-
Data: 2013-01-22 14:08:19
Temat: Re: kodowanie haseł
Od: "M.M." <m...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu wtorek, 22 stycznia 2013 13:11:54 UTC+1 użytkownik bartekltg napisał:
>
> > Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
> > Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
> > jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
> > czytałem że md5 został rozpracowany - nie wiem znaczy słowo "rozpracowany",
> > ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie używać.
>
> Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
> wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
> (hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
> wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
> jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
> haseł. Jeśli nie są one zbyt długie, jest to robialne.
Te podstawy to raczej znam. Nie wiedziałem tylko ze to nazywa
sie "sól". Ja zastosowałem rozwiązanie w którym właśnie atak przez
sprawdzenie wszystkich funkcji hash nic nie da, nawet jak wycieknie
baza z haslami, metoda hashowania i sposób dodawania szumu do haseł.
Nawet nic nie pomoże jak nieuczciwy pracownik firmy podsłucha całą
transmisję, albo napisze skrypt i uruchomi go jako root na serwerze.
Oczywiście są inne sposoby na rozwalenie tego systemu, ale
wiadomo co trzeba zrobić aby nie dopuścić do tego. Obejście zabezpieczeń
jest tak trudne, że jest osoba która bierze odpowiedzialność finansową i
jednocześnie śpi spokojnie. Istnieje też prostszy sposób obejścia
zabezpieczeń, ale z kolei za ten sposób mój klient przed swoimi klientami
nie musi ponosić odpowiedzialności.
Pozdrawiam
Następne wpisy z tego wątku
- 22.01.13 14:24 Stachu 'Dozzie' K.
- 22.01.13 14:44 bartekltg
- 22.01.13 14:57 M.M.
- 22.01.13 15:34 Stachu 'Dozzie' K.
- 22.01.13 15:41 M.M.
- 22.01.13 15:45 Michoo
- 22.01.13 15:57 M.M.
- 22.01.13 16:04 Michoo
- 22.01.13 16:07 bartekltg
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
Najnowsze wątki z tej grupy
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
- CfC 28th Ada-Europe Int. Conf. Reliable Software Technologies
- Młodzi programiści i tajna policja
- Ada 2022 Language Reference Manual to be Published by Springer
- Press Release - AEiC 2023, Ada-Europe Reliable Softw. Technol.
- Ada-Europe - AEiC 2023 early registration deadline approaching
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2023
- Ile cykli zajmuje mnożenie liczb 64-bitowych?
Najnowsze wątki
- 2024-06-27 Re: Prywatny parking? Pierwsze 10 minut bezplatnie
- 2024-06-27 A co mnie to koooorwa obchodzi?
- 2024-06-28 nawigacja satelitarna
- 2024-06-28 SmartLife/Tuya i osuszanie -- mordowanie z zimną krwią...
- 2024-06-27 położyłem kafelki
- 2024-06-28 Łódź => International Freight Forwarder <=
- 2024-06-28 Łódź => Spedytor Międzynarodowy <=
- 2024-06-28 Gdańsk => Head of International Freight Forwarding Department <=
- 2024-06-28 Sopot => Team Leader E-Commerce for Foreign Markets <=
- 2024-06-28 Warszawa => Senior React Native Developer <=
- 2024-06-28 Warszawa => Frontend Developer (React) <=
- 2024-06-28 Warszawa => Software .Net Developer <=
- 2024-06-28 Warszawa => Frontend Developer (React) <=
- 2024-06-28 Warszawa => Programista Full Stack .Net <=
- 2024-06-28 Warszawa => Frontend Developer (React) <=