The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлена возможная утечка хэшей паролей разработчиков Mozilla"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлена возможная утечка хэшей паролей разработчиков Mozilla"  +/
Сообщение от opennews (??) on 03-Авг-14, 00:47 
Сторми Питерс (Stormy Peters), директор по взаимодействию с разработчиками, сообщила (https://blog.mozilla.org/security/2014/08/01/mdn-database-di.../) об инциденте с безопасностью на одном из серверов Mozilla, в результате которого в публичном доступе появилась база данных, содержащая данные об около 76 тысячах e-mail адресов и 4 тысячах хэшей паролей участников сообщества Mozilla Developer Network. Данные появились 23 июня и оставались доступны примерно 30 дней. В качестве причины инцидента называется сбой процесса чистки БД, в результате которого в публично доступной директории остался coredump с отрывками БД сайта MDN (https://developer.mozilla.org/en-US/).


В процессе анализа инцидента не были выявлены явные свидетельства доступа к данной информации сторонних лиц, но тем не менее вероятность утечки не исключается. Всем пользователям, аккаунты которых были затронуты инцидентом отправлены уведомления с просьбой установить новый пароль. Сообщается, что в настоящее время невозможно использовать подобранные по хэшам пароли для входа в Mozilla Developer Network, но злоумышленники могут  попытаться подключиться к другим сервисам, в которых пользователь установил тот же пароль.

  

URL: https://blog.mozilla.org/security/2014/08/01/mdn-database-di.../
Новость: http://www.opennet.me/opennews/art.shtml?num=40319

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +7 +/
Сообщение от Аноним (??) on 03-Авг-14, 00:47 
Господа, а по логике то плевать, не? Участники подобных проектов используют криптостойкие пароли, на сам подбор которых уйдут годы, и глупо было бы отвергать то, что база хэширована sha512 - в таком случае прямой перебор идет лесом. Думаю, что для серьезных проектов подобного рода утечки хэшэй совершенно не критичны, а вот сам факт нарушения модели угрозы - да, косяк..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  –2 +/
Сообщение от Аноним (??) on 03-Авг-14, 00:48 
> sha512 - в таком случае прямой перебор идет лесом.

Прямым перебором никто и не будет подбирать, радужные таблицы рулят!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Crazy Alex (ok) on 03-Авг-14, 00:56 
А под SHA512 радуга вообще бывает?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  –1 +/
Сообщение от Аноним (??) on 03-Авг-14, 01:07 
Конечно, только занимает 864Гб. Взять можно здесь http://project-rainbowcrack.com/table.htm
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 03-Авг-14, 01:52 
> Конечно, только занимает 864Гб.

Вообще-то зависит от длины атакуемого пароля :). А так - производители винчей радоваться должны, я бы на их месте даже коммитил в пасскрякеры тихой сапой ;].

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Владимир email(??) on 03-Авг-14, 04:29 
Там только sha1. sha512 более криптостойкий.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от BratSinot (ok) on 03-Авг-14, 10:13 
А еще можно соли добавить.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

31. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 16:51 
> А еще можно соли добавить.

Ты добавил? Покажь коммит!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

6. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +1 +/
Сообщение от Аноним (??) on 03-Авг-14, 01:06 
Но мой пароль должен бы в радужной таблице. Или хотябы пободный. И то алгос пободия на столько разнообразен, что лишь на толику сокращает время подбора. Поправь меня, если я заблуждаюсь, буду благодарен.
Для примера: %@#20_0p3nN3T_14#@% - обломается радужная таблица, если к тому же добавлять год.месяц и автоматом менять цифру месяца в удобном для тебя порядке, о которм знаешь только ты. Я, кстати, примерно так и делаю раз в месяц.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +1 +/
Сообщение от ano (??) on 03-Авг-14, 02:27 
Нет, не должен. В таблице будет пароль, хэш которого совпадает с вашим. Коллизия-с..
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от SlZDO0OIU on 03-Авг-14, 23:41 
Скорее нет, чем да. Скажем, у радужной таблицы пространство ключей 10^17, сколько такие таблицы занимают места можно прикинуть сходив по ссылке выше.

Тогде вероятность того, что в эти таблицы входит элемент типа %@#20_0p3nN3T_14#@%, что, грубо говоря, похоже на, скажем, 96^19, составит 10^17/96^19.

Если же пространство ключей ограничено только пространсвом ключей хешей, то в нашем случае вероятсноть будет порядка 10^17/2^512.

Всё грубо, но я к тому, что не надо бояться коллизий. Лучше бойтесь атак на поиск прообраза, коль скоро речь идёт о хранении хешей паролей.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 02:07 
Не забывай про http://ru.wikipedia.org/wiki/Парадокс_дней_рождения
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 15:03 
Парадокс дней рождения работает если вы ищете пару люыбх p1, p2, такую, что h(p1) == h(p2). При утёкших хешах же вы ищете такое любое p2, что h(p2) == H, где H фиксированное и равно h(p1), так как p1 тоже фиксированное, и вы его не знаете.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

16. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Алексей (??) on 03-Авг-14, 13:05 
Если к паролю добавляется соль, то радужные таблицы помогут не сильно. Просто гипотетически пусть считается md5 от (user_name password user_name). Ну и чем здесь помогут радужные таблицы?

Предположим они скажут, что выбранной контрольной сумме соответстует строка "aaaabbbasaassa", но ты ее не можешь послать на удаленный сервер, т.к. к ней добавят имя пользователя и сумма не сойдется.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 03-Авг-14, 13:52 
> Если к паролю добавляется соль, то радужные таблицы помогут не сильно. Просто

"Если" - хорошее слово. :))))))))

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Алексей (??) on 03-Авг-14, 14:33 
Я к тому, что радужные таблицы имеют достаточно ограниченную применимость
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 03-Авг-14, 16:54 
> Я к тому, что радужные таблицы имеют достаточно ограниченную применимость

Ай, что ты, вихрь! Расскажи это хэшкоту, а?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от SlZDO0OIU on 03-Авг-14, 23:20 
Hashcat не использует таблицы. Он брутит.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

22. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от casm (ok) on 03-Авг-14, 15:16 
> Stormy wrote on August 1, 2014 at 6:08 pm::
> The passwords included salts that were unique to each user record.

https://blog.mozilla.org/security/2014/08/01/mdn-database-di...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

4. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Xasd (ok) on 03-Авг-14, 00:55 
> но злоумышленники могут попытаться подключиться к другим сервисам, в которых пользователь установил тот же пароль...

...и ту же соль :)

мне на почту пришло уведомление об инцеденте -- в котором была ссылка на пост, в котором говорится:

"... The encrypted passwords were salted hashes and they by themselves cannot be used to authenticate with the MDN website today. ..."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 15:09 
При чём тут соль?

Утек хеш с солью. Злой дядя сбрутил пароль и пошёл на твою страницу в твиторе, указал тот же пароль, твитор приделал к указзаному паролю соль из своей базы и захешировал. Результат сравнил с хешем из базы. Если ты имел глупость использовать на твиторе тот же пароль, то твитор аутентифицирует злого дядю как тебя-настоящего.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 16:53 
> При чём тут соль?
> Утек хеш с солью. Злой дядя сбрутил пароль и пошёл на твою
> страницу в твиторе, указал тот же пароль, твитор приделал к указзаному
> паролю соль из своей базы и захешировал. Результат сравнил с хешем
> из базы. Если ты имел глупость использовать на твиторе тот же
> пароль, то твитор аутентифицирует злого дядю как тебя-настоящего.

О дааааааа, соль!!!! Валшебная пуля!!!!

Она-ж криптографически считается, соль-то! Неужто? Давно ли?

Мужик, ты "Введение в криптографию"-то видал?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 17:19 
>> При чём тут соль?
>> Утек хеш с солью. Злой дядя сбрутил пароль и пошёл на твою
>> страницу в твиторе, указал тот же пароль, твитор приделал к указзаному
>> паролю соль из своей базы и захешировал. Результат сравнил с хешем
>> из базы. Если ты имел глупость использовать на твиторе тот же
>> пароль, то твитор аутентифицирует злого дядю как тебя-настоящего.
> О дааааааа, соль!!!! Валшебная пуля!!!!
> Она-ж криптографически считается, соль-то! Неужто? Давно ли?
> Мужик, ты "Введение в криптографию"-то видал?

Ты о чём вообще? Я лишь сказал предыдущему оратору, что наличие соли на двух разных сервисах его не спасёт, если утёк хеш (и был потом сбручен) одного с одного сервиса, а на обоих он использует один пароль.

Что касаемо "как считается соль", то она не считается, а, в идеале, генерируется как псевдослучайное значение.

Что пытаешься донести ты - неясно.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Xasd (ok) on 15-Авг-14, 18:38 
> наличие соли на двух разных сервисах его не спасёт, если утёк хеш (и был потом сбручен)

если был бы сбрутен, то да.

но как сбрутить хеш с солью?

это же неимоверные усилия. (нельзя вспользоваться готовой базой. и нельзя возпользоваться распределённым подходом если остальные участники потенциального распределения не заинтересованы в этой же соли. а соль разная у каждого логина, так что да -- ни кто не заинтересован в распределённом бруте).

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

12. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +1 +/
Сообщение от Аноним (??) on 03-Авг-14, 09:55 
apache index забыли на папку дампа снять?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +1 +/
Сообщение от Xasd (ok) on 03-Авг-14, 10:19 
> apache index забыли на папку дампа снять?

ты бы ещё сказал бы -- "забыли поставить галочку 'Скрытый' в свойствах файла в проводнике?" :)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  –1 +/
Сообщение от Аноним (??) on 03-Авг-14, 10:52 
Я так и знал, что с 29-ой версии разработку Firefox'а по-тихому угнали люди из Гугла.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +5 +/
Сообщение от GArik on 03-Авг-14, 14:17 
Это наш шанс наконец-то закоммитить поддержку webp в firefox!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от casm (ok) on 03-Авг-14, 15:12 
Это были старые пароли, тех, кто ещё не входил через Persona
> Dave wrote on August 1, 2014 at 5:23 pm:
> MDN currently requires a sign in with Persona. What was in the password fields that were leaked?
> Stormy wrote on August 1, 2014 at 5:34 pm::
> It was the old password, not the Persona password.

https://blog.mozilla.org/security/2014/08/01/mdn-database-di...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Ан1110н1110м on 04-Авг-14, 03:07 
Шёл 2014й год, люди продолжали наступать на всё те же грабли:
- используя быстрые хэш функции тпиа sha* для хранения паролей
- используя во всех формах ограничения на длину пароля, что заставляет пользователей придумывать или простые пароли или те, которые не возможно запомнить (F!12fj-v1zxz).
- продолжая использовать пароли вообще.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Выявлена возможная утечка хэшей паролей разработчиков Mozill..."  +/
Сообщение от Аноним (??) on 04-Авг-14, 15:14 
> Шёл 2014й год, люди продолжали наступать на всё те же грабли:
>  - используя быстрые хэш функции тпиа sha* для хранения паролей
>  - используя во всех формах ограничения на длину пароля, что заставляет
> пользователей придумывать или простые пароли или те, которые не возможно запомнить
> (F!12fj-v1zxz).

Ага, и часто ограничивают не только длину, но и набор символов.
>  - продолжая использовать пароли вообще.

А есть реальная универсальная альтернатива?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру