Jednym z pozytywnych następstw wprowadzenia RODO jest zwiększenie zachęt dla firm, by dzielić się z klientami informacją o swoich problemach z bezpieczeństwem. I tak dziś w nocy morele.net poinformowało swoich klientów, że miał miejsce „nieuprawniony dostęp do danych osobowych ich klientów”.
Nieznane osoby miały dostęp do części bazy klientów: adresu email, numeru telefonu, imienia i nazwiska oraz zakodowanego ciągu znaków (hash). Dzięki polityce polskich pośredników płatności, morele.net nie przechowywało danych kart kredytowych itp.
Czy z hasha da się odzyskać hasło?
Tak. Wymaga to trochę mocy obliczeniowej, ale jest to wykonalne.
Hash to tzw. jednokierunkowa funkcja skrótu. Trywializując – jeśli hasło do zapisania to „12345”, to w bazie haseł może być zapisane „120”. Kiedy klient wprowadza swoje hasło, mnożymy przez siebie wszystkie jego cyfry i sprawdzamy, czy nam się zgadza. Ze „120” trudno wyciągnąć „12345”, jeśli nie wiemy, że hasło ma pięć cyfr, więc włamywacz tworzy tabelę wszystkich możliwych kombinacji, co jest czasochłonne.
W praktyce oczywiście jest to bardziej skomplikowane, bo przedstawiony przeze mnie algorytm tak samo potraktowałby „12345” jak „54321”, nie uwzględniam też „soli” (losowego elementu dodawanego do hasła przed jego skróceniem) – ale idea powinna być jasna.
Dzięki tanim usługom serwerowym, powstały komercyjne usługi dekodowania zahashowanych haseł. Ich twórcy stworzyli olbrzymie bazy danych obejmujące sporą liczbę kombinacji i pomagają w szybkim odgadnięciu zakodowanego hasła.
Mam konto na morele.net, co robić?
Po pierwsze – zmień hasło. Jeśli (a przecież tego nie robisz!) to samo hasło było wykorzystane w innym serwisie, też je zmień. I zapomnij o nim. Jest spalone jak spalona ziemia po pożarze buszu. Po drugie, wyślij mail do morele.net (i w sumie do innych dostawców swoich usług), by zainteresowali się dwuetapową weryfikacją swoich klientów. To nie jest coś technicznie trudnego do wprowadzenia, a znacząco zmniejsza ryzyko, że ktoś się gdzieś zaloguje twoimi danymi. A jeśli chcesz wiedzieć więcej o bezpiecznych hasłach, zapraszam do 48. epizodu podkastu Cyber, cyber…, w którym opowiadam właśnie o tym.
obrazek wyróżniający autorstwa www.bluecoat.com dostępny na licencji CC-BY-SA-2.0