-
Data: 2013-01-22 13:11:54
Temat: Re: kodowanie haseł
Od: bartekltg <b...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2013-01-22 02:53, M.M. pisze:
> W dniu poniedziałek, 21 stycznia 2013 10:21:35 UTC+1 użytkownik yamma napisał:
>> No i jeszcze pasowałoby przedtem posolić, żeby z takich samych haseł nie
>> wyszły identyczne "hasze". Ja zazwyczaj solę GUIDem, który jest
>> identyfikatorem rekordu ale np. Microsoft w ASP.NETowym Membershipie tworzy
>> dodatkowe pole z losowo wygenerowanym ciągiem znaków.
>
> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
> czytałem że md5 został rozpracowany - nie wiem znaczy słowo "rozpracowany",
> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie używać.
Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
(hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
haseł. Jeśli nie są one zbyt długie, jest to robialne.
Sól daje to, że operację trzeba powtórzyć dla każdego użytkownika,
zamiast za jednym zamachem mieć odkodowanych wszystkich,
ale to niewielka pociecha, gdy np Ty jesteś celem;)
Różnica między
http://en.wikipedia.org/wiki/Cryptographic_hash_func
tion
a
http://en.wikipedia.org/wiki/Key_derivation_function
I to, na co koledzy zwrócili uwagę:
Modern password-based key derivation functions, such as PBKDF2
(specified in RFC 2898), use a cryptographic hash, such as MD5
or SHA1, more salt (e.g. 64 bits and greater) and a high iteration
count (often 1000 or more). NIST requires at least 128 bits of
random salt and a NIST-approved cryptographic function, such as
the SHA series or AES (MD5 is not approved).[5] There have been
proposals to use algorithms that require large amounts of computer
memory and other computing resources to make custom hardware
attacks more difficult to mount.
pzdr
bartekltg
Następne wpisy z tego wątku
- 22.01.13 14:08 M.M.
- 22.01.13 14:24 Stachu 'Dozzie' K.
- 22.01.13 14:44 bartekltg
- 22.01.13 14:57 M.M.
- 22.01.13 15:34 Stachu 'Dozzie' K.
- 22.01.13 15:41 M.M.
- 22.01.13 15:45 Michoo
- 22.01.13 15:57 M.M.
- 22.01.13 16:04 Michoo
- 22.01.13 16:07 bartekltg
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-06-27 Re: Prywatny parking? Pierwsze 10 minut bezplatnie
- 2024-06-27 A co mnie to koooorwa obchodzi?
- 2024-06-28 nawigacja satelitarna
- 2024-06-28 SmartLife/Tuya i osuszanie -- mordowanie z zimną krwią...
- 2024-06-27 położyłem kafelki
- 2024-06-28 Łódź => International Freight Forwarder <=
- 2024-06-28 Łódź => Spedytor Międzynarodowy <=
- 2024-06-28 Gdańsk => Head of International Freight Forwarding Department <=
- 2024-06-28 Sopot => Team Leader E-Commerce for Foreign Markets <=
- 2024-06-28 Warszawa => Senior React Native Developer <=
- 2024-06-28 Warszawa => Frontend Developer (React) <=
- 2024-06-28 Warszawa => Software .Net Developer <=
- 2024-06-28 Warszawa => Frontend Developer (React) <=
- 2024-06-28 Warszawa => Programista Full Stack .Net <=
- 2024-06-28 Warszawa => Frontend Developer (React) <=