Nella violazione dei dati di Gawker, è stato rubato solo il database e questo ha dato libero accesso a tutti i dati dell'utente? O gli hacker hanno ancora bisogno di leggere gli MD5 dei nomi utente e delle password per accedere ai dati?
Se possedevi una password strong, non dizionario, con 12 caratteri, è necessario preoccuparsi?
La forza di una password è legata a due cose:
Gawker ha utilizzato il metodo hash crypt DES (non la scelta migliore). Questo sembra essere approssimativamente 10 volte più lento alla forza bruta di MD5. Una GeForce 8800 Ultra (annata 2007) è ampiamente citata come se si trattasse di 200 milioni di hash MD5 al secondo. La mia GeForce 560 TI è circa quattro volte più veloce. 200 * 4/10 = 80 milioni di has crypt DES al secondo.
Una password di 26 + 26 + 10 + 10 (inferiore, superiore, numeri, 10 simboli) e 12 caratteri vale 2 74 bit di entropia. Il DES massimo arriva a 2 56 . Wolfram Alpha mi dice che hai un po 'di spazio di manovra contro una scheda grafica su 2 56 bit di entropia.
In alternativa, esiste la prospettiva DES cracker in cui l'intero spazio delle chiavi potrebbe essere testato in circa 10 giorni nel 1998 da un progetto FEP. Pertanto, la tua password relativamente strong potrebbe ancora essere sconfitta dalle limitazioni di uno spazio di hashing più piccolo e un algoritmo rapidamente attaccato.
Non terrei il respiro, ma almeno non finirai su un elenco di password top.
No, non è OK. Gawker ha usato la crittografia DES invece di un metodo di hashing strong. Il DES è abbastanza debole per la forza bruta sull'hardware moderno.
Leggi altre domande sui tag data-leakage databases