Ismerik mások a jelszavad? (2018.02.22)
Hozzászólások
A weboldal működése egyszerű, a jelszó mezőbe beírva, majd a "pwned?" gombra kattintva kiderül, hogy a jelszót ismerik-e mások. Ha piros háttéren a "Oh no - pwned!" van kiírva, akkor az adott jelszót mások is ismerik.
A "Good news - no pwnage found!" azt jelenti, hogy nincs nyoma annak, hogy mások ismernék az adott jelszót. Ám ez nem jelenti azt feltétlenül, hogy jó, erős a jelszó.
Mit jelent a gyakorlatban az, hogy a jelszót mások ismerik?
A jelszavakat általában valamilyen titkosított formában tárolják a weboldalak, ezért ha meg is szerzik a weboldal adatbázisát (amire már számtalan példa volt), akkor sincsenek meg a jelszavak, csak ilyesmik: ab3756fdeabd656abbce. Ez nyilván azért jó, mert ha megvan az email cím és a jelszó, akkor a jelszóval nem mennek semmire, mert titkosított.
A problémát azt jelenti, hogy mi van akkor, ha van egy lista, amelyben egy több százezer, több millió jelszó - titkosított jelszó páros van? Tehát például:
A jelszó: abcdef
A titkosított változata: 1f8ac10f23c5b5bc1167bda84b833e5c057a77d2
Ilyenkor elég, ha elkezdik összehasonlítani a listában lévő titkosított jelszavakat az ellopott jelszavakkal és ha azt látják, hogy van a listában egy 1f8ac10f23c5b5bc1167bda84b833e5c057a77d2 titkosított jelszó, ami egyezik az ellopott jelszóval, akkor máris tudják, hogy a jelszó alma. Az email címet ismerik, így rögtön megvan az email és a hozzá tartozó jelszó.
Ezért nagy probléma, ha a haveibeenpwned.com weboldal megtalálja a beírt jelszót, mert akkor az már egy ismert jelszó, könnyen kitalálható akkor is, ha titkosítva van (ha az oldal üzemeltetője ez ellen nem tesz, mert ezt meg lehet nehezíteni, vagy akár gyakorlatilag lehetetlenné tenni).
Hozzászólások
Moderálási elvek, szabályzat