Archiwum działu Ogólne (posty do 12.2007) - Ulepszenie kodowania hasel w bazie danych
p01ss0n - 15-01-2006, 11:46
A czy większy sens ma chrzanienie z ulepszaniem czegoś co i tak jest zawodne ??
irekk - 15-01-2006, 12:15
czy to jest zawodne? nie powiedzialbym. tylko to juz jest zbyt popularne, w przyszlosci bedzie tak i z sha1, blowfishem etc...
Paszczak000 - 15-01-2006, 15:20
qbs napisał/a: | w przyszlosci bedzie tak i z sha1, blowfishem etc... |
a 4 znakowe hasło i tak się podda :] dlatego śpiesz się z tym co mówiłem
p01ss0n - 15-01-2006, 17:22
Jasna sprawa dlatego oprócz dobrego hashowania potrzebna jest silna i spójna polityka bezpieczeństwa i haseł. Co nie zmienia faktu, że jeżeli zastosowany będzie inny algorytm szyfrujący niż MD5, część "crackerów" z miejsca zrezygnuje z próby rozhashowania haseł... To jest aspekt psychologiczny który jest nie mniej ważny niż aspekt techniczny.
Paszczak000 - 15-01-2006, 17:37
p01ss0n napisał/a: | zrezygnuje z próby rozhashowania haseł... |
zrezygnuje na rzecz BF :] i tak złamie :]
Przemo - 15-01-2006, 22:21
Wydaje mi się, że pomysł blowfish odpada z racji, że nie ma wsparcia w php, konieczne by bylo uzywanie zewnetrznego systemu a to duzy klopot, w dodatku nie znalazlem nic takiego co mozna uzyc bez przeszkod w php.
p01ss0n - 15-01-2006, 23:32
A patrzyłeśna www.koders.com ??
Paszczak000 - 16-01-2006, 07:37
niby blowfish nawet wydłuża czas BF, ale co jak przechwycimy klucz? Bała baza rozkodowana..... a może każdy user mamieć inny klucz do hasła. klucze trzeba gdzieś zapisać..... w bazi? w postaci jawnego tekstu? a jak zaszyfrować to jak je odszyfrować? BUSTED
50k07 - 16-01-2006, 08:54
p01ss0n, piszecz "A czy większy sens ma chrzanienie z ulepszaniem czegoś co i tak jest zawodne ??" a to nie prawda bo mój pustulat mówił o tym, żeby napisać coś własnego I dopiero później połączyć to z MD5
Poza swoim postulatem funkcji jedyna polityka bezpieczeństwa jaką proponuję, to taka anytbruteforce'owa. Czyli powiedzmy max 10 prób z danego IPka/UIN. Jeśli wszystkie 10 było niepoprawne --> blokuj konto z tego IPka/UIN na jakis czas itp... ale słyszałem od Paszczy, że takie coś już jest... no więc nie wiem z kolei skąd te ublwersy że słabe hasła, słabe hasła, za słabe hasła
Przemo, a jak coś napiszesz, to możesz tego swobodnie używać, prawda? ( "w dodatku nie znalazlem nic takiego co mozna uzyc bez przeszkod w php" ) I na dodatek jeszcze powiem, że każde "indywidualne" zabezpieczenia są najlepsze, więc nie wiem poprostu, czemu nie Jak ktoś ma pomysł czemu nie to zapraszam do konstruktywnej dyskusji
Nad czym się jeszcze zastanawiamy ?
Paszczak000 - 16-01-2006, 09:03
50k07 napisał/a: | no więc nie wiem z kolei skąd te ublwersy że słabe hasła, słabe hasła, za słabe hasła |
stąd, że jak ktoś dostanie się do bazy SQL (dziura w skrypcie, serwerze, a może zna hasło do bazy?) to lokalnie za pomocą BF złamie proste hasła.
50k07 napisał/a: | I na dodatek jeszcze powiem, że każde "indywidualne" zabezpieczenia są najlepsze |
tylko dlatego, że są niekompatybilne z innymi programami jak johnny the ripper, co nie znaczy, że ktoś mająć dostęp do algorytmu szyfrowania (a ma dostęp) nie wymyśli jak to łamać. no i oczywiście odpada nam kompatybilność z phpBB.
blowfish totalnie odpada :]
50k07 - 16-01-2006, 09:17
"no i oczywiście odpada nam kompatybilność z phpBB." A niby czemu odpada kompatybilność? Przecież tłumaczyłem już na czym owa "indywidualność" ma polegać...
OK, jak ktoś złamie baze to dostanie hashe, owszem... ale kiedy je przekonwertujemy moim sposobem, to nie za bardzo będzie miał co z nimi zrobić..
Wiem i ubolewam też nad tym, że każdy będzie mógł zobaczyć kod służący do kodowania, ale może jednak dałoby się coś z tym zrobić? No ostatecznie przecież do rozszyfrowywania będzie użyte już hasło o jakimś wyższym "standardzie". Nie ma przecież zabezpieczeń bez kompromisów (??). Dalsze brnięcie jest jak popadanie w paranoję której znowu bardzo nie chcecie Wiecie, oficerwie bezpieczeństwa, audykty, klucze główne do rozszyfrowywania bazy, autodestrukcja po 3 nieudanej próbie takie tam ...
A serio? Już pisałem o tym. Trzeba znaleźć środek, złoty środek. Z jednej strony samo MD5 jest niebezpieczne, z drugiej oficerowie są niepotrzebni. Wg. mnie przepisem na ww. równowagę może być mój pomysł ale otwieram się też na inne Napewno tutorial i skrypt JS odnośnie poziomu bezpieczeństwa hasła co więcej .. hmm blowfish.. no Paszczak już napisał co z blowfishem
Paszczak000 - 16-01-2006, 09:21
50k07 napisał/a: | Z jednej strony samo MD5 jest niebezpieczne, |
tak samo niebzpieczne jak każdy inny algorytm dla słabych haseł. Szyfry generowane na podstawie klucza są bardziej odporne na BF..... tylko dla tego, że czas szyfrowania i doszukania się klucza jest dłuższy. a klucz musi być gdzieś przecież zapisany... a jak mam bazę to mam klucz i łamię od ręki md5 nadal wygrywa bo NIE DA SIĘ GO ODSZYFROWAĆ a blowfisha się da :]
50k07 - 16-01-2006, 09:33
Dla słabych haseł to używanie ich jest niebezpieczne z racji istoty słabych haseł (mówimy tytaj o ilości znaków etc). Natomiast jeśli ktoś dostanie bazę z zaszyfrowanymi MD5 moją metodą to dalej może łamać conajwyżej przez Bruteforce przez formularz, na co skrypt forum nie powinien mu pozwolić. Także finalnie:
Przed włamaniem na baze bronić będzie moja funkcja,
przed bruteforce na formularz bronić będzie skrypt forum nie pozwalający bruteforcować. Podobno już taki jest.
rzymek01 - 16-01-2006, 14:17
Paszczak000 napisał/a: | md5 nadal wygrywa bo NIE DA SIĘ GO ODSZYFROWAĆ :] |
podobno sha1 też się nie da rozkodować
irekk - 17-01-2006, 00:07
Cytat: | podobno sha1 też się nie da rozkodować | bo to "kodowanie" w jedna strone... moze dlatego
|
|
|