Как хакеры ворую пароли из БД? При условии, что пароли шифруются кучей способов?

Question

[suhuxa1]

Вот пришла мне в голову мысль, я на своих сервисах использую ключ шифрования, который шифрует пароль, а после этот пароль шифруется еще и через md5. Видел сервисы, когда таких ключей аж 4. И каждый последовательно шифрует собой пароль, и так же в конце прогоняется через md5. Вопрос: как хакеры добывают уже расшифрованные пароли из БД у крупных сервисов? Ключи шифрования сбрутить нереал, в них, обычно, 60+ символов самых разных. Или они помимо БД воруют еще и конфиг?

Comments

[suhuxa1]

cyb0rg_01: да да, миллион случаев выкладки паролей на форумы - это тоже выдумки.

Answer 1

[Дмитрий Дарт]

Да, есть незахешированные пароли, но это редкость, хешированные узнают с помощью радужных таблиц, например. В этом случае большое значение приобретает соль. Если пароли не засоленные, то по хешам значения находятся мгновенно с помощью радужных таблиц. Но слабые соли тоже подобраны, а вот сильная соль это всегда хорошо.
Для общего развития: методы взлома MD5 https://xakep.ru/2013/10/13/md5-hack/

Answer 2

[Adamos]

Обычно, если взломщик смог получить базу, скрипт хэширования он тоже может стянуть.
Имеем задачу: вот хэши паролей, вот алгоритм, которым они получены.
Берем словарь частых паролей, прогоняем его через этот алгоритм, смотрим совпадения.
В теории - имеем всех пользователей, кто использует слабые пароли.
На практике же индивидуальная соль для каждого пользователя и хэширование чем-нибудь потяжелее, чем md5, делает процесс подбора слишком долгим (до полной нерентабельности) в большинстве случаев.