Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Mário Monteiro

Dados de 44 mil usuários da Mozilla estavam disponíveis na internet

Por , em Geral

Recommended Posts

Mário Monteiro    179

Mário Monteiro
Postado

Dados de 44 mil usuários da Mozilla estavam disponíveis na internet

Organização disse que dados não vazaram na web.

Mesmo assim, as contas afetadas foram desativadas.

 

Altieres Rohr Especial para o G1*

 

28-binario-300.jpg

Banco de dados antigo tinha senhas com segurança MD5, que pode ser quebrada. (Foto: Divulgação)

 

A Mozilla redigiu uma nota pública informando que foi avisada que uma parte dos seus bancos de dados estava disponível na internet. A organização disse que a única pessoa a obter os dados foi a mesma que avisou a organização pelo programa de recompensa por informações de falhas de segurança. Mesmo assim, usuários do site "addons.mozilla.org", que tiveram suas senhas reveladas pelo incidente, tiveram as contas desativadas e vão receber um e-mail informando o ocorrido.

 

Assim como o Google, a Mozilla paga pesquisadores por informações a respeito de vulnerabilidades em seus sistemas. O banco de dados teria sido parcialmente publicado por acidente.

 

Formato MD5

As senhas não estavam disponíveis em formato de “texto simples”, mas sim no formato MD5. O MD5 cria uma sequência de 32 caracteres de letras e números para qualquer valor fornecido. Por exemplo, uma senha de quatro caracteres transforma-se em uma sequência de 32, e uma senha de 200 caracteres também se transformaria em uma de apenas 32. Não é possível reverter o MD5 e obter a senha original, então o sistema de login realiza novamente o MD5 na senha fornecida pelo internauta e compara se o valor de MD5 obtido é o mesmo que está no banco de dados.

 

O formato MD5 é hoje considerado inseguro devido à existência das chamadas “rainbow tables”, que fornecem valores pré-calculados de MD5. Ou seja, são tabelas que armazenam os valores que formam todos os MD5 possíveis.

 

Em outras palavras, com o nome do usuário e o MD5, um hacker consegue invadir a conta descobrindo a senha ou outra sequência de caracteres que terá o mesmo valor MD5 e que, portanto, será aceita pelo sistema como se fosse a senha.

 

Desde abril de 2009, para contas novas e contas que tiveram suas senhas trocadas, a Mozilla não usa mais a segurança em MD5 e sim o SHA-512, que é mais recente e mais seguro.

 

O recente vazamento de senhas da Gawker foi mais sério que o da Mozilla, porque o banco de dados foi invadido e depois disponibilizado abertamente na internet. Mesmo assim, é o segundo incidente do gênero em menos de um mês.

 

Fonte: G1

Compartilhar este post

Link para o post
Compartilhar em outros sites

Mário Monteiro    179

Mário Monteiro
Postado

O problema é justamente esse

 

O formato MD5 é hoje considerado inseguro devido à existência das chamadas “rainbow tables”, que fornecem valores pré-calculados de MD5. Ou seja, são tabelas que armazenam os valores que formam todos os MD5 possíveis.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Beraldo    864

Beraldo
Postado

O problema é justamente esse

 

O formato MD5 é hoje considerado inseguro devido à existência das chamadas “rainbow tables”, que fornecem valores pré-calculados de MD5. Ou seja, são tabelas que armazenam os valores que formam todos os MD5 possíveis.

 

esse será sempre o problema.

não importa se é MD5, SHA-1 ou o hash mais seguro do Universo, se alguém tiver uma super tabela com todos os hashes possíveis, será "fácil" quebrar

 

 

aí depende mais do usuário: ele tem que escolher uma senha complexa, não "123456"

 

Lógico que há Salt Number e outras técnicas para dificultar a quebra de hash, mas com senha besta isso acaba sendo inútil

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Geral
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito