-
Data: 2011-04-08 21:05:09
Temat: Re: haszowanie (?) podciągu - bezpieczeństwo
Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 2011-04-08, Michoo <m...@v...pl> wrote:
> Natomiast samo przechowywanie hasła w formie tekstu jawnego nie jest
> błędem a pozwala znacznie podnieść bezpieczeństwo w przypadku
> nieszyfrowanej transmisji, bo umożliwia uwierzytelnianie w wersji
> zawołanie-odzew.
Tak naprawdę to nie.
Sprecyzowanie: uważam że hasło w formie tekstu jawnego zapisane jest
w bazie wtedy, gdy dokładnie to, co wpisuje użytkownik z klawiatury jest
zapisane w bazie. Jeśli włamywacz po kradzieży bazy może, używając
danych z niej, zalogować się do innych serwisów.
Nietrudno wymyślić protokół challenge-response, w którym hasło p jest
przechowywane w formie solonego hasza h = H(s,p). Wtedy serwer wysyła
jako challenge parę c = (n,s), gdzie n jest losowym ciągiem bitów.
Klient oblicza sobie po swojej stronie h' = H(s,p'), gdzie p' jest
hasłem wpisanym z klawiatury, a potem r' = H(n,h').
Serwer po swojej stronie liczy oczekiwane r = H(n,h), a otrzymawszy r'
porównuje je z r. Jeśli się zgadzają, hasło podane przez użytkownika
było poprawne.
Dla podprotokołu challenge-response, użytego w tym schemacie,
współdzielonym sekretem jest, rzecz jasna, H(s,p). Kradzież tego sekretu
pozwala atakującemu zalogować się do tej usługi. Przewaga powyższego
protokołu jest taka, że nawet jeśli użytkownik używa tego samego hasła
na wielu różnych serwisach, sekrety współdzielone z serwisami się
różnią, więc kradzież bazy z jednego nie skutkuje jeszcze dostępem
w innych.
--
Secunia non olet.
Stanislaw Klekot
Następne wpisy z tego wątku
- 10.04.11 18:06 Boguś
- 10.04.11 19:35 Stachu 'Dozzie' K.
- 11.04.11 16:47 Boguś
- 11.04.11 18:11 Paweł Kierski
Najnowsze wątki z tej grupy
- Popr. 14. Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- Arch. Prog. Nieuprzywilejowanych w pełnej wer. na nowej s. WWW energokod.pl
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
Najnowsze wątki
- 2025-02-06 PROGRAM DOPŁAT DO AUT ELEKTRYCZNYCH TO ABSURD. ZA ŚRODKI Z KPO KUPIMY NIEMIECKIE I CHIŃSKIE AUTA
- 2025-02-05 ceny OC
- 2025-02-05 Re: ceny OC
- 2025-02-05 Re: ceny OC
- 2025-02-07 Smar do video
- 2025-02-06 Litowe baterie AA Li/FeS2 a alkaliczne
- 2025-02-07 Gliwice => Business Development Manager - Network and Network Security
- 2025-02-07 Warszawa => System Architect (Java background) <=
- 2025-02-07 Warszawa => System Architect (background deweloperski w Java) <=
- 2025-02-07 Warszawa => Solution Architect (Java background) <=
- 2025-02-07 Gliwice => Ekspert IT (obszar systemów sieciowych) <=
- 2025-02-07 Lublin => Programista Delphi <=
- 2025-02-07 Warszawa => Architekt rozwiązań (doświadczenie w obszarze Java, AWS
- 2025-02-07 Dęblin => Node.js / Fullstack Developer <=
- 2025-02-07 Bieruń => Spedytor Międzynarodowy (handel ładunkami/prowadzenie flo
![Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]](https://s3.egospodarka.pl/grafika2/reklama-internetowa/Reklama-w-internecie-telewizji-i-w-radio-w-XII-2024-264581-50x33crop.jpg "Reklama w internecie, telewizji i w radio w XII 2024 [© Freepik]")
Reklama w internecie, telewizji i w radio w XII 2024
