декабря
29


В Mozilla подтвердили, что на публичном сервере по ошибке оказалась частичная база данных с именами и хэшами паролей пользователей сайта addons.mozilla.org. Впервые это заметили в Sophos.

Эксперт по безопасности Честер Вишневски (Chester Wisniewski) написал, что в Mozilla пароли, созданные до 9 апреля 2009 года, хранились в виде MD5-хэшей, а не простого текста. Они и были скомпрометированы.

«У MD5 есть слабые места в криптографии, которые позволяют создать аналогичный хэш из нескольких цепочек, — объясняет он. — Это позволяет экспертам по безопасности вычислить все возможные хэши и определить либо ваш пароль, либо другую цепочку, которая всё равно сработает, даже если не соответствует вашему паролю».

К счастью, к этому контенту смог получить доступ только один человек, и он участвовал в конкурсе поиска уязвимостей, организованном самой Mozilla. Сразу после этого на сайте addons.mozilla.org были стёрты все 44 тыс. учётных записей, как скомпрометированных, так и нет, и затем созданы новые пароли, уже с помощью технологии SHA-512, не подверженной этой уязвимости.

По словам Вишневского, этот инцидент показывает, насколько важно уходить от устаревших хэшей MD5 и DES всем, кто ещё это не сделал.

«Они неисправны, поэтому нужно уходить от этих алгоритмов на тот случай, если ваша база данных случайно окажется вне вашей организации», — предупреждает эксперт
Подробнее: http://www.cyberstyle.ru/newslineyandex/view/9684

www.crime-research.ru

Комментирование закрыто.




При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка на нас обязательна.