Re: [www-pl-discuss] Re: [www-pl-announce] stan repozytorium i ostrzeż enie dot. hasła

[Sylwester Zarębski]

29 listopada 2010, 20:36:05, Paweł napisał(a):

> On 28.11.2010 11:55, Jan Owoc wrote:

>> Ja się na tym nie znam - może ktoś dokładniej wie... Z tego co ja
>> wiem, hasła są przechowywane w formie zaszyfrowanej; mając "kopię
>> hasła", można przepuścić słownik wielojęzykowy przez odpowiedni
>> program i w ten sposób "zgadnąć hasło" (normalnie Savannah by po np.
>> 3-5 próbach zablokowało konto - cracker nie ma takiego ograniczenia).
>> Jeśli macie proste hasło, które używacie do innych ważnych rzeczy,
>> zmieńcie te inne hasła jak najszybciej. Hasła na Savannah nie ma co
>> (jeszcze) zmieniać, bo i tak cracker może ponownie wejść i ściągnąć
>> sobie nowe.

>> Może od razu zaznaczę, że chodzi o hasło używane do logowania do
>> Savannah (używaliście je może raz lub dwa razy), a nie tego do
>> prywatnego klucza, które używacie do dostępu do cvs; to drugie jest
>> bezpieczne... o ile nie było takie samo jak pierwsze ;-).

> Zależy w jakiej formie były przechowywane hasła. Jeśli czysty tekst, to
> fatalnie, jeśli md5 lub któreś sha - nieco lepiej, ale też niezbyt 
> dobrze (znaczny procent zostanie odkodowanych w najbliższym czasie - 
> dni, tygodnie). Jeśli ktoś ma krótkie hasło (poniżej 10 znaków) to 
> trzeba przyjąć, że hasło lub algorytm jego tworzenia są spalone.

Gdzieś mi się obiło przy zakładaniu konta, że hasło jest do 8 znaków,
co by wskazywało na stary crypt, który jest do złamania w kilka sekund.

Mam nadzieję jednak, że się mylę, tym bardziej, że hasło do Savannah
miałem dość proste (nawet prostackie ;)).

-- 
pozdrawiam
Sylwester Zarębski