-
1. Data: 2013-01-20 17:55:22
Temat: kodowanie haseł
Od: "identyfikator: 20040501" <N...@g...pl>
może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła? tak,
żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu prawidłowego
hasła, dało sie uwierzytelnić?
-
2. Data: 2013-01-20 18:18:39
Temat: Re: kodowanie haseł
Od: bartekltg <b...@g...com>
W dniu 2013-01-20 17:55, identyfikator: 20040501 pisze:
> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
> tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
> prawidłowego hasła, dało sie uwierzytelnić?
SHA-2( MD5 ( hasło XOR 'Wlazłkoteknapłotek') XOR 'Szładzieweczkado')
http://pl.wikipedia.org/wiki/Kategoria:Funkcje_skr%C
3%B3tu
pzdr
bartekltg
-
3. Data: 2013-01-20 18:34:44
Temat: Re: kodowanie haseł
Od: "Jordan Szubert" <u...@j...us.to>
Dnia 20-01-2013 o 17:55:22 identyfikator: 20040501
<N...@g...pl> napisał(a):
> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
> tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
> prawidłowego hasła, dało sie uwierzytelnić?
import hashlib
class User:
def __init__(self,name):
self.name=name
def encPw(self,pw):
return hashlib.sha1('Hasło dla użytkownika {} brzmi {},
ha!'.format(self.name,pw)).digest()
def setPw(self,pw):
self.salted=self.encPw(pw)
def checkPw(self,pw):
return self.salted==self.encPw(pw)
--
Jordan Szubert
-
4. Data: 2013-01-20 23:30:01
Temat: Re: kodowanie haseł
Od: Maciej Sobczak <s...@g...com>
W dniu niedziela, 20 stycznia 2013 17:55:22 UTC+1 użytkownik identyfikator: 20040501
napisał:
> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła? tak,
> żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu prawidłowego
> hasła, dało sie uwierzytelnić?
A po co?
(naiwne odpowiedzi znam, więc proszę o te poważne)
--
Maciej Sobczak * http://www.msobczak.com * http://www.inspirel.com
-
5. Data: 2013-01-21 10:21:35
Temat: Re: kodowanie haseł
Od: "yamma" <y...@w...pl>
Użytkownik "bartekltg" <b...@g...com> napisał w wiadomości
news:kdh8tg$klt$1@node2.news.atman.pl...
>W dniu 2013-01-20 17:55, identyfikator: 20040501 pisze:
>> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
>> tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
>> prawidłowego hasła, dało sie uwierzytelnić?
>
>
> SHA-2( MD5 ( hasło XOR 'Wlazłkoteknapłotek') XOR 'Szładzieweczkado')
>
> http://pl.wikipedia.org/wiki/Kategoria:Funkcje_skr%C
3%B3tu
No i jeszcze pasowałoby przedtem posolić, żeby z takich samych haseł nie
wyszły identyczne "hasze". Ja zazwyczaj solę GUIDem, który jest
identyfikatorem rekordu ale np. Microsoft w ASP.NETowym Membershipie tworzy
dodatkowe pole z losowo wygenerowanym ciągiem znaków.
yamma
-
6. Data: 2013-01-21 18:20:05
Temat: Re: kodowanie haseł
Od: Daniel Janus <n...@g...com>
W dniu niedziela, 20 stycznia 2013 17:34:44 UTC użytkownik Jordan Szubert napisał:
> return hashlib.sha1('Hasło dla użytkownika {} brzmi {},
Lepiej bcrypt zamiast SHA-1.
http://codahale.com/how-to-safely-store-a-password/
pozdrawiam,
Daniel
-
7. Data: 2013-01-21 20:50:10
Temat: Re: kodowanie haseł
Od: Bogusław Szczepanowski <n...@i...net>
Dnia 20-01-2013 o 23:30:01 Maciej Sobczak <s...@g...com>
napisał(a):
> A po co?
Po to, żeby się administratorzy/programiści nie naśmiewali z haseł
użytkowników, jak już je sobie odkodują i podejrzą. A tak poważniej, to
dlatego, że ludzie mają tendencję do używania jednego hasła do wielu
systemów, i wtedy jeden nieuczciwy administrator/programista może
spowodować szkody dla użytkownika poza jurysdykcją swojego systemu. Bo w
swoim nie namiesza, bo mu pracodawca dyscyplinarkę wręczy.
Poza tym - dziwne pytania zadajesz. Skoro ludzie opracowują algorytmy
challenge-respone po to, żeby *systemy* *między* *sobą* nie wymieniały się
jawnymi hasłami, to dlaczego w takim przypadku hasła miałby by być
trzymane de facto *jawnym* *tekstem* w bazie?
--
Boguś
/Każdy skutek ma swoją przyczynę/
-
8. Data: 2013-01-21 23:37:57
Temat: Re: kodowanie haseł
Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
On 2013-01-20, bartekltg <b...@g...com> wrote:
> W dniu 2013-01-20 17:55, identyfikator: 20040501 pisze:
>> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła?
>> tak, żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu
>> prawidłowego hasła, dało sie uwierzytelnić?
>
>
> SHA-2( MD5 ( hasło XOR 'Wlazłkoteknapłotek') XOR 'Szładzieweczkado')
>
> http://pl.wikipedia.org/wiki/Kategoria:Funkcje_skr%C
3%B3tu
Kolejny "inszynier", który próbuje się bawić kryptografią na własną
rękę. Jak Daniel Janus
w <c...@g...com
> wskazał, bcrypt,
a nie ręczne papranie.
Hasz do haseł ma być *wolny*, zupełnie odwrotnie niż uniwersalna funkcja
skrótu.
--
Secunia non olet.
Stanislaw Klekot
-
9. Data: 2013-01-21 23:46:29
Temat: Re: kodowanie haseł
Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
On 2013-01-20, Maciej Sobczak <s...@g...com> wrote:
> W dniu niedziela, 20 stycznia 2013 17:55:22 UTC+1 użytkownik identyfikator:
20040501 napisał:
>
>> może Ktoś mnie naprowadzić na jednostronną procedurę kodowania hasła? tak,
>> żeby po zakodowaniu nie dało się odkodować, ale po zakodowaniu prawidłowego
>> hasła, dało sie uwierzytelnić?
Dla naprostowania, bo identyfikator -- jak to on zwykle -- popieprzył
terminologię:
* funkcja może być jednokierunkowa, inaczej nieodwracalna, a nie
"jednostronna" (lewostronna? górnostronna?)
* liczenie hasza nie jest procesem kodowania (nie da się hasza
"zdekodować" do oryginalnego wejścia)
> A po co?
>
> (naiwne odpowiedzi znam, więc proszę o te poważne)
Ano po to, Maćku, żeby utrata bazy haseł użytkowników z jednej
aplikacji czy serwisie nie prowadziła (zbyt łatwo) do kompromitacji kont
tych samych ludzi w innych serwisach.
Normą jest, że użytkownicy korzystają w kółko z tych samych haseł, a to
do gmaila, a to do forów dyskusyjnych, do fejsbóka, do serwisów z grami
i tak dalej.
Niestety społeczeństwo mamy (my, znaczy świat) informatycznie
niedouczone. Ludzie nie rozumieją zagrożeń wynikających z powtarzania
tego samego hasła w wielu miejscach (nie wypracowaliśmy jeszcze intuicji
związanej z internetem), nie wiedzą o istnieniu managerów haseł, nie
umieją z nich korzystać (kopia zapasowa na osobnym medium anyone?).
--
Secunia non olet.
Stanislaw Klekot
-
10. Data: 2013-01-21 23:53:49
Temat: Re: kodowanie haseł
Od: "Stachu 'Dozzie' K." <d...@g...eat.some.screws.spammer.invalid>
On 2013-01-21, Bogusław Szczepanowski <n...@i...net> wrote:
> Dnia 20-01-2013 o 23:30:01 Maciej Sobczak <s...@g...com>
> napisał(a):
>
>> A po co?
[...]
> Poza tym - dziwne pytania zadajesz.
Uzasadnione. Jak rozumiem, Maciek nie ma zbyt dokładnego przygotowania
z bezpieczeństwa IT, a chciał poznać parę rzeczowych argumentów.
Chyba nie chcemy być jak baca? "Cosik mi się widzi, ze wy nie po mądrość
tu przysliście, a w ryj dostać"
> Skoro ludzie opracowują algorytmy
> challenge-respone po to, żeby *systemy* *między* *sobą* nie wymieniały się
> jawnymi hasłami, to dlaczego w takim przypadku hasła miałby by być
> trzymane de facto *jawnym* *tekstem* w bazie?
"Skoro w płatnościach kartami kredytowymi wystarczy numer karty i kod
CVV, to u nas za potwierdzenie hipoteki niech wystarczy nazwisko
i PESEL".
Wyciąganie analogii przy pytaniu "po co?" jest kiepskim pomysłem, bo nie
zawsze wiadomo, że a) jest stosowalna i b) w oryginalnym zjawisku
wszystko jest w porządku.
Maciek oczekiwał konkretnego powodu.
--
Secunia non olet.
Stanislaw Klekot