После чтения 20-го подряд перепоста о краже базы данных паролей LinkedIn, я тоже выскажусь. Дорогие товарищи. Кража базы паролей известного сервиса конечно же доставляет сама по себе. Можно сказать, ужас-ужас, хотя мы долго живем и многое успели повидать. Но вот что самое страшное – LinkedIn хранил простые хэши паролей, без соли (на профессиональном жаргоне – специальная случайная добавка к паролю в базе, затрудняющая подбор пароля перебором или при помощи специальных таблиц) и вообще без каких-либо контрмер. Вот где настоящий ужас! За такое ставят двойку даже на факультативном уроке информатики для умственно-отсталых в заборостроительном ПТУ.
Публичная компания, вся такая крутая и модная, с P/E 640 (мама мия). Так и вижу как они тщательно набирают персонал, с десятком интервью, с требованием PhD начиная с младшего помощника сисадмина, с консультантами уровня не ниже Ади Шамира, с безвкусно скопированными у Гугла футуристическими офисами (последнее относится к Фейсбуку, но и LinkedIn, я уверен, нам еще похвастается парой сотен диванчиков и десятком столовых) и прочей распальцовкой. А на деле как были сляпанным на коленке эникейщиками сайтом, так и остались.
Пароли там менять обязательно всем, тут даже двух мнений быть не может. И если вы используете один пароль для нескольких сервисов, самое время придумать уникальный пароль, для LinkedIn уж точно.
