Hashe, která hacker zveřejnil jsou očividně (podle delky a znaků) md5 a to ješte jako vysledek fce md5($heslo) tzn. nejslabší možný hash md5. Brutal force útok je v tomto pripade zcela bezproblemovy protože existují veřejné rainbow tables. Script kiddies vezmou hash a hodí ho do googlu a dostanou heslo na stříbrném podnose.
Chápu, že získat hash otisk hesla je na jednu stranu prblém pro uživatele systému. Na druhou stranu, nikde není patrné, jaký že hash to je (možná jsem něco minul).
Ale k věci. Získat hash je jedna věc, ale získat holé heslo druhá. Jasně, brutal force je všemocný, ale pro 140.000 hesel ? To je, pokud nemá někdo slovník hash kódů, práce na pár let.
A navíc, slovník hash otisků nenajde hesla typu: BaF102gg (takže tam zbývá jenom brutal force - gratuluji.. neznámý rozsah hesla, neznámý počet písmen / číslic a ještě Upper/Lower case, diakritika.... kdysi jsem to zkoušel naprogramovat pro 5-ti místný řetězec a běželo by to pár hodin na jedno heslo)
Jediné, co lze s hashem dělat, je ho případně někam podstrčit, ale většina systémů hashuje až odeslaný řetezec u sebe, tudíž poslat přímo hash je na nic.
Toť otázka... k čemu mi je hash otisk hesla ? Inteligentní uživatel si nedá heslo typu 123456, které se získá za 5 minut, ale výše zmíněné náhodné změti znaků. Jelikož hesla lze získat, aniž by měl někdo přístup k DB... nikde jsem neviděl, že by csfd používala https :) a nějaké certifikáty bezpečnosti :)
ČLÁNKY DO MAILU