-
Path: news-archive.icm.edu.pl!news.gazeta.pl!newsfeed.pionier.net.pl!newsfeed.straub-
nv.de!weretis.net!feeder4.news.weretis.net!feeder1.news.weretis.net!news.solani
.org!.POSTED!not-for-mail
From: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
Newsgroups: pl.comp.programming
Subject: Re: haszowanie (?) podciągu - bezpieczeństwo
Date: Fri, 8 Apr 2011 21:05:09 +0000 (UTC)
Organization: solani.org
Lines: 35
Message-ID: <innta5$6jv$1@solani.org>
References: <6...@k...googlegroups.com>
<innrge$946$1@news.onet.pl>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2
Content-Transfer-Encoding: 8bit
X-Trace: solani.org 1302296709 6783
eJwFwQkBwDAIA0BLgRIeOWMU/xJ6x+Pif5jTjctdMLfbiiJ5jbWIUYDMgKFjpazv6Oj5ivMACWoQdQ==
(8 Apr 2011 21:05:09 GMT)
X-Complaints-To: a...@n...solani.org
NNTP-Posting-Date: Fri, 8 Apr 2011 21:05:09 +0000 (UTC)
User-Agent: slrn/pre0.9.9-111 (Linux)
X-User-ID: eJwFwYEBwDAIArCb2BTxnA7r/ycsyZegK5iM3FzWhb7a9MUeHss40ZpWIT0Z1gRaYuAZ/yZIER
0=
Cancel-Lock: sha1:ZhrwVAzIcssCZ7ygQmNwnQYPjm8=
X-NNTP-Posting-Host: eJwNwocNwEAIBLCVKE8bBw6x/wiJbFNnRzw3f3Y/4Cw70kJpVi3TT6foMDMlAHFh
M6QbK/wBI0ARkg==
Xref: news-archive.icm.edu.pl pl.comp.programming:189731
[ ukryj nagłówki ]On 2011-04-08, Michoo <m...@v...pl> wrote:
> Natomiast samo przechowywanie hasła w formie tekstu jawnego nie jest
> błędem a pozwala znacznie podnieść bezpieczeństwo w przypadku
> nieszyfrowanej transmisji, bo umożliwia uwierzytelnianie w wersji
> zawołanie-odzew.
Tak naprawdę to nie.
Sprecyzowanie: uważam że hasło w formie tekstu jawnego zapisane jest
w bazie wtedy, gdy dokładnie to, co wpisuje użytkownik z klawiatury jest
zapisane w bazie. Jeśli włamywacz po kradzieży bazy może, używając
danych z niej, zalogować się do innych serwisów.
Nietrudno wymyślić protokół challenge-response, w którym hasło p jest
przechowywane w formie solonego hasza h = H(s,p). Wtedy serwer wysyła
jako challenge parę c = (n,s), gdzie n jest losowym ciągiem bitów.
Klient oblicza sobie po swojej stronie h' = H(s,p'), gdzie p' jest
hasłem wpisanym z klawiatury, a potem r' = H(n,h').
Serwer po swojej stronie liczy oczekiwane r = H(n,h), a otrzymawszy r'
porównuje je z r. Jeśli się zgadzają, hasło podane przez użytkownika
było poprawne.
Dla podprotokołu challenge-response, użytego w tym schemacie,
współdzielonym sekretem jest, rzecz jasna, H(s,p). Kradzież tego sekretu
pozwala atakującemu zalogować się do tej usługi. Przewaga powyższego
protokołu jest taka, że nawet jeśli użytkownik używa tego samego hasła
na wielu różnych serwisach, sekrety współdzielone z serwisami się
różnią, więc kradzież bazy z jednego nie skutkuje jeszcze dostępem
w innych.
--
Secunia non olet.
Stanislaw Klekot
Następne wpisy z tego wątku
- 10.04.11 18:06 Boguś
- 10.04.11 19:35 Stachu 'Dozzie' K.
- 11.04.11 16:47 Boguś
- 11.04.11 18:11 Paweł Kierski
Najnowsze wątki z tej grupy
- Nowa ustawa o ochronie praw autorskich - opis problemu i szkic ustawy
- Alg. kompresji LZW
- Popr. 14. Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- Arch. Prog. Nieuprzywilejowanych w pełnej wer. na nowej s. WWW energokod.pl
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
Najnowsze wątki
- 2025-03-16 Nowa ustawa o ochronie praw autorskich - opis problemu i szkic ustawy
- 2025-03-16 Nowa ustawa o ochronie praw autorskich - opis problemu i szkic ustawy
- 2025-03-16 Najlepszy akumulator 12V
- 2025-03-16 Co powinno spotkać "adwokatów dwóch" uczestniczących w przesłuchaniu świadka do którego nie dopuszczono adwokata świadka?
- 2025-03-16 Przednich p-mgielnych nie wolno bez mgły
- 2025-03-16 Co w KANADZIE wolno komercyjnie (na razie się nie czepili?)
- 2025-03-16 silnik-chwilówka
- 2025-03-16 Prokurator Wrzosek "Bezstronna" nie przyczynia się do śmierci (dowodnie) - oświadcza bodnatura [Dwie Kacze Wieże]
- 2025-03-15 kraje nieprzyjazne samochodom
- 2025-03-15 parking Auchan
- 2025-03-15 Art. 19.1 ustawy o ochronie praw autorskich
- 2025-03-15 przegląd za mną
- 2025-03-15 Na co komu okna
- 2025-03-15 Mój elektryk
- 2025-03-15 Fejk muzyczny czy nie fejk