Vlákno názorů k článku
Hostingu Czechia od firmy ZONER unikly přihlašovací údaje zákazníků [AKTUALIZOVÁNO] od . . - datum poslední změny hesla může být opravdu vodítko,...

datum poslední změny hesla může být opravdu vodítko, ale ukládat si datum poslední změny hesla a mít heslo v sha-1 mi dohromady nesedí, ale možné to je.

Možný je pak ještě scénář, že zmigrovali na bcrypt hashe v sha-1, poté si pořád mohou z původních hashů ověřit, že heslo je shodné. Nebo zmigrovali hesla až při prvním přihlášení a tohle je počet těch, které se ještě nezmigrovali.

Možností je asi hodně, každopádně mě to číslo narazilo, v těhle systémech se patnáct let pohybuji a vím jak to běžně funguje, tyhle čísla nebývá jednoduché přesně zjistit, zejména, když systém nedělají zkušení architekti a metadata se neukládají.

Z rozhovoru vyplývá, že únik je z roku 2013 a že tedy v roce 2013 používali SHA-1, což tehdy nebylo nic neobvyklého. Ale máte pravdu, jak došli k těm 7 % – možná si ale ukládají datum poslední změny hesla, podle toho by to šlo poznat. Horší varianta by byla, že by hesla stále ukládali v SHA-1 a jen v případě změny jej převedly do bcryptu.

zajímavé, ví, že 7 % uniklých hesel se stále používá, ale již přešli na bcrypt před delší dobou, buď kecají nebo tou delší dobou myslí dobu bezprostředně poté co se před pár měsíci dozvěděli o úniku. Rok 2017 a hostingová společnost stále hesla v sha-1? To je také alarmující.

Tvrzení, že nezaznamenali zneužití je hodně zavádějící, je otázka jak by takové zneužití mohli zaznamenat pokud nebylo masivní, ale chápu, ře to v tiskovce napsat pro laiky museli.