-
Data: 2013-01-22 16:07:59
Temat: Re: kodowanie haseł
Od: bartekltg <b...@g...com> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]W dniu 2013-01-22 15:45, Michoo pisze:
> On 22.01.2013 13:11, bartekltg wrote:
>> W dniu 2013-01-22 02:53, M.M. pisze:
>>> Określenia "posolić" używa się normalnie, czy tak sobie napisałeś?
>>> Ja dodaje losowe znaki w kilku miejscach oryginalnego ciągu, potem
>>> jakiś standardowy klucz sha, albo md5, albo nawet jakiś własny. Gdzieś
>>> czytałem że md5 został rozpracowany - nie wiem znaczy słowo
>>> "rozpracowany",
>>> ale tak czy inaczej do hashowania w poważnej kryptografii lepiej nie
>>> używać.
>>
>> Zwróć uwagę na to, o czym prawie kulturalnie mówił Stachu
>> wczoraj a daniel rzucił linka. Jeśli poza bazą danych o hasłach
>> (hash i 'sól')wycieknie też metoda kodowania (a czemu ma nie
>> wyciec, skoro baza wyciekła, o ile wręcz nie jest jawna) to
>> jesteśmy podatni na atak przez ręczne md5 wszystkich możliwych
>> haseł. Jeśli nie są one zbyt długie, jest to robialne.
>>
>> Sól daje to, że operację trzeba powtórzyć dla każdego użytkownika,
>> zamiast za jednym zamachem mieć odkodowanych wszystkich,
>> ale to niewielka pociecha, gdy np Ty jesteś celem;)
>
> Ale z tego co rozumiem on dodawał losowe znaki (nie wiem po co w "kilku
> miejscach").
Tak jak i w pisywanej metodzie. One siedzą pod nazwą 'salt'.
Tylko były zapisywane.
> XOR hasła z losowym dwubajtowym (nie zapisywanym) ciągiem jest znaną
> metodą na:
Nie zapisywanym?
> - proste zwiększenie złożoności łamania hasła przy zachowaniu
> istniejącej infrastruktury (średnio 32k razy, w praktyce więcej, bo
> wynik jest z przedziału 0-255 a nie alfanum)
> - uniemożliwienie użycia "złamanego" hasła (po znalezieniu odwzorowania
> hash - String nadal ma się ~64k możliwości do zbadania)
Nie wiem, nie znam się, więc powiedz mi, jak chcesz użyć losowej
wartości nie zapisując jej? Jak wtedy chcesz zweryfikować
osobę z hasłem.
hash = fhash( hasło OXR rand() )
Robimy to przy zakładaniu konta. Zapisujemy hash.
Przychodzi teraz użytkownik, chce się zalogować,
podaje [haslo]. Jak chcesz je porównać z hashem?
hash = fhash( hasło OXR rand )?
tylko przecież nie zapisaliśmy 'rand'. Więc jak?
A jeśli zapisujesz, to ta losowa liczba może wyciec razem z hashem
i wracamy do problemu opisanego iterację wyżej.
pzdr
bartekltg
Następne wpisy z tego wątku
- 22.01.13 16:10 bartekltg
- 22.01.13 16:17 identyfikator: 20040501
- 22.01.13 16:20 bartekltg
- 22.01.13 16:23 M.M.
- 22.01.13 16:29 bartekltg
- 22.01.13 16:34 M.M.
- 22.01.13 16:38 Michoo
- 22.01.13 16:38 M.M.
- 22.01.13 16:41 M.M.
- 22.01.13 16:51 M.M.
- 22.01.13 17:27 Stachu 'Dozzie' K.
- 22.01.13 17:29 Stachu 'Dozzie' K.
- 22.01.13 22:13 PK
- 22.01.13 22:35 Stachu 'Dozzie' K.
- 23.01.13 01:03 M.M.
Najnowsze wątki z tej grupy
- Prezydent SZAP/USONA Trump ułaskawił prezydenta Hondurasu Hernandeza skazanego na 45 lat więzienia
- Rosjanie chwalą się prototypem komputera kwantowego. "Najważniejszy projekt naukowy Rosji"
- A Szwajcarzy kombinują tak: FinalSpark grows human neurons from stem cells and connects them to electrode arrays
- Re: Najgorszy język programowania
- NOWY: 2025-09-29 Alg., Strukt. Danych i Tech. Prog. - komentarz.pdf
- Na grupie comp.os.linux.advocacy CrudeSausage twierdzi, że Micro$lop używa SI do szyfrowania formatu dok. XML
- Błąd w Sofcie Powodem Wymiany 3 Duńskich Fregat Typu Iver Huitfeldt
- Grok zaczął nadużywać wulgaryzmów i wprost obrażać niektóre znane osoby
- Can you activate BMW 48V 10Ah Li-Ion battery, connecting to CAN-USB laptop interface ?
- We Wrocławiu ruszyła Odra 5, pierwszy w Polsce komputer kwantowy z nadprzewodzącymi kubitami
- Ada-Europe - AEiC 2025 early registration deadline imminent
- John Carmack twierdzi, że gdyby gry były optymalizowane, to wystarczyły by stare kompy
- Ada-Europe Int.Conf. Reliable Software Technologies, AEiC 2025
- Linuks od wer. 6.15 przestanie wspierać procesory 486 i będzie wymagać min. Pentium
- ,,Polski przemysł jest w stanie agonalnym" - podkreślił dobitnie, wskazując na brak zamówień.
Najnowsze wątki
- 2026-01-09 EKOFASZYŚCI DO NAUKI Chiny odpaliły reaktor na tor. Zachód przespał ten moment? - AstroSzort
- 2026-01-09 Sebastian M
- 2026-01-09 weto nowelizacji ustawy o ś.u.d.e. (wz. DSA)
- 2026-01-09 Warszawa => Dynamics 365 Commerce/POS Developer <=
- 2026-01-09 Ładowanie w 13 minut
- 2026-01-08 Umiejętność tankowania na egzaminie z prawa jazdy
- 2026-01-08 Nowy akumulator Donut Lab
- 2026-01-08 Komenda policji nie ma nic wspólnego ze sprawą zgwałcenia policjantki
- 2026-01-08 Pilot do zamka/bramy
- 2026-01-08 Ślad węglowy
- 2026-01-08 Prezydent SZAP/USONA Trump ułaskawił prezydenta Hondurasu Hernandeza skazanego na 45 lat więzienia
- 2026-01-08 Prezydent SZAP/USONA Trump ułaskawił prezydenta Hondurasu Hernandeza skazanego na 45 lat więzienia
- 2026-01-08 Agora zwalnia grupowo, mimo że w firmie pojawiły się zyski, czyli załoga zapracowała na siebie
- 2026-01-08 Agora zwalnia grupowo, mimo że w firmie pojawiły się zyski, czyli załoga zapracowała na siebie
- 2026-01-08 Dlaczego wrzucenie szkolnego krzyża do śmieci to zbrodnia mniejsza od zgaszenia sejmowej menory?
![5 Najlepszych Programów do Księgowości w Chmurze - Ranking i Porównanie [2025]](https://s3.egospodarka.pl/grafika2//5-Najlepszych-Programow-do-Ksiegowosci-w-Chmurze-Ranking-i-Porownanie-2025-270016-50x33crop.png "5 Najlepszych Programów do Księgowości w Chmurze - Ranking i Porównanie [2025]")
5 Najlepszych Programów do Księgowości w Chmurze - Ranking i Porównanie [2025]
