>~zxzx
>
> > Z hasha nie da się wywnioskować,
> > czy hasło jest proste, czy skomplikowane.

> Nieprawda. Na czym polegają ataki urodzinowe?

Nie wiem czy zdajesz sobie sprawę, że kolizja != hasło, a skoro hasła są słabe, to są zapisane w bazie w postaci jawnej, ewentualnie za pomocą algorytmu szyfrującego.

Hashe hasel czy to MD5 czy inne bardzo latwo mozna zlamac, wykorzystujac tablice slownikowe zhaszowanych komibnacji + szybkie przeszukiwanie

operacja zajmuje niezbyt dlugo przy posortowanych slownikach oraz odpowiednim algorytmie wyszukujacym.

Same tabele z haszowanymi haslami sa dostepne w sieci, lub mozna je samemu wygnerowac (to dlugo trwa)

Tak? ciekawe jak długo jesteś w branży, bo tęczowe tablice nie są ideałem, a hash md5 czy to inny nie da się złamać, można podstawić tylko inną kolizję, ale to nie znaczy, że dokładnie to samo było haszowane.

W każdym bądź razie nie znam nikogo kto by był w stanie zamienić hash na postać jawną w postaci oryginalnej. Nie pomogą tu ani kolizje, ani tablice, to samo tyczy się popularnego ostatnio sha.

zjk, złamanie hasha jest niezwykle mało prawdopodobne i tak jak napisał Domin możliwe jest co najwyżej znalezienie innego ciągu znaków którego skrót da taki sam rezultat. Ciągów takich jest nieskończenie wiele. A jeśli chodzi o argument programu, który hashowałby dane słownikowe + jakaś numeracja można łatwo wyeliminować. Wystarczy do hasła dodawać jakiś klucz i dopiero hashować.

Moim zdaniem Allegro powinno dalej trzymać gębę na kłódkę - jakiekolwiek zaprezentowanie sposobu ich zabezpieczeń ułatwi tylko potencjalnym włamywaczom robotę.

Oczywiście, że ciągów dających taki sam skrót jest nieskończenie wiele, ale pisząc to, należy zastrzec, że mówimy tu również o ciągach, które są również BAAAAARDZO długie.
Jeśli więc hasło użytkownika ma skrót, który odpowiada w naszej bazie wyrażeniu "misiaczek" to z niemal stuprocentową pewnością można stwierdzić, że tak właśnie brzmi hasło, bo kolejny identyczny skrót będzie miał ciąg tak długi, że raczej nie jest hasłem.
Z tego też powodu wystarczy porównanie skrótów.

mam banalne pytanie. który mnie bardzo ciekawi.
Mianowicie dlaczego to "hashowanie" działa w jedną stronę. Skoro był algorytm szyfrujący, to przepisać ten algorytm w drugą stronę i mamy dezyfrujący.
To takie proste rozumowanie laika. Wytłumaczcie mi to proszę..

@johnny wspomniał. Przeczytaj uważnie.

Dlatego, że hashowanie jest funkcją skrótu a nie szyfrowania. Hash wyliczany jest na podstawie STRATNEGO algorytmu i z definicji nie jest mechanizmem dwukierunkowym. W skrócie to tak jakbyś zliczał sumę wszystkich cyfr w liczbie. Z otrzymanego wyniku nie dowiesz się o hashowanej liczbie. Dla przykładu suma cyfr w liczbie 1111 wynosi 4, ale w przypadku 20000002, 4, 4000, 301, 22 również suma wynosi 4. Tak więc na podstawie znajomości hasha (w przykładzie wynosił on 4) nie jesteś w stanie określić co było hashowane.
Przedstawiony przykład jest bardzo banalny. Prawdziwe funkcje skrótu, choćby md5 są dużo bardziej wyrafinowane, w związku z czym nie powodują łatwego powstawiana kolizji.

Szkoda, ze autor artykulu ograniczyl sie tylko do serwisu aukcyjnego. Jestem ciekawy w jaki sposob przechowywane sa hasla w systemach bankowych. Wiekszosc bankow podczas logowania stosuje mechanizm maskowania hasla - uzytkownik podaje tylko wskazana literki z hasla (np 1**3***7*9). Skoro tylko czesc hasla uzytkownika jest przesylana do systemu bankowego, no to nie ma mozliwosci wygenerowania hasha calego hasla. Skoro system nie moze wygenerowac hasha z danych przesylanych podczas uwierzytelniania uzytkownika, to hasla nie moga byc w tym systemie przechowywane w postaci zahaszowanej - czyli sytemy bankowe musza przechowywac hasla w postaci jawnej.

Przecież hasło w pewnym momencie musi trafić do allegro w formie niezaszyfrowanej (np. kiedy użytkownik się loguje, wysyła "normalne" hasło, które jest szyfrowane i porównywane z zapisanym w bazie). Na tym etapie można użyć algorytmów sprawdzających stopień skomplikowania hasła i odnotować wynik. Hasła w postaci niezaszyfrowanej nie są przechowywane, tym bardziej w serwisach takich jak allegro.

Głównym problemem jeśli chodzi o bezpieczeństwo są "tłumy" filozofujących tutaj użytkowników, nie potrafiących nawet czytać ze zrozumieniem. Połowa wątków już się powtarza, było jasno napisane że nawet nielogujący się dostali takie ostrzeżenia etc...

Przeglądając komentarze można dojść do wniosku że co drugi zna się na bezpieczeństwie i jednocześnie nie bardzo zna się na czytaniu...

Allegro trzyma niezaszyfrowane hasła. Używa podobieństw w hasłach do odnajdywania klonów (wielu kont jednej osoby)

Sprawa jest prosta. Otóż jeżeli nasze hasło to "password" to w wyniku tzw. szyfrowania metodą MD5 uzyskamy dla pola 10 znakowego (takie zastosowałem ) taki oto ciąg znaków "5f4dcc3b5a". Jeżeli administrator porówna ten ciąg z danymi zawartymi w bazie danych to będzie wiedział kto używa hasła "password". W ten sam sposób można sprawdzić inne popularne hasła, i wcale nie oznacza to, że w bazie znajdują się hasła w czystej postaci. Dostęp do strony uzyskuje się poprzez porównanie ciągu znaków (czyli tego "5f4dcc3b5a") przesłanych z formularza logowania z ciągiem znaków zawartych w bazie danych. Jeżeli są identyczne to uzyskujesz dostęp, a jeżeli nie to wtedy pojawia się "error - wrong password". Obecnie często stosuje się cenzure dla najpopularniejszych haseł, zmuszając użytkownika do dbania o swoje bezpieczeństwo. To tyle, pozdrwaiam.

co to za problem wygenerować hashe z popularnych słów, nazw kont, lub ciągów znaków typu "QWERTY" i porównać je z hashami w bazie - nie trzeba mieć wtedy haseł w formie niezakodowanej - słabo zabezpieczone konta same się "ujawnią".
co do nisko opłacanych stażystów w Allegro - kilku moich znajomych tam pracuje i nie narzekają na finanse - w dodatku dostają pensję "z góry" co w PL jest rzadkością, więc nie wiem skąd te bajki o nisko opłacanych stażystach.