21.03.2016 | 15:26

Adam Haertle

MD5 standardem bezpieczeństwa

Nie wiemy czy tę informację zostawić w kategorii Drobiazgi, czy może raczej FunSec. Ale po kolei. Użytkownicy forum gry BloodWars otrzymali dzisiaj wiadomość o wycieku bazy danych forum. Zacytujmy najciekawszy fragment informacji:

[…]osoba mająca backup bazy ma nie tylko dostęp do wszystkich postów na forum, ale również do innych danych, w tym adresów e-mail, adresów IP i ZASZYFROWANYCH haseł.

Hasła są szyfrowane jednostronnie metodą md5, co jest powszechnie uznawanym standardem bezpieczeństwa, jednak jak wiadomo odpowiednio silny komputer może przeprowadzić ataki typu brute force i złamać pojedyncze, wybrane hasła (złamanie wszystkich raczej nie wchodzi w grę, bo wymagałoby ogromnych mocy obliczeniowych).

Po pierwsze to przetworzenie przez funkcję skrótu trudno nazwać szyfrowaniem – to w końcu operacja jednostronna. Istotniejszy jest kolejny fragment, gdzie MD5 opisane jest  jako powszechnie uznawany standard bezpieczeństwa. Sprawdziliśmy dwa razy – komunikat był opublikowany w roku 2016, a nie 2006. No chyba, że zabrakło fragmentu zdania które powinno brzmieć powszechnie uznawany za przestarzały standard bezpieczeństwa. Zabawny jest również fragment o odgadywaniu haseł – doświadczenie pokazuje, że w przypadku haszy MD5 skuteczność łamania dla dużych baz standardowo przekracza 90%.

Strona gry

Strona gry

Na plus można administracji forum zaliczyć poinformowanie użytkowników (chociaż dopiero po 9 dniach) oraz wyjaśnienie powodów wycieku (działalność użytkownika o podwyższonych uprawnieniach w trakcie prac technicznych). Nie zmniejsza to jednak niesmaku związanego z wcześniejszych paragrafem.

Dziękujemy użytkownikom, którzy podesłali informacje.

Powrót

Komentarze

  • 2016.03.21 16:38 Baku

    To ktoś jeszcze używa MD5? Jezu … xD

    Odpowiedz
  • 2016.03.21 19:06 raf

    Jakimi szyfrowaniami w dzisiejszych czasach powinny być zabezpieczane bazy danych?

    Odpowiedz
    • 2016.03.22 07:27 Adul

      Jeżeli chodzi o funkcje skrótu (hashe), to zapewne algorytmami z rodziny SHA (SHA-2,3)

      Odpowiedz
    • 2016.03.22 07:40 Adam

      bcrypt

      Odpowiedz
  • 2016.03.21 20:41 Fodkdkkd

    Lepsze MD5 nic RC4 :-)

    Odpowiedz
    • 2016.03.21 21:00 iwan

      Można było nawet ROT13 ;)

      Odpowiedz
    • 2016.03.21 21:30 Szestkam

      Idąc na całość to dobrze, że wyszli z szyfru Cezara ;)

      Odpowiedz
  • 2016.03.22 02:48 Malu

    @raf hasła sie soli :)

    Odpowiedz
  • 2016.03.22 14:02 hit02

    Hah, akurat ostatnio gadałem z kumplem, że miałem problem, bo serwer PHP nie obsługiwał password_hash(), a ten mi mówi, że wystarczyło posolić i MD5 użyć.
    Co standard, to jednak standard. :P

    Odpowiedz
  • 2016.05.23 13:35 li-on

    Się nie znacie. Obecnie MD5 to już jest mechanizm szyfrowania a nie hashowania przy odpowiedniej mocy obliczeniowej :)

    Odpowiedz

Zostaw odpowiedź do Malu

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

MD5 standardem bezpieczeństwa

Komentarze