SandH: Je pravda, že většina takovýchto společností opravdu uchovává jen hashe. Velice ovšem záleží na tom, jaký používají hashovací algoritmus. Pokud použijí nějaký horší (např. MD5), jde z hashů různými způsoby hesla vydolovat. U složitějších a pomalejších hashovacích algoritmů je útok na tyto hashe mnohem složitější.
Pak existuje (doufejme) malá část firem, které používají na hesla a jiné informace nějaký vlastní šifrovací mechanismus. Tak tomu bylo například i v případě Adobe, kde se z šifrovaných hesel dala hesla zpětně dostat. V plaintextu snad neuchovává hesla žádná velká společnost.
Když čtete zprávu, že nějaký útočník získal tisíce hesel, jedná se svým způsobem o trochu klamnou informaci. Většinou získá jen hashe, které ale ve velkém množství případů mohou být kompromitovány.
Další možnost je, že útočník nezískal hesla z databáze, ale podařilo se mu kompromitovat soubory na serveru a tudíž měl přístup k heslům, která ještě nebyl zahashovaná.
Bude to takhle stačit? |