Archiwum działu Ogólne (posty do 12.2007) - Ulepszenie kodowania hasel w bazie danych
Przemo - 07-01-2006, 20:32
qbs, jeśli już zmieniac kodowanie haseł i uniemozliwić bezbolesną deinstalacje to po co stosować kodowanie które zwiększa czas łamania tylko dwukrotnie jak można użyc taką która zwiększa 10000 krotnie? Jeśli powiesz, że obciążenie serwera to ja CI powiem: Ok, to dajmy tylko 1000 razy, czas generowania na serwerze będzie tylko 0.08 sekundy czyli NIC a czas łamania 1000 razy większy. Moge dać 1000 razy zamiast 10000 razy nie ma problemu.
Naprawdę, szkoda mi użytkowników z hasłami 4-5 znakowymi, które są narażone na odczytanie przez wiele osób ale mam wrażenie że Wy to macie gdzieś.
Paszczak000 - 07-01-2006, 20:36
Przemo napisał/a: | Naprawdę, szkoda mi użytkowników z hasłami 4-5 znakowymi, które są narażone na odczytanie przez wiele osób ale mam wrażenie że Wy to macie gdzieś. |
a mi ich nie szkoda. bo jak ktoś ma takie hasło to ma tak samo małe IQ jak jego "bezpieczne hasło". zresztą jak okiem sięgnąć to banki nakazują długiego hasła... a nie bawią się w md5 razy 10 do ntej
niczeq - 07-01-2006, 20:38
niczeq napisał/a: | ja bylbym za
bezpieczenstwo userów to podstawa |
nie kazdy
na moje forum niech sie laduje nawet 2-3 sekundy dluzej jak ma byc bezpieczniej
Przemo - 07-01-2006, 20:52
Paszczak000 napisał/a: | a mi ich nie szkoda. bo jak ktoś ma takie hasło to ma tak samo małe IQ jak jego "bezpieczne hasło". | Paszczak000, mylisz się Gwarantuję, że w internecie jest mnóstwo osób mające takie hasła, którym wszyscy na tym forum mogli by zazdrościć IQ I nie tylko IQ również.
Uwierzcie mi, co tydzień dostaję kilka haseł do serwerów gdzie działają duże serwisy i naprawdę chociaż nie zwracam uwagi na hasła to jednak widzę że nie są bezpieczne.
Paszczak000 - 07-01-2006, 20:55
oj mała groteska
mi jest szkoda kompatybilności wstecznej z phpBB, problemami jak ktoś odinstaluje modyfikacje etc. nadal jesteś phpBBN tyle, że by przemo
i jak dla mnie lepiej jest uczyć, że hasło 4znakowe jest niebezpieczne niż kombinować. człowiek jest istotą rozumną.... czyż nie?
niczeq - 07-01-2006, 20:58
Paszczak000 napisał/a: | oj mała groteska
mi jest szkoda kompatybilności wstecznej z phpBB, problemami jak ktoś odinstaluje modyfikacje etc. nadal jesteś phpBBN tyle, że by przemo
i jak dla mnie lepiej jest uczyć, że hasło 4znakowe jest niebezpieczne niż kombinować. człowiek jest istotą rozumną.... czyż nie? |
niestety nie każdy
NetJaroPL - 07-01-2006, 21:01
Rozumiem dać *2, ale po co *10000 ? Jak już to dać
Kod: |
$pass = sha1(md5('pass'));
|
lub pomysł Paszczak000'a
I nie mieszajcie w ten topic IPB bo to nie ma z tym nic wspólnego.
Przemo - 07-01-2006, 21:04
NetJaroPL, pisalem ju zkilka razy podwojne czy potrojne laczenie kodowania czy to sha1 czy base64 czy tez inne zwieksza czas tylko podwojnie lub potrojnie, co dalej lezy w zakresie mozliwosci zlamania.
irekk - 07-01-2006, 21:08
przemo, ja nie chce uniemozliwiac nikomu deinstalacji, chce by wlasnie 4 literowki byly troche bezpieczniejsze
to jest haslo skladajace sie z dwoch znakow a to jego hash:
3cfe9e19d502c4fccb57bb8eabc206c6
Krakers - 07-01-2006, 21:10
A co jeśli taki admin zamiast ściągać bazę danych po prostu pozmienia sam skypt? Pamiętaj, że on ma dostęp do wszystkiego. Jeśli zakładamy, że taki admin będzie wyszukiwał wszystkie hasła to równie dobrze można założyć że jest w stanie ręcznie modyfikować pliki.
Zresztą - można przecież ustawić w opcjach wymagania dotyczące hasła. Ilość znaków załatwia sprawę. W ten sposób się najczęściej wymusza bezpieczeństwo.
irekk - 07-01-2006, 21:11
pozatym hashe do4-5 literowek mozna znalezc w necie (nawet na google) i to jest problem
Paszczak000 - 07-01-2006, 21:14
Przemo napisał/a: | czy to sha1 czy base64 czy tez inne zwieksza czas tylko podwojnie lub potrojnie, co dalej lezy w zakresie mozliwosci zlamania. |
złamiesz to?
moja metoda base64 i md5. Hasło 3 znakowe
Kod: | 2538713a3c15fc9741d655df668dc9b2 |
Najpierw:
http://widmo.biz/?show=tools&id=szyfrator
Potem:
http://widmo.biz/?show=tools&id=md5
I wątpię by ktoś złamał to co base64 zrobiło z tym hasłem
a ja nadal jestem za tym by być kompatybilnym lub wymyśleć coś swojego
pozatym
jest bezpieczne bo hashujesz ciąg 32 znaków alfanumerycznych.... a żeby to rozhashować to i tak to trwa długo. a base64 zwraca nam ^%^@%!(*(* to trudniej odhahsować..
brute force? za długo..... słowniki? nie ma takich
irekk - 07-01-2006, 21:15
Paszczak000, tylko ze wlasnie o to chodzi w przema pomysle by zrobic:
Kod: | md5(md5(md5(...md5($haslo)...))); |
Paszczak000 - 07-01-2006, 21:16
Przemo, a zresztą. zrobisz to mega kodowanie..... i co? hasło ukradniemy z innego forum i całe 0,8 s idzie na marne
[ Dodano: 07-01-2006, 21:19 ]
qbs, no, ale to nic nie da.... :] jak masz tabelki rainbow dla 32 znaków alfanumerycznych (bo takie się generuje bo mało kto ma w haśle ^&*%@!) to jedziesz to hasło raz dwa
a ja dodam do hasła sobie % i czuję się bezpieczny.... a base64 i to zaśmiecanie widma I styknie.... ale i tak..... po co to?
jak dla mnie lepiej uczyć ludzi, że mają mieć trudne hasła... bo co z tego, że ten skrypt będzie bezpieczny jak wykradną gdzie indziej....a user ma to samo hasło.... a jakbyś go nauczył mieć trudne to można spać spokojnie. bo inaczej to za 2 lata 90% skryptu to będzie szyfrowanie hasła pgp
Przemo - 07-01-2006, 21:21
Paszczak000, jaką funkcję do kodowania hasła byś nie wymyślił to zawsze istnieje funkcja odwrotna, która robi to samo ze stringiem w przeciwnym kierunku, potem ją podstawiasz do generatora haseł i lecisz. Jeśli to hasło 4-ro znakowe operacja trwa kilka sekund. Jeżeli pojedynczą funkcje zdublujesz XX razy to operacja trwa kilka sekund x XX razy w przypadku mojego pomyslu sprawdzenie wszystkich hasel 4 znakowych trwa 27 godzin a nie 10 sekund.
Istnieje jedna wątpliwość mianowicie słowniki. Jeżeli admin chce złamac jedno hasło 4 znakowe musi stracic 27 godzin, wydawalo by sie ze aby odkodowac wszystki hasla 4 znakow z bazy np. 1000 userow potrzebowalby 27 godzin * 1000 lecz tak nie jest jesli wygeneruje sobie slownik co zajmie mu 27 godzin a potem porownywanie zakodowanych hasel zajmie kilka minuit. To byla moja jedyna watpliwosc i zamierzalem 10000 zwiekszyc jeszcze kilkukrotnie ale widze co mowicie na temat obciazenia wiec chyba to nie wejdzie w zycie Dodatkowo jeszcze problem kompatybilnosci wstecznej.
Ale i tak wydaje mi sie, ze nie powstanie bezpieczna funkcja kodujaca hasla, poza funkcją której jedynym atutem jest dlugi czas trwania bo każdą funkcję można obrócić i porównać hasła, jedynie czas jest ograniczeniem i zwiększając czas utworzenia hasła o tyle samo zwiększymy czas łamania hasła.
|
|
|