[Решето] WineHQ login database compromised.

0

1

We are sorry to report that recently our login database for the
WineHQ Application Database was compromised. We know that the entire
contents of the login database was stolen by hackers. The password
was encrypted, but with enough effort and depending on the quality
of your old password, it could be cracked.

http://www.winehq.org/pipermail/wine-users/2011-October/097753.html

Ссылка

←	[жж][экономика][отношение к людям] Верным путём печёте товарищ

[мнения] Теорминимум программиста

→

← 1 2 →

Ответ на: комментарий от winddos 12.10.11 01:36:58 MSK

Ну, сделал пока вариант с sha1 и солью :) Обновляемый при перелогиниваниях. Посмотрю, заодно, как часто народ перелогинивается ;)

~~KRoN73~~ ★★★★★
(12.10.11 01:59:01 MSK)

Ответ на: комментарий от KRoN73 12.10.11 01:09:27 MSK

Зачем загружать процессорные мощности, если можно восстановить пасс по таблице за несколько миллисекунд? :-)

Ramen ★★★★
(12.10.11 02:12:48 MSK)

Ответ на: комментарий от KRoN73 12.10.11 01:59:01 MSK

По хорошему (если не используется SSL, и нет цели собирать чужие пароли) надо хешировать уже на стороне пользователя, до отправки.
Так сделано в vbulletin, например.

winddos ★★★
(12.10.11 02:15:23 MSK)

Ссылка

Ответ на: комментарий от Ramen 12.10.11 02:12:48 MSK

У меня например на сервере редко загружен процессор (в основном диск, т.к форумы грузят базу, ну и оперативка).

Хеширование пароля 100 000 раз делает брут по таблице в 100 000 раз медленнее.
При этом если на форуме с 10к хостами, надо будет сделать такой хеш примерно 5к раз.
В то время брут по таблицам требует многие миллионы попыток.

winddos ★★★
(12.10.11 02:20:11 MSK)

Ссылка

Ответ на: комментарий от Ramen 11.10.11 23:56:44 MSK

> Мне, кстати, интересно, кто тот неумный человек, который первым додумался использовать девичью фамилию матери для восстановления пароля?

Спасибо тому умному человеку, который первым додумался использовать девичью фамилию чьей-то произвольной матери.

shimon ★★★★★
(12.10.11 11:06:04 MSK)

Ссылка

Ответ на: комментарий от Ramen 11.10.11 23:52:59 MSK

>Нет, ну конечно, можно выискать в БД самых злобных буратин, у которых пароль такой, что быстро подбирается по словарю, да ещё и к мылу подходит... но что толку то? Таких будет очень немного.

Да ну? Знаю тонну (не по суммарной массе, фигура речи) людей, у которых пароль, например, из одних цифр.

upcFrost ★★★★★
(13.10.11 01:14:43 MSK)