eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plGrupypl.comp.programmingkodowanie haseł
Ilość wypowiedzi w tym wątku: 76

  • 1. Data: 2013-01-20 17:55:22
    Temat: kodowanie haseł
    Od: "identyfikator: 20040501" <N...@g...pl>

    może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła? tak,
    żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu prawidłowego
    hasła, dało sie uwierzytelnić?


  • 2. Data: 2013-01-20 18:18:39
    Temat: Re: kodowanie haseł
    Od: bartekltg <b...@g...com>

    W dniu 2013-01-20 17:55, identyfikator: 20040501 pisze:
    > może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
    > tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
    > prawidłowego hasła, dało sie uwierzytelnić?


    SHA-2( MD5 ( hasło XOR 'Wlazłkoteknapłotek') XOR 'Szładzieweczkado')

    http://pl.wikipedia.org/wiki/Kategoria:Funkcje_skr%C
    3%B3tu

    pzdr
    bartekltg



  • 3. Data: 2013-01-20 18:34:44
    Temat: Re: kodowanie haseł
    Od: "Jordan Szubert" <u...@j...us.to>

    Dnia 20-01-2013 o 17:55:22 identyfikator: 20040501
    <N...@g...pl> napisał(a):

    > może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
    > tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
    > prawidłowego hasła, dało sie uwierzytelnić?

    import hashlib
    class User:
    def __init__(self,name):
    self.name=name
    def encPw(self,pw):
    return hashlib.sha1('Hasło dla użytkownika {} brzmi {},
    ha!'.format(self.name,pw)).digest()
    def setPw(self,pw):
    self.salted=self.encPw(pw)
    def checkPw(self,pw):
    return self.salted==self.encPw(pw)

    --
    Jordan Szubert


  • 4. Data: 2013-01-20 23:30:01
    Temat: Re: kodowanie haseł
    Od: Maciej Sobczak <s...@g...com>

    W dniu niedziela, 20 stycznia 2013 17:55:22 UTC+1 użytkownik identyfikator: 20040501
    napisał:

    > może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła? tak,
    > żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu prawidłowego
    > hasła, dało sie uwierzytelnić?

    A po co?

    (naiwne odpowiedzi znam, więc proszę o te poważne)

    --
    Maciej Sobczak * http://www.msobczak.com * http://www.inspirel.com


  • 5. Data: 2013-01-21 10:21:35
    Temat: Re: kodowanie haseł
    Od: "yamma" <y...@w...pl>


    Użytkownik "bartekltg" <b...@g...com> napisał w wiadomości
    news:kdh8tg$klt$1@node2.news.atman.pl...
    >W dniu 2013-01-20 17:55, identyfikator: 20040501 pisze:
    >> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
    >> tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
    >> prawidłowego hasła, dało sie uwierzytelnić?
    >
    >
    > SHA-2( MD5 ( hasło XOR 'Wlazłkoteknapłotek') XOR 'Szładzieweczkado')
    >
    > http://pl.wikipedia.org/wiki/Kategoria:Funkcje_skr%C
    3%B3tu

    No i jeszcze pasowałoby przedtem posolić, żeby z takich samych haseł nie
    wyszły identyczne "hasze". Ja zazwyczaj solę GUIDem, który jest
    identyfikatorem rekordu ale np. Microsoft w ASP.NETowym Membershipie tworzy
    dodatkowe pole z losowo wygenerowanym ciągiem znaków.
    yamma


  • 6. Data: 2013-01-21 18:20:05
    Temat: Re: kodowanie haseł
    Od: Daniel Janus <n...@g...com>

    W dniu niedziela, 20 stycznia 2013 17:34:44 UTC użytkownik Jordan Szubert napisał:

    > return hashlib.sha1('Hasło dla użytkownika {} brzmi {},

    Lepiej bcrypt zamiast SHA-1.

    http://codahale.com/how-to-safely-store-a-password/

    pozdrawiam,
    Daniel


  • 7. Data: 2013-01-21 20:50:10
    Temat: Re: kodowanie haseł
    Od: Bogusław Szczepanowski <n...@i...net>

    Dnia 20-01-2013 o 23:30:01 Maciej Sobczak <s...@g...com>
    napisał(a):

    > A po co?

    Po to, żeby się administratorzy/programiści nie naśmiewali z haseł
    użytkowników, jak już je sobie odkodują i podejrzą. A tak poważniej, to
    dlatego, że ludzie mają tendencję do używania jednego hasła do wielu
    systemów, i wtedy jeden nieuczciwy administrator/programista może
    spowodować szkody dla użytkownika poza jurysdykcją swojego systemu. Bo w
    swoim nie namiesza, bo mu pracodawca dyscyplinarkę wręczy.

    Poza tym - dziwne pytania zadajesz. Skoro ludzie opracowują algorytmy
    challenge-respone po to, żeby *systemy* *między* *sobą* nie wymieniały się
    jawnymi hasłami, to dlaczego w takim przypadku hasła miałby by być
    trzymane de facto *jawnym* *tekstem* w bazie?

    --
    Boguś
    /Każdy skutek ma swoją przyczynę/


  • 8. Data: 2013-01-21 23:37:57
    Temat: Re: kodowanie haseł
    Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>

    On 2013-01-20, bartekltg <b...@g...com> wrote:
    > W dniu 2013-01-20 17:55, identyfikator: 20040501 pisze:
    >> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
    >> tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
    >> prawidłowego hasła, dało sie uwierzytelnić?
    >
    >
    > SHA-2( MD5 ( hasło XOR 'Wlazłkoteknapłotek') XOR 'Szładzieweczkado')
    >
    > http://pl.wikipedia.org/wiki/Kategoria:Funkcje_skr%C
    3%B3tu

    Kolejny "inszynier", który próbuje się bawić kryptografią na własną
    rękę. Jak Daniel Janus
    w <c...@g...com
    > wskazał, bcrypt,
    a nie ręczne papranie.

    Hasz do haseł ma być *wolny*, zupełnie odwrotnie niż uniwersalna funkcja
    skrótu.

    --
    Secunia non olet.
    Stanislaw Klekot


  • 9. Data: 2013-01-21 23:46:29
    Temat: Re: kodowanie haseł
    Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>

    On 2013-01-20, Maciej Sobczak <s...@g...com> wrote:
    > W dniu niedziela, 20 stycznia 2013 17:55:22 UTC+1 użytkownik identyfikator:
    20040501 napisał:
    >
    >> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła? tak,
    >> żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu prawidłowego
    >> hasła, dało sie uwierzytelnić?

    Dla naprostowania, bo identyfikator -- jak to on zwykle -- popieprzył
    terminologię:
    * funkcja może być jednokierunkowa, inaczej nieodwracalna, a nie
    "jednostronna" (lewostronna? górnostronna?)
    * liczenie hasza nie jest procesem kodowania (nie da się hasza
    "zdekodować" do oryginalnego wejścia)

    > A po co?
    >
    > (naiwne odpowiedzi znam, więc proszę o te poważne)

    Ano po to, Maćku, żeby utrata bazy haseł użytkowników z jednej
    aplikacji czy serwisie nie prowadziła (zbyt łatwo) do kompromitacji kont
    tych samych ludzi w innych serwisach.

    Normą jest, że użytkownicy korzystają w kółko z tych samych haseł, a to
    do gmaila, a to do forów dyskusyjnych, do fejsbóka, do serwisów z grami
    i tak dalej.

    Niestety społeczeństwo mamy (my, znaczy świat) informatycznie
    niedouczone. Ludzie nie rozumieją zagrożeń wynikających z powtarzania
    tego samego hasła w wielu miejscach (nie wypracowaliśmy jeszcze intuicji
    związanej z internetem), nie wiedzą o istnieniu managerów haseł, nie
    umieją z nich korzystać (kopia zapasowa na osobnym medium anyone?).

    --
    Secunia non olet.
    Stanislaw Klekot


  • 10. Data: 2013-01-21 23:53:49
    Temat: Re: kodowanie haseł
    Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>

    On 2013-01-21, Bogusław Szczepanowski <n...@i...net> wrote:
    > Dnia 20-01-2013 o 23:30:01 Maciej Sobczak <s...@g...com>
    > napisał(a):
    >
    >> A po co?
    [...]
    > Poza tym - dziwne pytania zadajesz.

    Uzasadnione. Jak rozumiem, Maciek nie ma zbyt dokładnego przygotowania
    z bezpieczeństwa IT, a chciał poznać parę rzeczowych argumentów.

    Chyba nie chcemy być jak baca? "Cosik mi się widzi, ze wy nie po mądrość
    tu przysliście, a w ryj dostać"

    > Skoro ludzie opracowują algorytmy
    > challenge-respone po to, żeby *systemy* *między* *sobą* nie wymieniały się
    > jawnymi hasłami, to dlaczego w takim przypadku hasła miałby by być
    > trzymane de facto *jawnym* *tekstem* w bazie?

    "Skoro w płatnościach kartami kredytowymi wystarczy numer karty i kod
    CVV, to u nas za potwierdzenie hipoteki niech wystarczy nazwisko
    i PESEL".

    Wyciąganie analogii przy pytaniu "po co?" jest kiepskim pomysłem, bo nie
    zawsze wiadomo, że a) jest stosowalna i b) w oryginalnym zjawisku
    wszystko jest w porządku.

    Maciek oczekiwał konkretnego powodu.

    --
    Secunia non olet.
    Stanislaw Klekot

strony : [ 1 ] . 2 ... 8


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: