Jo, u blbýho e-šopu chcou furt nějaký složitý heslo a když se nechcete registrovat, tak se někdy nedá ani nakoupit. A u účtu , kde máte fůru peněz musí stačit čtyři číslice ...

Problém není ani tak v použití md5, ale v nepoužití soli. Bez soli mají stejný problém i jiné hashovací funkce.

Jako reakce na tuto událost se všude píše o tom, jaká by lidé měli mít hesla a jak jsou hloupí že mají jedno stejné apod. Jistě. Ovšem, Mall.cz, který umožnil tento únik dat (neschopnost zabránit mu) se staví automaticky do role oběti. Ve skutečnosti by měl hradit škody svým zákazníkům, kteří nyní musí celé dny minimálně měnit svá hesla na dalších účtech...

- Zadejte uživatelské jméno !

- logik2

- Zadejte heslo !

- jablko

- Lituji, heslo musí obsahovat minimálně 8 znaků !

- červenéjablko

- Lituji, heslo musí obsahovat min. 1 číslici !

- 1červenéjablko

- Lituji, heslo musí obsahovat min. jedno velké písmeno !

- 1VYJEBANÉčervené jablko

- Lituji, heslo nesmí obsahovat za sebou následující velká písmena ! - 1VyjebanéČervenéJablkoAnastrčSiHo ! - Lituji, heslo nesmí obsahovat znaky s diakritikou ! - 1VyjebaneShnileCerveneJablkoAchcipniTyHajzleJestliAniTohleHesloNeprijmes - Lituji, toto heslo je již obsazeno !

Tak jsem se dnes i zasmál , dávám BOD , u mně dobrý .

hmm, to zas někdo na eshopu tak velkého rozsahu má uživatelské hesla v nekryptovaném stavu?

take mi to doslo do emailu... povazoval jsem to a spam a smazal... ...btw. na mall.cz jsem nakupoval jen jednou, asi v roce 2012 (holici strojek) ... nepamatuju si, ze bych se registroval... asi me to registrovalo automaticky (dle VOP), coz mne velmi vytaci a mam velice rad e-shopy, ktere nucenou registraci nevyzaduji / nedelaji.

Taky mi to přišlo na e-mail a taky jsem se neregistroval , humus .

Přijít o FB účet - tomu říkám životní tragédie.

Protože MD5 je starý způsob hashování, existují dnes již účinné metody, které umí zpětně dešifrovat z kontrolního součtu původní heslo. Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek. Například tato stránka dokázala řetězec 955db0b81ef1989b4a4dfeae8061a9a6 dešifrovat jako „heslo“ za desetinu sekundy a „heslo123“ za 0,7 sekundy. Je tedy vidět, že zvláště jednoduchá hesla nečiní hackerům problém dekódovat velice rychle.

A teď hurá do opravy dvou chyb...

1) Hash nejde dešifrovat, jde pouze najít "kolizi". MD5 je 128 bitové číslo, dva řetězce klidně můžou mít stejný hash. Oproti zašifrovanému textu, kdy musí jít samozřejmě dešifrovat původní zpráva.

2) Stačí použít například dostupné databáze, které využívají známých hesel a slovníků k vytvoření dekódovacích tabulek.

Pokud programátor aplikace ví co je salt, tak nestačí. I v Mallu salt u novějších hesel používali. Podrobnosti salted hash.

https://en.wikipedia.org/wiki/Salt_(cryptography)

https://www.interval.cz/clanky/salted-hash-dalsi-krok-ke-zvyseni-bezpecnosti/

Od listopadu 2012 jsme bezpečnost hesel zajišťovali hashovací metodou SHA1 + unikátní solí a od října 2016 chráníme přístupové údaje jednou z nejsilnějších hashovacích metod bcrypt. Do roku 2012 byly údaje hashovány metodou MD5, která dnes již není považována za bezpečnou.

https://blog.mall.cz/o-nas/q-a-vse-co-jste-chteli-vedet-o-bezpecnosti-na-mall-cz-451.html

Ano, "dešifrování" je v tomto případě taková zkratka. A ano, osolení pomůže.

Kdyby měl mít člověk do každé aplikace a služby jiné heslo, potřeboval by sebou na ně nosit sešit.

zase tak divoké to být nemusí. já si před časem na nekritické služby a aplikace vytvořil algoritmus, který zohledňuje URL/název a je dostatečně bezpečný. Pak mi nedělá problém si na heslo pro danou službu okamžitě vzpomenout. Nu a na ty kritické (banka, firemní účet, osobní e-mail, nastavení domény) mám silné hesla bez jakékoliv spojitosti s mou osobou nebo danou službou.

Mall.cz jde už posledních pár let pěkně z kopce. Běžně problémy s doručováním a dodržováním termínu dodání. Dřív jsem u nich nakupoval hodně, teď už minimálně. A když ani neumí ochránit data zákazníků, tak už tam nebudu nakupovat vůbec. Ta firma jde strašně dolů.