sie z celem z powodu tak olbrzymiej bazy danych jaka posiada allegro. Sam pisze skrypty w php i operacje na odciskach hasel sa tymi podstawowymi. Zbieranie o nich informacji wcale nie nalezy do dziwnych ale... Jaki idiota zbiera informacje oznaczajac hasla jako slabe/mocne? Od razu wymaga sie zmiany takich rzeczy a nie zapisuje sie w bazie ze te haslo jest kiepskie. Przyjmuje tez ze metoda slownikowa nie sprawdzali hasel z tego wzgledu jak podalem wyzej (sam mam takie ze slownikiem zlamanie hasla nie byloby problemem ale na allegro zamawiam pierdoly i nie zalezy mi na tym serwisie) a mimo wszystko maila nie dostalem. To teraz kontynuuje o zbieraniu informacji o haslach: Zbieramy je tylko w celach bezpieczenstwa. Nie ma sensu zbieranie informacji po to ze za rok wprowadzimy nowe zabezpieczenie hasel ktore bedzie polegalo na dodaniu nowej soli i wtedy ludziom napiszemy maile zeby sobie poprawili hasla bo od roku maja je slabe.

Dla mnie sprawa jak najbardziej precedensowa ponieawz z logicznego punktu widzenia hasla byly przechowywane w sposob jawny. Niech allegro idzie do diabla...

Eh. Same eksperty. Beda solic hasla zeby bylo ciezej. Salt jest w zakryptowanym hasle a dekodowanie odbywa sie dokladnie tak samo jak przy logowaniu. Wystarczy baza slownikowa + na przyklad porownanie peseli imion i paru innych unikalnych dla uzytkownika informacji ktorymi i tak A dysponuje. A kwestia zlozonosci obliczen nie jest czynnikiem krytycznym. Komputery nie koncza pracy o 17 wiec nawet uruchomienie testu, ktory skonczy sie po tygodniu/dwoch tygodniach jest akceptowalne. Dodatkowo jakas pewnie nowa procedura sprawdzania 'latwosci hasla' przy logowaniu i przy zmianie hasla i mamy temat rozwiazany.

A nawet jesli maja niezakodowane. To do bazy trzeba sie najpierw dostac zeby ja czytac.

"Po pierwsze najlepszą metodą na sprawdzenie haseł jest podjęcie próby ich złamania."

Tylko że jest to niezgodne z prawem, więc (teoretycznie) Allegro nie może sobie na to pozwolić. I nie ma znaczenia, że Allegro i tak ma nasze dane w bazie. Gdyby wyszło na jaw, że uzyskują w ten sposób dostęp do konta użytkownika, mieliby problemy.

@Dadexix: to nie jest problem tylko prosta zmiana konfiguracji. proste rzeczy które powinny być zrobione na samym początku.

zaraz tu książke online napiszecie :)
same mitnicki...

To, że allegro jest w stanie wskazać słabe hasła wcale nie oznacza, że przechowuje je w formie jawnej. Wystarczy, że trzymają je bez salta lub ze słabym saltem niezależnym od usera.
Mogą generować ogromną listę hashy, dla krótkich i słabych haseł. Następnie porównać hashe z bazy danych z wygenerowaną listą. Wcale nie wymaga to długiego czasu - wystarczy dla każdego hasła sprawdzić czy nie jest na liście wygenerowanych hashy.
Wydaje mi się, że mail, który przyszedł jest mało rzetelny i dziwię się, że Piotr Konieczny nie przytoczył tej metody.

Wg mnie autor artykułu wychodzi z błędnego założenia

"Z hasha nie da się wywnioskować, czy hasło jest proste, czy skomplikowane."

Z hasha wywnioskowac się nie da, ale wystrczy miec listę słabych haseł i wtedy można je porównać z hashami w bazie, zwłąszcza jesli znasz algorytm generowania hasha.

Widziałem bazę Allegro na własne oczy i... artykuł nie mija się z prawdą zbytnio, niestety...

bzdura. artykuł napisany przez osobę która nie ma pojęcia o audycie bezpieczeństwa.

sprawdzanie haseł wykonuje się bibliotekami takimi jak cracklib, sprawdzając hashe metodą brute force. algorytm można ustalić sobie samemu - przypuścmy, że poza podstawowymi testami słownikowymi sprawdzamy wariacje duzych, malych liter imienia, nazwy konta uzytkownika z rocznikiem itp. daje to nam już podstawową weryfikację.

Duzo jest takich niekompetentnych firm. Na przyklad Extraserv.pl (Teamspeak.pl) tez trzyma otwarte hasla. Malo tego - kazdy moze je przeczytac.