Chápu, že získat hash otisk hesla je na jednu stranu prblém pro uživatele systému. Na druhou stranu, nikde není patrné, jaký že hash to je (možná jsem něco minul).
Ale k věci. Získat hash je jedna věc, ale získat holé heslo druhá. Jasně, brutal force je všemocný, ale pro 140.000 hesel ? To je, pokud nemá někdo slovník hash kódů, práce na pár let.
A navíc, slovník hash otisků nenajde hesla typu: BaF102gg (takže tam zbývá jenom brutal force - gratuluji.. neznámý rozsah hesla, neznámý počet písmen / číslic a ještě Upper/Lower case, diakritika.... kdysi jsem to zkoušel naprogramovat pro 5-ti místný řetězec a běželo by to pár hodin na jedno heslo)
Jediné, co lze s hashem dělat, je ho případně někam podstrčit, ale většina systémů hashuje až odeslaný řetezec u sebe, tudíž poslat přímo hash je na nic.
Toť otázka... k čemu mi je hash otisk hesla ? Inteligentní uživatel si nedá heslo typu 123456, které se získá za 5 minut, ale výše zmíněné náhodné změti znaků. Jelikož hesla lze získat, aniž by měl někdo přístup k DB... nikde jsem neviděl, že by csfd používala https :) a nějaké certifikáty bezpečnosti :)
Hashe, která hacker zveřejnil jsou očividně (podle delky a znaků) md5 a to ješte jako vysledek fce md5($heslo) tzn. nejslabší možný hash md5. Brutal force útok je v tomto pripade zcela bezproblemovy protože existují veřejné rainbow tables. Script kiddies vezmou hash a hodí ho do googlu a dostanou heslo na stříbrném podnose.
ČLÁNKY DO MAILU