-
Data: 2011-04-08 21:05:09
Temat: Re: haszowanie (?) podciągu - bezpieczeństwo
Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 2011-04-08, Michoo <m...@v...pl> wrote:
> Natomiast samo przechowywanie hasła w formie tekstu jawnego nie jest
> błędem a pozwala znacznie podnieść bezpieczeństwo w przypadku
> nieszyfrowanej transmisji, bo umożliwia uwierzytelnianie w wersji
> zawołanie-odzew.
Tak naprawdę to nie.
Sprecyzowanie: uważam że hasło w formie tekstu jawnego zapisane jest
w bazie wtedy, gdy dokładnie to, co wpisuje użytkownik z klawiatury jest
zapisane w bazie. Jeśli włamywacz po kradzieży bazy może, używając
danych z niej, zalogować się do innych serwisów.
Nietrudno wymyślić protokół challenge-response, w którym hasło p jest
przechowywane w formie solonego hasza h = H(s,p). Wtedy serwer wysyła
jako challenge parę c = (n,s), gdzie n jest losowym ciągiem bitów.
Klient oblicza sobie po swojej stronie h' = H(s,p'), gdzie p' jest
hasłem wpisanym z klawiatury, a potem r' = H(n,h').
Serwer po swojej stronie liczy oczekiwane r = H(n,h), a otrzymawszy r'
porównuje je z r. Jeśli się zgadzają, hasło podane przez użytkownika
było poprawne.
Dla podprotokołu challenge-response, użytego w tym schemacie,
współdzielonym sekretem jest, rzecz jasna, H(s,p). Kradzież tego sekretu
pozwala atakującemu zalogować się do tej usługi. Przewaga powyższego
protokołu jest taka, że nawet jeśli użytkownik używa tego samego hasła
na wielu różnych serwisach, sekrety współdzielone z serwisami się
różnią, więc kradzież bazy z jednego nie skutkuje jeszcze dostępem
w innych.
--
Secunia non olet.
Stanislaw Klekot
Następne wpisy z tego wątku
- 10.04.11 18:06 Boguś
- 10.04.11 19:35 Stachu 'Dozzie' K.
- 11.04.11 16:47 Boguś
- 11.04.11 18:11 Paweł Kierski
Najnowsze wątki z tej grupy
- Arch. Prog. Nieuprzywilejowanych w pełnej wer. na nowej s. WWW energokod.pl
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
Najnowsze wątki
- 2025-01-04 Zbieranie danych przez www
- 2025-01-04 reverse engineering i dodawanie elementów do istniejących zamkniętych produktów- legalne?
- 2025-01-04 w Nowym Roku 2025r
- 2025-01-04 Warszawa => Specjalista ds. IT - II Linia Wsparcia <=
- 2025-01-04 Warszawa => Java Developer <=
- 2025-01-04 Warszawa => Spedytor Międzynarodowy <=
- 2025-01-04 Warszawa => System Architect (Java background) <=
- 2025-01-04 Wrocław => Application Security Engineer <=
- 2025-01-04 Chrzanów => Specjalista ds. public relations <=
- 2025-01-04 Katowice => Key Account Manager (ERP) <=
- 2025-01-03 Problem z odczytem karty CF
- 2025-01-03 Jazda z Warszawy do Krakowa teslą
- 2025-01-03 Wrocław => Konsultant Wdrożeniowy Comarch XL/Optima (Księgowość i
- 2025-01-03 Warszawa => International Freight Forwarder <=
- 2025-01-03 Mińsk Mazowiecki => Area Sales Manager OZE <=
![Działalność nierejestrowana - na czym polega i z czym się wiąże? [© StockRocket - Fotolia.com]](https://s3.egospodarka.pl/grafika2/ulgi-dla-firm/Dzialalnosc-nierejestrowana-na-czym-polega-i-z-czym-sie-wiaze-208993-50x33crop.jpg "Działalność nierejestrowana - na czym polega i z czym się wiąże? [© StockRocket - Fotolia.com]")
Działalność nierejestrowana - na czym polega i z czym się wiąże?
