Ostatnio coraz więcej piszę o gafach polskich serwisów (patrz poprzednie wpisy). Nadszedł czas, aby napisać kilka słów o hashowaniu haseł użytkowników w bazie danych. Z moich doświadczeń wynika, że na polskim rynku możemy natknąć się na strony internetowe, których administratorzy przechowują hasła w postaci jawnego tekstu. Zjawiskiem tym warto się zainteresować i zwracać na nie uwagę, gdyż występuje nawet w przypadku „grubszych ryb”.
Łamanie lokalnego hasła GG ogranicza się jedynie do kilku kliknięć myszką. Co prawda zabieg ten trudno nazwać „łamaniem”, gdyż hasło po prostu dekoduje się korzystając z ogólnodostępnego algorytmu szyfrowania GG. Hasło to często jest identyczne z tym na serwerze.
Człowiek nie ma pamięci doskonałej. Bywa, że to hasło po prostu wyleci nam z głowy i nie mamy możliwości jego przypomnienia, bo nie znamy hasła do e-maila. Łamanie hasła lokalnego także nie wchodzi w grę, jeśli jesteśmy po formacie. Jedynym rozwiązaniem pozostaje być własnoręczne odgadnięcie hasła, bądź skorzystanie z brutusa, takiego, który pragnę Wam zademonstrować.
Jasio chcąc napisać do Kasi anonimowe wyznanie miłosne na GG założył nowe konto z prostym hasłem do zapamiętania „jasio123„. Nasz Romeo napisał to co chciał. Następnego dnia w szkole dowiedział się, że Kasia jest bardzo szczęśliwa z powodu otrzymania tak miłej wiadomości. Dowiedział się także, że Kasia odpisała na ten numer, aby umówić się z tajemniczym wielbicielem.
Wszystko byłoby piękne, gdyby nie fakt, że Jasio zapomniał numeru z, którego wysłał wiadomość… Jako niepoprawny programista oraz hardkor postanowiłem pomóc Jasiowi i napisałem program, który nie łamie hasła, a numer GG!
