MyHeritage je služba, která vám pomůže sestavit rodokmen nebo na základě vaší DNA zjistí etnický původ a najde další příbuzné. Bohužel se zjistilo, že servery společnosti někdo hacknul a ukradl data více než 92 milionů lidí.
Diskuze k článku: Rodokmenové službě MyHeritage ukradli data 92 milionů uživatelů
5.6.2018, Milan Šurkala, aktualita
... ze strany provozovatele neprislo ani slovo o tomto uniku udaju, zadny email, nic. Takze to bude asi prvni hlaseni v ramci GDPR ...
Odpovědět0 0
Prosím, aby autor článku opravil nekonzistentní informace ohledně hesel a jejich hashování vs šifrování viz "...který obsahoval e-maily a zahashovaná hesla k účtům..." vs "Vzhledem k tomu, že hesla jsou v zašifrované podobě...".
Rozdíl mezi hashováním a šifrováním je značný. Je-li něco zašifrováno, je možné zpětným postupem danou informaci z šifry získat, pokud bude znám nebo zjištěn algoritmus a případný klíč. Z hashe zpětně informaci získat nelze neboť se zjednodušeně jedná o jistý druh kontrolního součtu. Z toho plynou i možnosti "získat" původní heslo. Pokud by byla hesla šifrována, pak by útočníkům stačilo objevit algoritmus šifrování a případný zdroj klíčů a tento algoritmus by pak platil na všechna hesla, která by následně bylo možné zjistit velmi rychle. U hashe je nutné hledat hesla tzv. hrubou silou, kdy je nejprve nutné zjistit jakým způsobem byl daný hash vytvářen a pak náhodně zkoušet vytvářet hashe útočníkem hledaných hesel. Vzniklé hashe porovnávat s hashi získanými. Najde-li se shoda v hashích je nalezeno i heslo. Vzhledem k tomu, že se při hashování navíc k heslu přidávají doplňkové údaje pro každého uživatele jiné, tzv. sůl, musí útočníci hledat heslo pro každého uživatele zvlášť, což je zdlouhavé. Některé hash algoritmy jsou navíc záměrně navrženy tak, aby jejich výpočet byl relativně zdlouhavý čímž se významně prodlužuje doba potřebná pro nalezení odpovídajícího hashe.
Rozdíl mezi hashováním a šifrováním je značný. Je-li něco zašifrováno, je možné zpětným postupem danou informaci z šifry získat, pokud bude znám nebo zjištěn algoritmus a případný klíč. Z hashe zpětně informaci získat nelze neboť se zjednodušeně jedná o jistý druh kontrolního součtu. Z toho plynou i možnosti "získat" původní heslo. Pokud by byla hesla šifrována, pak by útočníkům stačilo objevit algoritmus šifrování a případný zdroj klíčů a tento algoritmus by pak platil na všechna hesla, která by následně bylo možné zjistit velmi rychle. U hashe je nutné hledat hesla tzv. hrubou silou, kdy je nejprve nutné zjistit jakým způsobem byl daný hash vytvářen a pak náhodně zkoušet vytvářet hashe útočníkem hledaných hesel. Vzniklé hashe porovnávat s hashi získanými. Najde-li se shoda v hashích je nalezeno i heslo. Vzhledem k tomu, že se při hashování navíc k heslu přidávají doplňkové údaje pro každého uživatele jiné, tzv. sůl, musí útočníci hledat heslo pro každého uživatele zvlášť, což je zdlouhavé. Některé hash algoritmy jsou navíc záměrně navrženy tak, aby jejich výpočet byl relativně zdlouhavý čímž se významně prodlužuje doba potřebná pro nalezení odpovídajícího hashe.
Odpovědět0 0
Díky za připomínku, chybu jsem opravil, má tam být jen zahashované. Rozdíl mezi oběma metodami je mi znám (v minulosti jsem programoval např. software na rozlouskávání jednoduché MD5 hrubou silou jako ukázku pro studenty právě tím způsobem, který popisujete,...).
Odpovědět0 0
Zajímá Vás tato diskuze? Začněte ji sledovat a když přibude nový komentář, pošleme Vám e-mail.
Nový komentář k článku
Pro přidání komentáře se přihlaste (vpravo nahoře). Pokud nemáte profil, zaregistrujte se pro využívání dalších funkcí.
reklama
reklama
Z dalších serverů
