To jest tylko wersja do druku, aby zobaczyć pełną wersję tematu, kliknij TUTAJ
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

Archiwum działu Ogólne (posty do 12.2007) - Ulepszenie kodowania hasel w bazie danych

Przemo - 07-01-2006, 20:32

qbs, jeśli już zmieniac kodowanie haseł i uniemozliwić bezbolesną deinstalacje to po co stosować kodowanie które zwiększa czas łamania tylko dwukrotnie jak można użyc taką która zwiększa 10000 krotnie? Jeśli powiesz, że obciążenie serwera to ja CI powiem: Ok, to dajmy tylko 1000 razy, czas generowania na serwerze będzie tylko 0.08 sekundy czyli NIC a czas łamania 1000 razy większy. Moge dać 1000 razy zamiast 10000 razy nie ma problemu.

Naprawdę, szkoda mi użytkowników z hasłami 4-5 znakowymi, które są narażone na odczytanie przez wiele osób ale mam wrażenie że Wy to macie gdzieś.

Paszczak000 - 07-01-2006, 20:36

Przemo napisał/a:
Naprawdę, szkoda mi użytkowników z hasłami 4-5 znakowymi, które są narażone na odczytanie przez wiele osób ale mam wrażenie że Wy to macie gdzieś.

a mi ich nie szkoda. bo jak ktoś ma takie hasło to ma tak samo małe IQ jak jego "bezpieczne hasło". zresztą jak okiem sięgnąć to banki nakazują długiego hasła... a nie bawią się w md5 razy 10 do ntej :P

niczeq - 07-01-2006, 20:38

niczeq napisał/a:
ja bylbym za :roll:
bezpieczenstwo userów to podstawa :twisted: :twisted: :twisted:


nie kazdy :roll:
na moje forum niech sie laduje nawet 2-3 sekundy dluzej jak ma byc bezpieczniej :roll:

Przemo - 07-01-2006, 20:52

Paszczak000 napisał/a:
a mi ich nie szkoda. bo jak ktoś ma takie hasło to ma tak samo małe IQ jak jego "bezpieczne hasło".
Paszczak000, mylisz się :) Gwarantuję, że w internecie jest mnóstwo osób mające takie hasła, którym wszyscy na tym forum mogli by zazdrościć IQ :) I nie tylko IQ również.

Uwierzcie mi, co tydzień dostaję kilka haseł do serwerów gdzie działają duże serwisy i naprawdę chociaż nie zwracam uwagi na hasła to jednak widzę że nie są bezpieczne.

Paszczak000 - 07-01-2006, 20:55

oj mała groteska :P :P
mi jest szkoda kompatybilności wstecznej z phpBB, problemami jak ktoś odinstaluje modyfikacje etc. nadal jesteś phpBBN tyle, że by przemo :P

i jak dla mnie lepiej jest uczyć, że hasło 4znakowe jest niebezpieczne niż kombinować. człowiek jest istotą rozumną.... czyż nie? :>

niczeq - 07-01-2006, 20:58

Paszczak000 napisał/a:
oj mała groteska :P :P
mi jest szkoda kompatybilności wstecznej z phpBB, problemami jak ktoś odinstaluje modyfikacje etc. nadal jesteś phpBBN tyle, że by przemo :P

i jak dla mnie lepiej jest uczyć, że hasło 4znakowe jest niebezpieczne niż kombinować. człowiek jest istotą rozumną.... czyż nie? :>


niestety nie każdy :roll:

NetJaroPL - 07-01-2006, 21:01

Rozumiem dać *2, ale po co *10000 ? Jak już to dać

Kod:

$pass = sha1(md5('pass'));

lub pomysł Paszczak000'a

I nie mieszajcie w ten topic IPB ;) bo to nie ma z tym nic wspólnego.

Przemo - 07-01-2006, 21:04

NetJaroPL, pisalem ju zkilka razy podwojne czy potrojne laczenie kodowania czy to sha1 czy base64 czy tez inne zwieksza czas tylko podwojnie lub potrojnie, co dalej lezy w zakresie mozliwosci zlamania.
irekk - 07-01-2006, 21:08

przemo, ja nie chce uniemozliwiac nikomu deinstalacji, chce by wlasnie 4 literowki byly troche bezpieczniejsze

to jest haslo skladajace sie z dwoch znakow a to jego hash:
3cfe9e19d502c4fccb57bb8eabc206c6

Krakers - 07-01-2006, 21:10

A co jeśli taki admin zamiast ściągać bazę danych po prostu pozmienia sam skypt? Pamiętaj, że on ma dostęp do wszystkiego. Jeśli zakładamy, że taki admin będzie wyszukiwał wszystkie hasła to równie dobrze można założyć że jest w stanie ręcznie modyfikować pliki.

Zresztą - można przecież ustawić w opcjach wymagania dotyczące hasła. Ilość znaków załatwia sprawę. W ten sposób się najczęściej wymusza bezpieczeństwo.

irekk - 07-01-2006, 21:11

pozatym hashe do4-5 literowek mozna znalezc w necie (nawet na google) i to jest problem
Paszczak000 - 07-01-2006, 21:14

Przemo napisał/a:
czy to sha1 czy base64 czy tez inne zwieksza czas tylko podwojnie lub potrojnie, co dalej lezy w zakresie mozliwosci zlamania.

złamiesz to? :)
moja metoda :P base64 i md5. Hasło 3 znakowe :)
Kod:
2538713a3c15fc9741d655df668dc9b2

Najpierw:
http://widmo.biz/?show=tools&id=szyfrator
Potem:
http://widmo.biz/?show=tools&id=md5
I wątpię by ktoś złamał to co base64 zrobiło z tym hasłem :P

a ja nadal jestem za tym by być kompatybilnym lub wymyśleć coś swojego :D
pozatym
Kod:
md5(md5($haslo))

jest bezpieczne bo hashujesz ciąg 32 znaków alfanumerycznych.... a żeby to rozhashować to i tak to trwa długo. a base64 zwraca nam ^%^@%!(*(* to trudniej odhahsować..
brute force? za długo..... słowniki? nie ma takich :P

irekk - 07-01-2006, 21:15

Paszczak000, tylko ze wlasnie o to chodzi w przema pomysle by zrobic:

Kod:
md5(md5(md5(...md5($haslo)...)));
;)

Paszczak000 - 07-01-2006, 21:16

Przemo, a zresztą. zrobisz to mega kodowanie..... i co? hasło ukradniemy z innego forum :P i całe 0,8 s idzie na marne :P

[ Dodano: 07-01-2006, 21:19 ]
qbs, no, ale to nic nie da.... :] jak masz tabelki rainbow dla 32 znaków alfanumerycznych (bo takie się generuje bo mało kto ma w haśle ^&*%@!) to jedziesz to hasło raz dwa ;]
a ja dodam do hasła sobie % i czuję się bezpieczny.... a base64 i to zaśmiecanie widma :) I styknie.... ale i tak..... po co to?

jak dla mnie lepiej uczyć ludzi, że mają mieć trudne hasła... bo co z tego, że ten skrypt będzie bezpieczny jak wykradną gdzie indziej....a user ma to samo hasło.... a jakbyś go nauczył mieć trudne to można spać spokojnie. bo inaczej to za 2 lata 90% skryptu to będzie szyfrowanie hasła pgp :P

Przemo - 07-01-2006, 21:21

Paszczak000, jaką funkcję do kodowania hasła byś nie wymyślił to zawsze istnieje funkcja odwrotna, która robi to samo ze stringiem w przeciwnym kierunku, potem ją podstawiasz do generatora haseł i lecisz. Jeśli to hasło 4-ro znakowe operacja trwa kilka sekund. Jeżeli pojedynczą funkcje zdublujesz XX razy to operacja trwa kilka sekund x XX razy w przypadku mojego pomyslu sprawdzenie wszystkich hasel 4 znakowych trwa 27 godzin a nie 10 sekund.

Istnieje jedna wątpliwość mianowicie słowniki. Jeżeli admin chce złamac jedno hasło 4 znakowe musi stracic 27 godzin, wydawalo by sie ze aby odkodowac wszystki hasla 4 znakow z bazy np. 1000 userow potrzebowalby 27 godzin * 1000 lecz tak nie jest jesli wygeneruje sobie slownik co zajmie mu 27 godzin a potem porownywanie zakodowanych hasel zajmie kilka minuit. To byla moja jedyna watpliwosc i zamierzalem 10000 zwiekszyc jeszcze kilkukrotnie ale widze co mowicie na temat obciazenia wiec chyba to nie wejdzie w zycie :) Dodatkowo jeszcze problem kompatybilnosci wstecznej.
Ale i tak wydaje mi sie, ze nie powstanie bezpieczna funkcja kodujaca hasla, poza funkcją której jedynym atutem jest dlugi czas trwania bo każdą funkcję można obrócić i porównać hasła, jedynie czas jest ograniczeniem i zwiększając czas utworzenia hasła o tyle samo zwiększymy czas łamania hasła.



Powered by phpBB modified by Przemo © 2003 phpBB Group