Nie wiemy czy tę informację zostawić w kategorii Drobiazgi, czy może raczej FunSec. Ale po kolei. Użytkownicy forum gry BloodWars otrzymali dzisiaj wiadomość o wycieku bazy danych forum. Zacytujmy najciekawszy fragment informacji:
Hasła są szyfrowane jednostronnie metodą md5, co jest powszechnie uznawanym standardem bezpieczeństwa, jednak jak wiadomo odpowiednio silny komputer może przeprowadzić ataki typu brute force i złamać pojedyncze, wybrane hasła (złamanie wszystkich raczej nie wchodzi w grę, bo wymagałoby ogromnych mocy obliczeniowych).
Po pierwsze to przetworzenie przez funkcję skrótu trudno nazwać szyfrowaniem – to w końcu operacja jednostronna. Istotniejszy jest kolejny fragment, gdzie MD5 opisane jest jako powszechnie uznawany standard bezpieczeństwa. Sprawdziliśmy dwa razy – komunikat był opublikowany w roku 2016, a nie 2006. No chyba, że zabrakło fragmentu zdania które powinno brzmieć powszechnie uznawany za przestarzały standard bezpieczeństwa. Zabawny jest również fragment o odgadywaniu haseł – doświadczenie pokazuje, że w przypadku haszy MD5 skuteczność łamania dla dużych baz standardowo przekracza 90%.
Strona gry
Na plus można administracji forum zaliczyć poinformowanie użytkowników (chociaż dopiero po 9 dniach) oraz wyjaśnienie powodów wycieku (działalność użytkownika o podwyższonych uprawnieniach w trakcie prac technicznych). Nie zmniejsza to jednak niesmaku związanego z wcześniejszych paragrafem.
Dziękujemy użytkownikom, którzy podesłali informacje.
Komentarze
To ktoś jeszcze używa MD5? Jezu … xD
Jakimi szyfrowaniami w dzisiejszych czasach powinny być zabezpieczane bazy danych?
Jeżeli chodzi o funkcje skrótu (hashe), to zapewne algorytmami z rodziny SHA (SHA-2,3)
bcrypt
Lepsze MD5 nic RC4 :-)
Można było nawet ROT13 ;)
Idąc na całość to dobrze, że wyszli z szyfru Cezara ;)
@raf hasła sie soli :)
Hah, akurat ostatnio gadałem z kumplem, że miałem problem, bo serwer PHP nie obsługiwał password_hash(), a ten mi mówi, że wystarczyło posolić i MD5 użyć.
Co standard, to jednak standard. :P
Się nie znacie. Obecnie MD5 to już jest mechanizm szyfrowania a nie hashowania przy odpowiedniej mocy obliczeniowej :)