LINUX.ORG.RU

Facebook до недавнего времени хранил пароли в plaintext

 , ,


1

2

https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-u...

и официальное подтверждение

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

Для Ъ:

Facebook is probing a series of security failures in which employees built applications that logged unencrypted password data for Facebook users and stored it in plain text on internal company servers. That’s according to a senior Facebook employee who is familiar with the investigation and who spoke on condition of anonymity because they were not authorized to speak to the press.

А собственно в чём проблема? Никогда толком не понимал этой проблемы. Если ты имеешь доступ до базы данных, где хранятся пароли, то скорее всего имеешь доступ до всего. Да, при теоретической ситуации, когда всё жёстко разделено хотя бы так, что система аккаунтов имеет свою базу, со своими правами и к ней обращаются остальные части системы по протоку, то есть по сути это отдельные программы, вроде всё верно, получим доступ до базы аккаунтов вряд ли что-то можно сделать. Но опять, если доступ не только на чтение, то что-то сделать всё равно можно.

А вот на практике, почти всё даже серьёзное ПО сделано так, что через одну дыру ты влазишь в почти всё. То есть получил доступ до таблицы юзеров, значит скорее всего имеешь доступ до остальных таблиц и по сути юзеры тебе нахрен не нужны, и так всё вытащишь. Остаётся только успокаивать себя тем, что мол проще через интерфейс данные тащить от имени юзера, чем дальше ковырять дыру. Но это фигня.

ixrws ★★ ()

Вкудахт даже это скопировал.

EXL ★★★★★ ()

Почему «идиотия»? Так как многие (практически все) используют один пароль для всего, то знание реального пароля, чтоб тырить данные отовсюду очень даже нужно и полезно. Так что всё правильно делают, анб и корпорации одобряют.

vtVitus ★★★★★ ()
Ответ на: комментарий от ixrws

Вопрос подбора пароля. Тупейшие алгоритмы сравнения значения строки итеративны. Таким образом длина пароля вычисляется довольно быстро, затем запускается распределенный перебор и вуаля. А вот хеш всегда одинаковой длины вне зависимости от длины исходной строки, да и есть алгоритмы, где хеш от одной и той же строки разный, и разные хеши сравниваются неким алгоритмом и становится понятно одна и та же там была исходная строка или нет.

deep-purple ★★★★★ ()
Ответ на: комментарий от vtVitus

У тех, кто так делает, все данные итак на публичной странице висят. Не все живут в компе, у некоторых ещё и реальная жизнь имеется.

next_time ★★★★ ()
Ответ на: комментарий от ixrws

А собственно в чём проблема?

Проблема в том, что если человек использует один длинный пароль на несколько сервисов, в случае хранения солёного хеша, он всё равно останется неизвестным злоумышленнику.

А при сабже, пароль будет скомпрометирован не только для facebook.

next_time ★★★★ ()
Ответ на: комментарий от next_time

один длинный пароль на несколько сервисов, в случае хранения солёного хеша, он всё равно останется неизвестным злоумышленнику.

Достаточно забрутфорсить один пароль, а потом этот же пароль попробовать на остальные сервисы. Соль же просто хеши делает разными на вид, но на это пофигу.

turtle_bazon ★★★ ()
Ответ на: комментарий от turtle_bazon

Достаточно для чего? Для угона почты или пейпала - недостаточно, там как раз нужна массовость.

deadNightTiger ★★★★ ()
Ответ на: комментарий от deadNightTiger

Достаточно для того, чтобы угнать у тебя всё остальное? Ну пейпал там двухфакторка. Почта не везде.

turtle_bazon ★★★ ()

А что мешает захешировать\перехешировать старые пароли? Это ведь легко сделать.

Такое вообще встречается часто, когда пароли старых пользователей так и лежат открытым текстом.

KillTheCat ★★★★★ ()
Ответ на: комментарий от turtle_bazon

не, она ещё против радуги, а достаточно длинный пароль незабрутфорсить

next_time ★★★★ ()
Ответ на: комментарий от next_time

Много ты видел достаточно длинных паролей у пользователей? Буквально по словарю всё ломается.

turtle_bazon ★★★ ()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)