Archiwum działu Ogólne (posty do 12.2007) - Ulepszenie kodowania hasel w bazie danych
przecinek - 08-01-2006, 08:59
Cytat: | przecinek, bywa różnie SQL injection łatwiejsze jest niż włażenie na FTPa...ale jak masz hasło | Ja mając dostęp do bazy w 90% przypadków potrafiłbym się dostać do plików. qbs napisał/a: | przy instalacji forum generowany jest unikalny klucz forum ktory zapisywany jest do config_table, pozniej podczas rejestracji uzyszkodnia ow klucz jest dopisywany do hasla, wowczas niech taki klucz ma 32 znaki + 4 znaki hasla uzyszkodnika i mamy 36 znakow z czego robiony jest hash
wiem wiem glupi pomysl | Jak ktoś będzie miał tabelę, to i ten klucz, nie?
Gracek - 08-01-2006, 10:06
przecinek napisał/a: | Cytat: |
przecinek, bywa różnie SQL injection łatwiejsze jest niż włażenie na FTPa...ale jak masz hasło |
Ja mając dostęp do bazy w 90% przypadków potrafiłbym się dostać do plików. |
wlasnie, teraz wiekszosc hostingow uzywa cPanelu, a tam zeby dostac sie do phpMyAdmina trzeba znac haslo do cPanelu.. a jak ktos ma dostep do cPanelu to nie ma czlonka meskiego zeby mu uniemozliwic (w 100%) zlamanie hasla/hasel..
Nawet jak zakodujecie x1000000000000 to ktos, kto ma hasha moze postawic forum na localu, zrobic usera i ustawic mu tego hasha (x1000000000000) w bazie jako haslo, wylaczyc antywlamanie i zlamac zwyklym brutusem.. nie mam racji?
50k07 - 08-01-2006, 10:06
przecinek, masz rację. W żaden sposób nie zapewnia to pozatym wstecznej zgodności o ktrą przecież chcecie zawalczyć, nie? No bo jeszcze pozostaje opcja Przemo by PHPbb
Rogacz - 08-01-2006, 10:24
PHOENIX napisał/a: | Wymuszenie to chyba najlepsze, i minimum 8 znaków i już po problemie, ew 10 znaków dla tych co chcą bardzo bezpiecznie mieć, więcej tutaj już nie potrzeba |
to moze odrazu zmusimy wszystkich do kupienia przystawek do skanowania odciskow palcow wtedy bedzie bezpiecznie
8 znakow nie jest tak trudno rozkodowac bo normalny user i niestety czesto tez admin nie ma ochoty wymyslac hasla ":{|)*J23" i co najwazniejsze pamietac go wiec wtedy zapisuje sie je w dziwnych miejscach lub uzywa zwyklych slow a wtedy wystarczy dobry slownik
dlatego obowiazkowe wydlozenie hasla powyzej 4 znakow wcale nie likwiduje problemu
jedyne co tylko userzy sie wsciekna i obejda to w jakis sposob jeszcze bardziej zmniejszajac bezpieczenstwo
i nie piszcie ze nie obchodza was tacy userzy bo jednak bardzo wielu na nich zalezy no hyba ze teraz phpb by przemo ma byc forum tylko niszowym
problem napewno jest bo nalezy poprawic bezpieczenstwo ale niestety traci sie kompatybilnosc z phpbb
przecinek - 08-01-2006, 10:53
Lekko zmodyfiowałem swój poprzedni pomysł:
Przy ustawianiu hasła dodajemy do niego na koniec dwa znaki z o kodach z zakresu 0-255 (lub 156-255, jeśli chcemy pozostać przy 10000 operacji) i kodujemy.
Przy logowaniu sprawdzamy wszystkie możliwe sufiksy, co nam daje średnio około 32 tys (5 tys) sprawdzeń md5. Natomiast osoba sprawdzająca musi dla każdego testowanego hasła sprawdzić wszystkie 65 tys. (10 tys.) kombinacji by się dowiedzieć, że haslo nie jest prawidłowe. Średnią liczbę operacji można jeszcze poprawić wybierając mniej wyważony algorytm losujący, tzn. taki, że częściej zwraca 0 niż 255, np. $losowe=rand(0,350)%256;.
Widmo - 08-01-2006, 10:54
Przemo napisał/a: | nasedo, vBulletin koduje hasła md5 * 2 i równiez gdy chcesz przejść z vB na phpBB
musisz zresetowac hasła wszystkim ponieważ phpBB używa tylko pojedynczego kodowania co jest słabym
zabezpieczeniem. |
DUZO wiecej osob migruje w obrębie phpBB [ zwykle <=> Przemo ]
niz phpbb <=> vB itd...
Przemo napisał/a: | jak nastąpi atak na ich konta z wykorzystaniem forum dyskusyjnego będa mieli pretencje
do admina. |
czy jak mi betoniarka spadnie na głowe to tez mam miec pretensje do swojego admina?
o burdel w pokoju tez mam miec do niego pretensje ?
TWOJE HASŁO MÓWI O TOBIE to TY je zakładasz, to TY sam chronisz swoje dane.
Przemo napisał/a: | Uwierzcie mi, co tydzień dostaję kilka haseł do serwerów gdzie działają duże serwisy i
naprawdę chociaż nie zwracam uwagi na hasła to jednak widzę że nie są bezpieczne. |
ja tez takie dostaje - i tez uwazam ze nie sa bezpieczne - ale skoro ktos zyczy sobie takie miec to
znaczy ze on tak chce. poza tym, zawsze powtarzam im, ze to nie sa bezpieczne hasla... efekt? marny...
Paszczak000 napisał/a: | jest bezpieczne bo hashujesz ciąg 32 znaków alfanumerycznych.... a żeby to
rozhashować to i tak to trwa długo. a base64 zwraca nam ^%^@%!(*(* to trudniej odhahsować..
brute force? za długo..... słowniki? nie ma takich |
to samo tlumaczylem Przemowi, ale faktycznie poczatek jego rozumowania jest dobry, bierzesz literke,
kodujesz ją md5(md5(a)) i sprawdzasz porownanie z hashem.
i tu koniec logiki bo przy 5 znakach jest juz duzy problem, 6 znakow jeszcze wiekszy, a 7 znaków i juz
teraz zycze powodzenia w ataku...
qbs napisał/a: | Paszczak000, tylko ze wlasnie o to chodzi w przema pomysle by zrobic:
md5(md5(md5(...md5($haslo)...))); |
tez juz nie jestem za tym by uzyc nawet podwojnego md5 - bo jest niekompatybilne.
ale z dwojga zlego wole 2 x md5 niz 10 tysiecy razy md5...
Przemo napisał/a: | w przypadku mojego pomyslu sprawdzenie wszystkich hasel 4 znakowych trwa 27 godzin a
nie 10 sekund. |
w PHP 27 godzin, w C++ jakies 4 minuty.
Przemo napisał/a: | Jeżeli admin chce złamac jedno hasło 4 znakowe musi stracic 27 godzin, |
albo wyloguje usera i poczeka az ten sie zaloguje, i przechwyci jego haslo w czytsej postaci...
Rogacz - 08-01-2006, 12:50
Widmo napisał/a: | w C++ jakies 4 minuty |
ta jasne, sprawdzales to bo jakos nie wierze
Widmo napisał/a: | TWOJE HASŁO MÓWI O TOBIE to TY je zakładasz, to TY sam chronisz swoje dane | niby tak ale w przypadku gdy przez admina baza wpada w niepowolane rece to jest juz wina admina ze hasla mozna bylo latwo rozszyfrowac i np nie zostawil 27 godzin userom na zmiane hasle w innych miejscach
chelloPL - 08-01-2006, 12:54
Widmo napisał/a: | albo wyloguje usera i poczeka az ten sie zaloguje, i przechwyci jego haslo w czytsej postaci... |
W zależności od przyjętego algorytmu, hasło będzie przesyłane już w md5. Pod warunkiem, że pozostanie algorytm md5...
tujek - 08-01-2006, 12:54
Przemo a nie dało by się zrobić i taki tak? Podczas instalacji wybierać i zaznaczyć, że jak jest bezpieczniej to trudniej wrócić do czystego phpbb.
Paszczak000 - 08-01-2006, 13:05
Rogacz napisał/a: | nie zostawil 27 godzin userom na zmiane hasle w innych miejscach |
republika po wykradzeniu miała więcej czasu a userzy i tak nie zmienili słabych haseł? Reset haseł poszedł na kontach, wysyłane były maile... a i tak hasła nie pozostały pozmienianie na innych serwisach. Ja właziłem sobnie na ftpa i gg kumpla co miał maila na konto na republice. czemu? Bo do ^&%^@%#) nędzy userzy już tacy są! I jak nie nauczysz mieć trudne hasła to na gówno będą te super algorytmy!!! a jak tu nie wykradną to zrobią to obok.... a jak user wie, że ma mieć trudne hasło to jest dobrze.
banki mają tokeny, hasła jednorazowe, https, ssl i Bóg wie co jeszcze a nie zezwalają na łatwe hasła? czemu? przykłąd wyżej masz...... heh
wkurzyłem się :]
Rogacz - 08-01-2006, 13:14
Paszczak000 napisał/a: | I jak nie nauczysz mieć trudne hasła to na gówno będą te super algorytmy | ale usero sie nie da nauczyc aby na 30 serwisach mieli rozne hasla 10 znakowe zlozone z dziwnych znaczkow i nie zawierajace w sobie zadnych wyrazow oraz aby niebyly to szlaczki na klawiaturze a w zasadzie dobze by bylo aby jeszcze je zmieniali co kilka miesiecy no i oczywiscie nidzie nie zapisywali
to jest poprostu nie mozliwe
a niestety dla wielu osob nie jest tez mozliwe zapamietanie 10 hasel 5 znakowych ktore nie bede zwyklymi wyrazami
kiedys komputerow i internetu uzywali tylko ci co sie znali a teraz uzywaja wszyscy i to jest podstawowy problem
wielu z was zachowuje sie tak jak by to uzytkownikom zalezalo na tym aby do was przychodzi ale tak nie jest bo ktos zrobi inny system wygodniejszy i juz nie bedzie po nich sladu
Edel - 08-01-2006, 13:15
Nie jestem za tym aby to weszło. Za duze obciazenie dla serwerów hostingowych. Ale jedyne co mozesz zrobic to zeby hasło było inne niż login. To też dużo moze zmienic, bo wiele nie rozsadnych ludzi ma hasło takie samo jak login
Paszczak000 - 08-01-2006, 13:21
Rogacz napisał/a: | ale usero sie nie da nauczyc aby na 30 serwisach mieli rozne hasla 10 znakowe zlozone z dziwnych znaczkow i nie zawierajace w sobie zadnych wyrazow oraz aby niebyly to szlaczki na klawiaturze a w zasadzie dobze by bylo aby jeszcze je zmieniali co kilka miesiecy no i oczywiscie nidzie nie zapisywali |
wystarczy 8 znakowe hasło z jakimś znakiem nie a zakresu a-z 0-9 i słowniki, bruteforce praktycznie siada bo dla hasła 8 znakowego (a-z) mamy 24 do 8 kombinacji a jak dodamy cyfrę to mamy 34 do 8 kombinacji, duże małe literki? 58 do 8 a dodaj do tego wykrzynik :] to juz dużo i nie musi byc to szlaczek a logiczny dla Ciebie ciąg znaków np:
mam 19 latek! trudno coś łatwego zamienić na coś trudnego? nie.... ale ludzka głupota jest nieskończona jak mawiał A. Einstein
Rogacz - 08-01-2006, 13:24
Edel napisał/a: | Ale jedyne co mozesz zrobic to zeby hasło było inne niż login |
to wlasciwie powinno byc w standardzie (bez mozliwosci wylaczenia w pa)
i moze by dodac inteligentne sprawdzanie czyli aby nie bylo login:test haslo test1
i mozna by tez dodza liste zakazanch hasel
ale to moze juz sztuka dla sztuki (czyli tak tylko pomyslami rzucam)
ale z drugiej strony to przezkadza przy testach bo ja czesto na localu mam konto admin/admin aby sie nie zastanawiac
[ Dodano: 08-01-2006, 13:37 ]
no dobra to zalozmy rozwiazuje nam problem z tym jak nastolatek ma zapamietac haslo
a co z ludzmi starszymi ? im to bylo by rownie ciezko zapamietac jak cos takiego
pozatym sa programy ktore majac slownik sprawdzaja rozne kombinacje lacznie z dodawaniem znakow i innymi prostymi zmianami
a jak czegos nie ma to nie problem napisac
Paszczak000 - 08-01-2006, 13:43
Rogacz napisał/a: | a jak czegos nie ma to nie problem napisac |
ale prościej jest napisać coś co złamie algorytm szyfrowania niż program co rozszyfruje trudne hasło nawet słabym algorytmem :]
|
|
|