Klargörande: AUH inte bakom hacket mot TPB

Hur menar du med sekvensnummer? Ett bra dynamiskt salt tordes vara användarnamnet i sig. Samt om man kör PHP så bör man välja SHA1 framför MD5. De flesta kör på MD5 även idag, trots att PHP har stöd för den mycket bättre SHA1. Det de kanske tänker på är att SHA1 är lite tyngre beräkningsmässigt, men så länge som folk inte loggar in som tokar bör det inte vara något problem.

Ett statiskt salt i kombination med användarnamnet som salt är smart. T. ex:
SHA1( SHA1( 'abcABC{[]' + $pass + $username ) ).

För er som inte är insatta så mycket i det hela men kanske hört talas om regnbågstabeller så är regnbågstabeller föruträknade, och låt oss då säga att man använder ett salt, t. ex: 'abcABC123', då måste man ta med det i beräkningen när hela tabellen genereras, och alltså generera hela tabellen just för det saltet. Att använda ett statiskt salt på det här sättet gör alltså att regnbågstabellsattacker blir helt värdelösa. Dessutom, om man inte har det statiska saltet, så kan man inte heller köra bruteforce eller ordlisteattacker mot det.

Från vad jag har förstått blev TPB hackade via SQL-injection, och vanligtvis så har SQL-användaren inte läsrättigheter på disken, och man kan då inte komma åt något skript och lista ut det statiska saltet. Man är körd helt enkelt.

Men låt oss säga att man kom åt det statiska saltet, då kan man attackera alla hashar samtidigt med ordlisteattacker och bruteforce, eftersom de alla har samma salt, det är här dynamiskt salt kommer in.

I och med att varje användarnamn är unikt, så är det ett unikt salt, och därav måste varje bruteforce och ordlisteattack köras individuellt mot varje hash, dvs, man måste knäcka dom en och en i taget, vilket tar enormt mycket längre tid.

Det som är bra med att använda t. ex användarnamnet, eller något annat känt, är att man slipper ha en kolumn i databasen där man sparar ett slumpmässigt genererat salt som blir unikt för användaren.

Antagligen ID:t som användaren får i databasen.

Numret på itereringen. 0-9999 när man kör 10000 hashningar med andra ord.
Japp - det var planen.
För lösenordshashning är de i princip likvärdiga - MD5s säkerhetsproblem är ju inget som berör det.
Lösenordshashen är ju som jag skrev tidigare ändå krypterad i DBn.

Nej, egentligen inte. Men SHA1 är som sagt mer beräkningsintensiv, och er utrustning på TPB är nog kraftfullare än gemene mans som skulle försökt knäcka hasharna om de nu spreds öppet. Beräkningsintensiviteten tar nog mer på dom än er. Men jo, det blir ju mer data att spara per användare. Och saltar man och hashar upprepade gånger så spelar det nog ingen roll. Men många standardwebapplikationer kör många fortfarande rena MD5 hashar, rakt av, inget salt eller något, om de ändå inte tänkt salta så är SHA1 att föredra då det finns ett mycket mindre utbud på regnbågstabeller till dom.


Ah. Smart.

EDIT: Med "Nej, egentligen inte" menade jag såklart att de var likvärdiga i och med att MD5's säkerhetsproblem inte berörde detta område.

TPB har iof inte överdrivet mer beräkningsprestanda än "gemene man", iaf inte sett till när man går ihop några personer.

Sedan är väl frågan vad man vill komma åt iom hasharna, om du vill logga in på siten i fråga i någon annans användarnamn eller om du vill komma åt själva lösenordet för att testa om den fungerar på personens epostkonto eller användarnamn på annat forum?

Hm, hur menar du då... go down?

Hela denna historia är ju käpprätt åt helvete. Det är ju som en dålig deckare...

Jaha?! Kul? Är detta kul? Är det kul att över en miljon e-postadresser och lösenord hamnat i händerna på tre fjantar? Nej du, det är inte vad jag kallar "kul".

Men tagga ner, om du läser i tråden är uppgifterna rejält saltade, vilket som jag förstår det resulterar i att det är rejält svårt att dekryptera, om inte anakata är orolig bör inte du vara orolig, om anakata tycker att det mest är kul kan du också tycka att det är kul. Fast iof, mitt användarnamn och lösenord fanns inte med där, så man kanske är lite partisk

Emailadresserna var väl inte saltade. Men jag tycker ändå att Dr_MaZz överdriver. Det enda som kan hända är att du får några erbjudanden om Viagra.

Sant, frågan är dock vad 1.6 miljoner e-mail adresser är värda för spamare. Många av dom är säkert inte kalla(dom är i bruk) adresser heller. Så jag antar en hel del.

Eftersom jag ombads posta det: Det är alltså INTE Hellecaster som var busig med TPB, utan någon annan som snott hans lösenord och postat som honom.

E-mailadressen lagras för övrigt krypterat i databasen.

Tack så mycket anakata du var en hyvens karl!

Äntligen kan jag ägna mig åt något annat.

Men något måste du ju ha gjort, det är någon som inte tycker om dig.