Владельцы сайтов продолжают использовать ненадежное обратимое шифрование паролей

Владельцы сайтов продолжают использовать ненадежное обратимое шифрование паролей

Хакер использовал всего лишь радужные таблицы для того, чтобы получить пароли пользователей MixedMartialArts.com.

Хакеры взломали учетные записи некоторых бойцов, занимающихся смешанными боевыми искусствами (так называемыми «боями без правил») на форуме сайта MixedMartialArts.com, посвященного данной тематике. Примечательно, что злоумышленникам удалось получить доступ, взломав обратимое шифрование.

Дело в том, что пароли пользователей форума шифровались так же, как и учетные данные в UFC.TV/Fight Pass. Это значит, что пользователь, обладающий правами администратора может видеть их в виде обычного текста, поэтому такой вид шифрования является очень небезопасным.

Хакер MentaL, руководивший проведением атаки, заявил, что у него был доступ к зашифрованной информации, и он использовал всего лишь радужные таблицы, чтобы получить пароли.

Напомним, что радужная таблица создается путем построения цепочек возможных паролей, каждая из которых начинается со случайного возможного пароля. Далее она подвергается действию хеш-функции и функции редукции, преобразующей результат хеш-функции в возможный пароль. Промежуточные пароли в цепочке отбрасываются и в таблицу записывается только первый и последний элементы цепочек.

Стоит отметить, что MentaL сообщал владельцам ресурсов о недостатках безопасности еще в 2010 и 2012 годах. Тем не менее, они не предприняли необходимые меры. Даже не сообщили пользователям о бреши и не попросили сменить пароли, не говоря уже о поверке антивирусными продуктами и антируткитами. 

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!