Facebook до недавнего времени хранил пароли в plaintext

2

2

https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-u...

и официальное подтверждение

https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/

Для Ъ:

Facebook is probing a series of security failures in which employees built applications that logged unencrypted password data for Facebook users and stored it in plain text on internal company servers. That’s according to a senior Facebook employee who is familiar with the investigation and who spoke on condition of anonymity because they were not authorized to speak to the press.

Ссылка

←	Майкрософт верен своим традициям

ускоритель, увеличивающий производительность компьютера в 10 раз

→

и правильно делал

Int0l ★★
(22.03.19 05:10:16 MSK)

Ссылка

А собственно в чём проблема? Никогда толком не понимал этой проблемы. Если ты имеешь доступ до базы данных, где хранятся пароли, то скорее всего имеешь доступ до всего. Да, при теоретической ситуации, когда всё жёстко разделено хотя бы так, что система аккаунтов имеет свою базу, со своими правами и к ней обращаются остальные части системы по протоку, то есть по сути это отдельные программы, вроде всё верно, получим доступ до базы аккаунтов вряд ли что-то можно сделать. Но опять, если доступ не только на чтение, то что-то сделать всё равно можно.

А вот на практике, почти всё даже серьёзное ПО сделано так, что через одну дыру ты влазишь в почти всё. То есть получил доступ до таблицы юзеров, значит скорее всего имеешь доступ до остальных таблиц и по сути юзеры тебе нахрен не нужны, и так всё вытащишь. Остаётся только успокаивать себя тем, что мол проще через интерфейс данные тащить от имени юзера, чем дальше ковырять дыру. Но это фигня.

~~ixrws~~ ★★★
(22.03.19 07:56:58 MSK)

Вкудахт даже это скопировал.

EXL ★★★★★
(22.03.19 07:58:11 MSK)

Ссылка

Почему «идиотия»? Так как многие (практически все) используют один пароль для всего, то знание реального пароля, чтоб тырить данные отовсюду очень даже нужно и полезно. Так что всё правильно делают, анб и корпорации одобряют.

vtVitus ★★★★★
(22.03.19 08:05:52 MSK)

Ответ на: комментарий от ixrws 22.03.19 07:56:58 MSK

Вопрос подбора пароля. Тупейшие алгоритмы сравнения значения строки итеративны. Таким образом длина пароля вычисляется довольно быстро, затем запускается распределенный перебор и вуаля. А вот хеш всегда одинаковой длины вне зависимости от длины исходной строки, да и есть алгоритмы, где хеш от одной и той же строки разный, и разные хеши сравниваются неким алгоритмом и становится понятно одна и та же там была исходная строка или нет.

deep-purple ★★★★★
(22.03.19 08:25:46 MSK)

Ссылка

Ответ на: комментарий от vtVitus 22.03.19 08:05:52 MSK

У тех, кто так делает, все данные итак на публичной странице висят. Не все живут в компе, у некоторых ещё и реальная жизнь имеется.

next_time ★★★★★
(22.03.19 09:58:53 MSK)

Ссылка

Ответ на: комментарий от ixrws 22.03.19 07:56:58 MSK

А собственно в чём проблема?

Проблема в том, что если человек использует один длинный пароль на несколько сервисов, в случае хранения солёного хеша, он всё равно останется неизвестным злоумышленнику.

А при сабже, пароль будет скомпрометирован не только для facebook.

next_time ★★★★★
(22.03.19 10:03:43 MSK)

Ответ на: комментарий от next_time 22.03.19 10:03:43 MSK

один длинный пароль на несколько сервисов, в случае хранения солёного хеша, он всё равно останется неизвестным злоумышленнику.

Достаточно забрутфорсить один пароль, а потом этот же пароль попробовать на остальные сервисы. Соль же просто хеши делает разными на вид, но на это пофигу.

turtle_bazon ★★★★★
(22.03.19 15:47:06 MSK)