Hashování hesel postaveno ve Francii mimo zákon

V rámci přituhování ve shromažďování osobních údajů obyvatelstva je nyní ve Francii postaveno mimo zákon hashování hesel. Poskytovatelé různých webových služeb totiž mají povinnost předat nezahashované heslo, a to nejen policii, ale například i úředníkům z finančních úřadů nebo sociálky.

Kde je v clanku napsano, ze provozovatel musi uchovavat plaintext hesla? Jedine, co vidim, je "This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.". Vzhledem k tradicnimu novinarskemu zjednodusovani bych byl opatrny s interpretaci; takhle to zavani "senzacni zpravou".

Blésmrt

7.4.2011 15:34 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Zahashované heslo není heslo.

7.4.2011 16:44 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Cili to v clanku neni uvedeno a jde o senzacechtivy titulek, dekuji.

Blésmrt

7.4.2011 17:16 l4m4
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Zašifrované heslo není heslo.

(Můžeme to napsat ještě několikrát, než ti to dojde.)

7.4.2011 17:19 l4m4
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

s/šifr/hash/g

7.4.2011 18:28 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Dobra tedy. Ja clanek interpretuji jako "pokud poskytovatel sluzby uchovava heslo, je povinnen jej vydat opravnenemu organu", coz je neco zcela jineho, nez "hashovani hesel postaveno mimo zakon".

Blésmrt

7.4.2011 22:26 Chytrex | skóre: 30 | Bohumín
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

A teď nám ještě řekni jak vydáš heslo které neznáš (je zahashované)

Hrdý člen KERNEL ULTRAS .:. define QUESTION ((bb) || !(bb)) .:. Odmítám vaši realitu a nahrazuji ji svou vlastní..

7.4.2011 22:57 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

No přece jako v Británii. Nevydáš heslo = půjdeš bručet. Jasné jak facka ;-)

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

8.4.2011 07:43 Martin Beránek | skóre: 33 | blog: mousehouse | Brno
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

jkt má pravdu. Nechápu co je na tom k nepochopení. Za prvé: není jenom hash a plain text - hesla můžeme třeba šifrovat. Za druhé: začít pro ověřování uživatele používat třeba google login. Pak hesla vůbec neuchovávám a nemusím heslo vydat. Za třetí: můžeme použít kombinaci dvou přístupů. Aplikace standardně ověřuje pomocí hashe, ale v oddělené DB a bez možnosti čtení webovou aplikací máme hesla v plain nebo šifrovaná. Technicky tohle řešit lze, jen se nesmí lpět na starých principech.

never use rm after eight

8.4.2011 08:26 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

…bez možnosti čtení webovou aplikací máme hesla v plain nebo šifrovaná. Technicky tohle řešit lze, jen se nesmí lpět na starých principech.

Co je na principu ochránění hesla klienta (jeho soukromé záležitosti) starého. Jestli se nepletu tak naopak uchovávání hesla v plaintextu dělali staré aplikace - to je starý princip (PS: postrádá to smysl, jednou hashovat a kdesi ještě plaintextovat - a aplikace nebude mít přístup read, ale writo jo…).
Pokud je někdo pako, a chce nějaký deb...ní zákon/vyhlášku, tak když už, tak má zákonem stanovit povinnost vydání hesla či dat souvisejícíh dané osobě, ale ne že 3. strana si tady bude něco schraňovat a vydávat, když to vlastně ani nechce znát - chrání sama sebe, pak ji někdo osočí (a někdy i právem), že svou DB zneužil a podle svých hesel to zkoušel jinde a jistě uspěje. No a za pár týdnů budou kolovat po netu různé databáze, protožo ne každý to má dobře zabezpečené a ani třeba nepotřebuje, protože rizika jsou nízká, a každá DB bude okamžitě plně použitelná…, hash nelze použít k přihlášení ani k samotné aplikaci, kdežto, že heslo okamžitě a určitě i na spoustě jiných míst (ano asi jen a pouze u 70% populace :) )

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

8.4.2011 10:15 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Kua, nejdřív bych si měl přečíst celou diskusi a až pak reagovat.

Heron

8.4.2011 10:13 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Já to tedy interpretuji stejně. Nikde není explicitně zakázáno hashování hesla, jen je návrh na povinnost toto heslo vydat. Tedy, pro běžný provoz aplikace lze používat hashe s tím, že někde bude uložené heslo v podobě takové, že jej lze na požádání vydat (například v zašifrované podobně, aplikace bude mít pro tento účel sifrovací klíč, dešifrovací bude v trezoru).

Toto neznamená, že ten nápad schvaluji, to v žádném případě. Jen upozorňuji na to, že to technicky lze řešit.

Heron

9.4.2011 13:00 BoneFlute
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

To je ekvivalentní tomu, že je technicky řešitelné ukládat hesla v plain textu. Tedy druhá databáze není technické řešení, ale ústupek. Smyslem hashování hesel je nemožnost získat zpětně heslo. Což tedy vaše řešení nesplňuje.

8.4.2011 09:09 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Hashování hesel postaveno ve Francii mimo zákon

Když heslo neuchovává, tak jej ani nemusí vydat. Pokud by to znamenalo, že jej musí uchovávat, musí ukládat i adresy a telefonní čísla.

Hashování hesel postaveno ve Francii mimo zákon

Komentáře