-
Data: 2013-01-22 16:07:59
Temat: Re: kodowanie haseł
Od: bartekltg <b...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2013-01-22 15:45, Michoo pisze:
> On 22.01.2013 13:11, bartekltg wrote:
>> W dniu 2013-01-22 02:53, M.M. pisze:
>>> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
>>> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
>>> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
>>> czytałem że md5 został rozpracowany - nie wiem znaczy słowo
>>> "rozpracowany",
>>> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie
>>> używać.
>>
>> Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
>> wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
>> (hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
>> wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
>> jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
>> haseł. Jeśli nie są one zbyt długie, jest to robialne.
>>
>> Sól daje to, że operację trzeba powtórzyć dla każdego użytkownika,
>> zamiast za jednym zamachem mieć odkodowanych wszystkich,
>> ale to niewielka pociecha, gdy np Ty jesteś celem;)
>
> Ale z tego co rozumiem on dodawał losowe znaki (nie wiem po co w "kilku
> miejscach").
Tak jak i w pisywanej metodzie. One siedzą pod nazwą 'salt'.
Tylko były zapisywane.
> XOR hasła z losowym dwubajtowym (nie zapisywanym) ciągiem jest znaną
> metodą na:
Nie zapisywanym?
> - proste zwiększenie złożoności łamania hasła przy zachowaniu
> istniejącej infrastruktury (średnio 32k razy, w praktyce więcej, bo
> wynik jest z przedziału 0-255 a nie alfanum)
> - uniemożliwienie użycia "złamanego" hasła (po znalezieniu odwzorowania
> hash - String nadal ma się ~64k możliwości do zbadania)
Nie wiem, nie znam się, więc powiedz mi, jak chcesz użyć losowej
wartości nie zapisując jej? Jak wtedy chcesz zweryfikować
osobę z hasłem.
hash = fhash( hasło OXR rand() )
Robimy to przy zakładaniu konta. Zapisujemy hash.
Przychodzi teraz użytkownik, chce się zalogować,
podaje [haslo]. Jak chcesz je porównać z hashem?
hash = fhash( hasło OXR rand )?
tylko przecież nie zapisaliśmy 'rand'. Więc jak?
A jeśli zapisujesz, to ta losowa liczba może wyciec razem z hashem
i wracamy do problemu opisanego iterację wyżej.
pzdr
bartekltg
Następne wpisy z tego wątku
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
- 22.01.13 17:27 Stachu 'Dozzie' K.
- 22.01.13 17:29 Stachu 'Dozzie' K.
- 22.01.13 22:13 PK
- 22.01.13 22:35 Stachu 'Dozzie' K.
- 23.01.13 01:03 M.M.
Najnowsze wątki z tej grupy
- Popr. 14. Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- Arch. Prog. Nieuprzywilejowanych w pełnej wer. na nowej s. WWW energokod.pl
- 7. Raport Totaliztyczny: Sprawa Qt Group wer. 424
- TCL - problem z escape ostatniego \ w nawiasach {}
- Nauka i Praca Programisty C++ w III Rzeczy (pospolitej)
- testy-wyd-sort - Podsumowanie
- Tworzenie Programów Nieuprzywilejowanych Opartych Na Wtyczkach
- Do czego nadaje się QDockWidget z bibl. Qt?
- Bibl. Qt jest sztucznie ograniczona - jest nieprzydatna do celów komercyjnych
- Co sciaga kretynow
- AEiC 2024 - Ada-Europe conference - Deadlines Approaching
- Jakie są dobre zasady programowania programów opartych na wtyczkach?
- sprawdzanie słów kluczowych dot. zła
- Re: W czym sie teraz pisze programy??
- Re: (PDF) Surgical Pathology of Non-neoplastic Gastrointestinal Diseases by Lizhi Zhang
Najnowsze wątki
- 2025-01-22 Gdańsk => System Architect (Java background) <=
- 2025-01-22 Katowice => Senior Field Sales (system ERP) <=
- 2025-01-22 Warszawa => Java Developer <=
- 2025-01-22 pokolenie Z
- 2025-01-22 Wyświtlacz ramki cyfrowej
- 2025-01-22 Białystok => Architekt rozwiązań (doświadczenie w obszarze Java, A
- 2025-01-22 Chrzanów => Team Lead / Tribe Lead FrontEnd <=
- 2025-01-22 Ostrów Wielkopolski => Konsultant Wdrożeniowy Comarch XL/Optima (Ksi
- 2025-01-22 oferta na ubezpieczenie OC życie prywatne
- 2025-01-22 Bieruń => Spedytor Międzynarodowy (handel ładunkami/prowadzenie flo
- 2025-01-22 Warszawa => International Freight Forwarder <=
- 2025-01-22 Gdańsk => Specjalista ds. Sprzedaży <=
- 2025-01-21 Zgromadzenie użytkowników pojazdów :-)
- 2025-01-21 bateria na żądanie
- 2025-01-21 Warszawa => IT Business Analyst <=
![Praca w marketingu i PR: jakie wynagrodzenia dla specjalistów? [© Freepik]](https://s3.egospodarka.pl/grafika2/PR/Praca-w-marketingu-i-PR-jakie-wynagrodzenia-dla-specjalistow-264425-50x33crop.jpg "Praca w marketingu i PR: jakie wynagrodzenia dla specjalistów? [© Freepik]")
Praca w marketingu i PR: jakie wynagrodzenia dla specjalistów?
