-
Data: 2013-01-22 16:07:59
Temat: Re: kodowanie haseł
Od: bartekltg <b...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2013-01-22 15:45, Michoo pisze:
> On 22.01.2013 13:11, bartekltg wrote:
>> W dniu 2013-01-22 02:53, M.M. pisze:
>>> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
>>> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
>>> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
>>> czytałem że md5 został rozpracowany - nie wiem znaczy słowo
>>> "rozpracowany",
>>> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie
>>> używać.
>>
>> Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
>> wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
>> (hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
>> wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
>> jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
>> haseł. Jeśli nie są one zbyt długie, jest to robialne.
>>
>> Sól daje to, że operację trzeba powtórzyć dla każdego użytkownika,
>> zamiast za jednym zamachem mieć odkodowanych wszystkich,
>> ale to niewielka pociecha, gdy np Ty jesteś celem;)
>
> Ale z tego co rozumiem on dodawał losowe znaki (nie wiem po co w "kilku
> miejscach").
Tak jak i w pisywanej metodzie. One siedzą pod nazwą 'salt'.
Tylko były zapisywane.
> XOR hasła z losowym dwubajtowym (nie zapisywanym) ciągiem jest znaną
> metodą na:
Nie zapisywanym?
> - proste zwiększenie złożoności łamania hasła przy zachowaniu
> istniejącej infrastruktury (średnio 32k razy, w praktyce więcej, bo
> wynik jest z przedziału 0-255 a nie alfanum)
> - uniemożliwienie użycia "złamanego" hasła (po znalezieniu odwzorowania
> hash - String nadal ma się ~64k możliwości do zbadania)
Nie wiem, nie znam się, więc powiedz mi, jak chcesz użyć losowej
wartości nie zapisując jej? Jak wtedy chcesz zweryfikować
osobę z hasłem.
hash = fhash( hasło OXR rand() )
Robimy to przy zakładaniu konta. Zapisujemy hash.
Przychodzi teraz użytkownik, chce się zalogować,
podaje [haslo]. Jak chcesz je porównać z hashem?
hash = fhash( hasło OXR rand )?
tylko przecież nie zapisaliśmy 'rand'. Więc jak?
A jeśli zapisujesz, to ta losowa liczba może wyciec razem z hashem
i wracamy do problemu opisanego iterację wyżej.
pzdr
bartekltg
Następne wpisy z tego wątku
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
- 22.01.13 17:27 Stachu 'Dozzie' K.
- 22.01.13 17:29 Stachu 'Dozzie' K.
- 22.01.13 22:13 PK
- 22.01.13 22:35 Stachu 'Dozzie' K.
- 23.01.13 01:03 M.M.
Najnowsze wątki z tej grupy
- Can you activate BMW 48V 10Ah Li-Ion battery, connecting to CAN-USB laptop interface ?
- We Wrocławiu ruszyła Odra 5, pierwszy w Polsce komputer kwantowy z nadprzewodzącymi kubitami
- Ada-Europe - AEiC 2025 early registration deadline imminent
- John Carmack twierdzi, że gdyby gry były optymalizowane, to wystarczyły by stare kompy
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2025
- Linuks od wer. 6.15 przestanie wspierać procesory 486 i będzie wymagać min. Pentium
- ,,Polski przemysł jest w stanie agonalnym" - podkreślił dobitnie, wskazując na brak zamówień.
- Rewolucja w debugowaniu!!! SI analizuje zrzuty pamięci systemu M$ Windows!!!
- Brednie w wiki - hasło Dehomag
- Perfidne ataki krakerów z KRLD na skrypciarzy JS i Pajton
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- Instytut IDEAS może zacząć działać: "Ma to być unikalny w europejskiej skali ośrodek badań nad sztuczną inteligencją."
- U nas propagują modę na SI, a w Chinach naukowcy SI po kolei umierają w wieku 40-50lat
- C++. Podróż Po Języku - komentarz
Najnowsze wątki
- 2025-07-12 Warszawa => PC Hardware Expert / Specjalista PC <=
- 2025-07-12 Warszawa => Account Manager - Usługi rekrutacyjne <=
- 2025-07-12 Warszawa => Administrator IT <=
- 2025-07-12 Warszawa => IT Administrator <=
- 2025-07-12 Warszawa => Asystent/tka ds. Administracji <=
- 2025-07-12 Warszawa => Specjalista/stka ds. Organizacji <=
- 2025-07-12 Warszawa => MENA New Business Manager <=
- 2025-07-12 Gdynia => Controlling systems Consultant <=
- 2025-07-12 Warszawa => Developer Microsoft Dynamics 365 Finance & Operations (D36
- 2025-07-12 Warszawa => Programista Microsoft Dynamics 365 Finance & Operations (D
- 2025-07-12 Warszawa => Dyrektor IT <=
- 2025-07-12 Warszawa => IT Director <=
- 2025-07-12 Czy wypowiedź Kaczyńskiego o Braunie jest skarżalna? ["działa z OBCEJ inspiracji"]
- 2025-07-11 Rejestrator temperatur - termopara, siec
- 2025-07-11 DPD, przeniesienie numerów z a2mobile i z Orange
![Samochodem po Europie i Polsce - 10 inspirujących miejsc na nietuzinkowe wakacje [© wygenerowane przez AI]](https://s3.egospodarka.pl/grafika2/wakacje-samochodem/Samochodem-po-Europie-i-Polsce-10-inspirujacych-miejsc-na-nietuzinkowe-wakacje-267684-50x33crop.png "Samochodem po Europie i Polsce - 10 inspirujących miejsc na nietuzinkowe wakacje [© wygenerowane przez AI]")
Samochodem po Europie i Polsce - 10 inspirujących miejsc na nietuzinkowe wakacje
