26.11.2009, 12:26
Jakiś czas temu (ze 2-3 tygodnie) dostałem od allegro email nie tyle z prośbą, co z żądaniem zmiany hasła na inne w przeciągu 2 tygodni, bo w przeciwnym wypadku konto zostanie zawieszone aż do jego zmiany - email był na 100% z samego allegro, po zalogowaniu się na konto również miałem takie wiadomości a i obsługa to potwierdziła.
Tak więc kto wie, możliwe że wykradli.
Warto jednak poruszyć inną kwestię, a mianowicie:
kradzież hasła !=kradzież hasła z bazy.
Hasła same w sobie nie są zapisywane w bazach każdego sensownie zrobionego serwisu. To co wpisujemy podczas rejestracji jest hashowane, np. poprzez algorytm typu 2x md5 + ziarno, a efekt zapisywany w odpowiedniej tabeli. Gdy logujemy się, ciąg podany jako hasło również jest tak obrabiany i porównywany z hashem w bazie.
Przykład:
Po hashowaniu hasła "querty" otrzymujemy taki ciąg znaków:
897c8fde25c5cc5270cda61425eed3c8
Jeżeli ktoś używa bardzo prostych czy też słownikowych haseł to może jak najbardziej czuć się zagrożony, ale wszelkie inne ciągi, mające w sobie choć odrobinę "fantazji" są już naprawdę trudne do odhashowania. No a hashować można przecież inaczej np.
Oczywiście jeżeli informują, że coś wykradziono z bazy to i tak warto zmienić, dla stuprocentowej pewności
Tak więc kto wie, możliwe że wykradli.
Warto jednak poruszyć inną kwestię, a mianowicie:
kradzież hasła !=kradzież hasła z bazy.
Hasła same w sobie nie są zapisywane w bazach każdego sensownie zrobionego serwisu. To co wpisujemy podczas rejestracji jest hashowane, np. poprzez algorytm typu 2x md5 + ziarno, a efekt zapisywany w odpowiedniej tabeli. Gdy logujemy się, ciąg podany jako hasło również jest tak obrabiany i porównywany z hashem w bazie.
Przykład:
Po hashowaniu hasła "querty" otrzymujemy taki ciąg znaków:
897c8fde25c5cc5270cda61425eed3c8
Jeżeli ktoś używa bardzo prostych czy też słownikowych haseł to może jak najbardziej czuć się zagrożony, ale wszelkie inne ciągi, mające w sobie choć odrobinę "fantazji" są już naprawdę trudne do odhashowania. No a hashować można przecież inaczej np.
Kod:
md5(sha-1(''nasze_haselko'') + ziarno_z_daty_zmiany)
Oczywiście jeżeli informują, że coś wykradziono z bazy to i tak warto zmienić, dla stuprocentowej pewności