Август 2019
Пн Вт Ср Чт Пт Сб Вс
« Фев    
 1234
567891011
12131415161718
19202122232425
262728293031  

Поисковые системы “взламывают” хэшированные пароли

cipher_top

Широко распространено мнение, что хэширование паролей и другой ценной информации с помощью алгоритма MD5 является надежным средством шифрования. Однако в век поисковых технологий подобные математические ухищрения не обеспечивают сохранность данных.

 Технология хэширования базируется на однонаправленности, то есть трудности вычисления обратной функции. Считается, что по дайджесту (результату хэширования) практически невозможно вычислить аргумент хэш-функции (первоначальные данные), даже зная хэш-алгоритм. Поэтому дайджесты зачастую хранятся в базах данных без дополнительной защиты.

Однако сотрудник компьютерной лаборатории Кэмбриджского университета Стивен Мердок (Steven Murdoch) продемонстрировал элегантный метод взлома дайджеста MD5 с помощью одного поискового запроса к Google. Ему не потребовалось применять перебор, rainbow-таблицы и другие классические технологии взлома.

Стивен Мердок запросил в Google дайджест пароля пользователя блог-системы WordPress. В результате поисковик выдал ссылки на несколько ресурсов, где дайджест был частью веб-адреса. Это произошло из-за того, что администраторы сайтов иногда используют хэш-дайджесты в качестве названий файлов, выводимых на веб-страницах.

По содержанию этих файлов можно было легко определить, какой пароль был хэширован. Несложно догадаться, что если дайджест входит в адрес веб-страницы с описанием генеалогии семей Anthony, то аргументом хэширования является слово “Anthony”.

Использовать только хэширование небезопасно, считает Стивен Мердок, особенно если учесть стремление многих пользователей применять простые пароли. Необходима обязательная дополнительная трансформация хэш-дайджестов.

Поделитесь этой статьёй с друзьями. Им это может быть интересно
  • Добавить ВКонтакте заметку об этой странице
  • Мой Мир
  • Facebook
  • Twitter
  • LiveJournal
  • Блог Li.ру
  • Одноклассники
  • Blogger
  • MySpace
  • FriendFeed
  • В закладки Google
  • Google Buzz
  • Блог Я.ру
  • Яндекс.Закладки
  • БобрДобр
  • Memori.ru
  • МоёМесто.ru
  • Сто закладок
  • Yahoo! Bookmarks
  • Yahoo! Buzz
  • LinkedIn
  • MisterWong.RU
  • Reddit
  • StumbleUpon
  • Technorati
  • del.icio.us
  • Digg
  • PDF
  • Print
  • RSS

Похожие новости:

новая версия плагина wordpress to blogger (blogspot)
В свете развернувшейся дискуссии о моем плагине WordPress to blogger.com (blogspot.com), я внес небольшое изменение в плагин. Теперь, если ваши записи не имеют тега more, то есть состоят из одной части, то п...
Есть вопрос по CMS WordPress? Список форумов с ответами
А вы где ищите ответы на возникающие вопросы по CMS WordPress? Большинство пользователей вначале "гуглит". Затем идут вопросы на профильных блогах. Не дождавшись ответа, часть теряет интерес и прекращает...
Новые версии плагинов WordPress для кроспостинга в subscribe, blogger, live...
Обновлённые плагины WordPress, в том числе плагин для кроспостинга в livejournal.com - поддержка расширенного тега more: как я и обещал в своем предыдущем посте о настройке RSS. Добавил в свои плагины ссылку ...
Заработала украинская версия YouTube!
И хотя украинцы уже давно смотрят и загружают видео на YouTube, запуск его украинской версии состоялся только сегодня под доменами YouTube.ua и YouTube.com.ua. Это значит, что для нас стала доступной партнерс...
Рэнд Фишкин о преимуществах Google+ в продвижении сайтов
В этом видео вы узнаете о: социальной сети Google +; причинах создания своего аккаунта в Google +; стратегиях продвижения сайта с помощью Google +; совместном поиске Google и Google +. И многое, ...
День компьютерщика
14 февраля — неофициальный, но широко отмечаемый в профессиональном мире День компьютерщика. 14 февраля 1946 года научному миру и всем заинтересованным был продемонстрирован первый реально работающий электрон...

Оставить комментарий

Перед отправкой формы:
Human test by Not Captcha