Поисковые системы "взламывают" хэшированные пароли

Технология хэширования базируется на однонаправленности, то есть трудности вычисления обратной функции. Считается, что по дайджесту (результату хэширования) практически невозможно вычислить аргумент хэш-функции (первоначальные данные), даже зная хэш-алгоритм. Поэтому дайджесты зачастую хранятся в базах данных без дополнительной защиты.

Однако сотрудник компьютерной лаборатории Кэмбриджского университета Стивен Мердок (Steven Murdoch) продемонстрировал элегантный метод взлома дайджеста MD5 с помощью одного поискового запроса к Google. Ему не потребовалось применять перебор, rainbow-таблицы и другие классические технологии взлома.

Стивен Мердок запросил в Google дайджест пароля пользователя блог-системы Wordpress. В результате поисковик выдал ссылки на несколько ресурсов, где дайджест был частью веб-адреса. Это произошло из-за того, что администраторы сайтов иногда используют хэш-дайджесты в качестве названий файлов, выводимых на веб-страницах.

По содержанию этих файлов можно было легко определить, какой пароль был хэширован. Несложно догадаться, что если дайджест входит в адрес веб-страницы с описанием генеалогии семей Anthony, то аргументом хэширования является слово "Anthony".

Использовать только хэширование небезопасно, считает Стивен Мердок, особенно если учесть стремление многих пользователей применять простые пароли. Необходима обязательная дополнительная трансформация хэш-дайджестов.