Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Formspring

2012.07.11. 16:27 | buherator | 3 komment

A Formspring online űrlapkészítő szolgáltatás 420.000 jelszó hash kompromittálódásáról számolt be. Az információk egy nyilvános fórumon jelentek meg, a hash-ek nem voltak párba állítva felhasználónevekkel (bár lehetséges, hogy nem a teljes adatbázist hozták nyilvánosságra a támadók). A beszámoló szerint az egyik fejlesztői szerverre sikerült behatolniuk illetékteleneknek, innen pedig az egyik éles kiszolgálóra átjutva tehették rá a kezüket a felhasználói adatokhoz.

A szolgáltató minden felhasználó következő belépésekor jelszócserét kényszerít ki, adatbázisaikban az SHA-256 algoritmust a rossz hatékonysággal számítható bcryptre cserélték. A Facebook Connecttel bejelentkező felhasználókat az incidens nem érinti, feltéve hogy korábban nem hoztak létre natív Formspring felhasználót.

Címkék: incidens formspring

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Zorg a Rettenetes · http://musicanta.blog.hu 2012.07.11. 17:42:41

Miért jobb jelszó tároláshoz a bcrypt mint egy SHA2-es függvény? Az többet számít, hogy megfelelő salt legyen hozzácsapva, és ne engedélyezzenek túl egyszerű jelszavakat, nem? Javíts ki, ha tévedek.

buherator · http://buhera.blog.hu 2012.07.11. 18:15:01

@Zorg a Rettenetes: "az SHA-256 algoritmust a _rossz hatékonysággal_ számítható bcryptre cserélték" -> nem hatékony, ergo rohadt lassú brute-force alapon törni, a nagy memóriahozzáférési igény miatt pedig szívás GPU-n implementálni az algoritmust. További infó: codahale.com/how-to-safely-store-a-password/