Názory k článku Diskusní server Lapiduch hlásí hack, útočníci zřejmě mají databázi s hesly
-
Protože řeší přihlášení. Když se chcete přihlásit, musíte být nejdřív zaregistrován. Přičemž při té registraci se také předává heslo, úplně stejně, jako při přihlášení – takže by to mělo být úplně stejně zabezpečené.
A také proto, že právě ta registrace je příčina toho problému zmiňovaného ve zprávičce. Problém není únik hashů hesel, problém je v tom, že je provozovatel vůbec znal. A heslo se provozovatel dozví právě při registraci. To, že se ho pak dozvídá opakovaně i při každém přihlášení už je jenom detail, protože si ho může pamatovat už od té registrace.
S čím nemá Trac problém? Je implementovaný tak, že se provozovatel webu při registraci heslo uživatele dozvědět nemůže? Jak je to implementované?
-
fd (neregistrovaný)
A proc by mel proboha browser resit registraci? Takovy trac(https://trac.edgewall.org/) s tim napriklad zadny problem nema.
-
V prohlížečích se nelze přihlašovat pomocí klíče, jen pomocí certifikátu. Přičemž obvyklá konfigurace je taková, že server důvěřuje jedné nebo několika autoritám, a jejich certifikáty akceptuje. Navíc přihlášení certifikátem je standardní implementace TLS, takže pokud dojde k nějaké chybě, spojení se buď rovnou ukončí a uživateli zůstane prázdná stránka (a prohlížeč by v takovém případě měl zobrazit nějakou obecnou chybovou hlášku), nebo se vrátí kód chyby (a dnešní prohlížeče ho jenom zobrazí, bez nějakého vysvětlení).
Jinými slovy, uživatelská použitelnost je ještě mnohem horší, než u HTTP autentizace (čehož není snadné docílit), a pro přihlašování na veřejném webu se to prakticky nedá použít.
-
Přejít na jiný hash není problém, protože jsou různě dlouhé a pozná se, jakým algoritmem byly vytvořeny (není ani nutné přidávat další položku do DB). Takže když se všechna nová hesla začnou ukládat místo MD5 pomocí SHA a kdo má staré, tak mu po přihlášení říct, že by si mohl heslo změnit. Tím se to vyřeší v dohledném časovém horizontu víceméně samo.
-
V prohlížečích se odjakživa lze přihlašovat pomocí klíče (asymetrická kryptografie). Akorát jestli to není kanón na vrabce... I když od startu https://letsencrypt.org by už takový problém být nemusel s uživatelskou jednoduchostí (tj. s importama certifikátů).
-
Turtle (neregistrovaný)
Tyjo. Jsem si tak na 50% jistý že to tam nebylo když jsem ho četl. Pokud se mýlím tak omluva. Jinak a divil by jste se. Už se mi stalo že mi párkrát přišlo po emailové obnově hesla na různých webech původní zapomenuté heslo... To pak nevím jestli se smát nebo brečet. Nicméně i MD5 je v dnešní době mizerná volba pro hashovaní hesel. Ale chápu, legacy burden...
-
Jenda (neregistrovaný)
Ne, jsme v roce 2016, a webové prohlížeče stále nepodporují žádnou bezpečnou přihlašovací metodu, ačkoli potřebné protokoly jsou k dispozici již několik desítek let.
(HTTP digest - nemá GUIčko pro odlišení od Basic, nemá rozumně vyřešené vytváření účtu, neumožňuje odhlášení; klientské certifikáty - nepřenosné, uživatelské přívětivost také 0.00, nemá rozumné GUIčko pro jejich přepínání)
-
Jenda (neregistrovaný)
Pod těmito články se vždycky objeví spousta koumáků, kteří řeší, že si zlý server heslo uložil, místo toho, aby řešili, jak je v první řadě možné, že se ho vůbec dozvěděl. K tomu, aby si ho mohl uložit, mu ho musel někdo říct. Kdyby mu ho nikdo neřekl, tak si ho ani při nejlepší vůli uložit nemůže…
Problém není ve správcích toho webu (teda až na to že si nechali ukrást databázi), ale z krátkodobého hlediska v uživatelích (posílají heslo, kterého si cení, do neznáma), z dlouhodobého pak v neschopných tvůrcích webových prohlížečů, kteří nebyli schopni 40 let od vynálezu asymetrické kryptografie implementovat žádnou přihlašovací metodu, při které se server heslo prostě nedozví, a tudíž si ho nemůže ani uložit.
ČLÁNKY DO MAILU