Задать вопрос
@Bjornie
Изучаю Python

Почему крупные ресурсы не хешировали пароли?

Изучаю тему хеширования паролей (методы, соль и т.д.) для хранения в БД. Казалось бы простое правило: хешируйте пароли, чтобы в случае, если они окажутся в чужих руках их нельзя будет сразу прочитать.

У меня сразу же возник вопрос и я хочу его здесь задать: не раз читал новости, что были взломаны крупные площади и пароли миллионов пользователей оказались обнародованы. Пароли были не хешированными. При этом многие площадки являлись достаточно крупными.

Как такое может быть? Почему принималось решение не хешировать пароли, ведь это ясная тема даже новичку типа меня, которые понимает почему это надо делать. Кто-нибудь может объяснить этот момент?
  • Вопрос задан
  • 636 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 1
Sanasol
@Sanasol
нельзя просто так взять и загуглить ошибку
Потому что крупные площадки не сразу появились с навороченным бекэндом.
А строились годами, а может и десятилетиями уже.

Нельзя просто так взять и выбросить старый код, данные и т.п.
Приходится соблюдать обратную совместимость всё-таки.

Опять же многие все-таки используют хеширование, но банальный перебор выдаст бОльшую часть паролей.
Которые в общей массе обычно 123456 и т.п. Посмотрите топ 100 паролей из любой слитой базы.

Так же в некоторых протоколах/софтинах нужны plaintext пароли.
Самый простой пример: авторизация на mail.ru с ящиком другого провайдера.
Тут кроме как хранить в открытую вариантов нет. Тоже самое с другими подключаемыми друг к другу сборщиками почты.

Ну и конечно что нельзя недооценивать человеческую глупость, не всегда разработчики думают/знают о безопасности.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@Karmashkin
возможный сценарий:
говнокодим и пытаемся взлететь накапливая "технический долг" в виде забивания на безопасность, а когда площадка становится крупной, долг остается не погашеным.
не успели, забыли, отложили, не
выделили на это ресурсы и долг остался.
Ответ написан
Комментировать
Jump
@Jump
Системный администратор со стажем.
А почему вы считаете что они не хэшировали пароли?

Итак нам например надо взломать почту mail.ru, какие могут быть варианты -
1)Регистрируем домен mall.ru размещаем на нем страничку визуально похожую на главную страницу mail.ru, подсовываем пользователям, и ждем когда пользователи сами накидают пароли.
2)Ломаем форум игроков в танки, который склепал школьник - выдергиваем логины и пароли. Идем на почту и пытаемся залогиниться в почту под этим логином и паролем.
3)Ставим пользователю троян который пишет нажатия клавиатуры. Потом просто сортируем и проверяем рядом стоящие слова как логин и пароль.
4)Если нам достались хэши паролей - устраиваем на них словарную атаку, т.е хэшируем и солим все популярные варианты паролей и проверяем на совпадение. Это гораздо эффективнее брутафорса.
6)Ну и еще куча вариантов.

Если в сети появилась база пользователей и паролей крупной площадки - это не значит что площадку взломали и получили доступ к хэшам.
Ответ написан
POS_troi
@POS_troi
СадоМазо Админ, флудер, троль.
Странный вопрос и темболее вообще не по адресу :)
Спросите его у тех ресурсов, потом нам расскажите.

А вообще тут как всегда - "Ну как-то так вот получилось"
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы