 Kilka znaków zamiast całego hasła - jak to działa? |
| Kilka znaków zamiast całego hasła - jak to działa? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%) 
 |
Cześć.
Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 527 Pomógł: 438 Dołączył: 28.06.2011 Skąd: Warszawa Ostrzeżenie: (0%)
|
@up
Masz rację, że mając taki dostęp można zrobić "wszystko". Ale jeśli pracujesz na bazie która ma już X klientów to ich haseł nie odzyskasz (chyba że będą je zmieniali i wrzucisz tam "swój skrypt"). Wiele przypadków wycieku informacji (jeśli nie większość - nawet w PL) wynikała albo ze złych zamiarów samych pracowników albo z ich głupoty (zapisanie gdzieś hasła do FTP, używanie programu XXX do FTP/SSH który wysyła sobie gdzieś hasło itd. itp. Tak czy owak taki dostęp mógłbyć z wewnątrz lub niechcący z zewnątrz. Jeśli byłby z zewnątrz to w takim układzie kodowania haseł wystarczy "skopiować" to co nas interesuje zostawiając po sobie tylko parę linijek w logu... Wrzucanie swoich skryptów jest już bardziej ryzykowne - bo lepiej wykrywalne - chociażby mechanizm wersjonowania krzyknie że jest jakiś konflikt. Więc tutaj poszła by zmiana dostępów i usunięcie tego kodu. Moje zdanie jest takie, że dla mnie jest to proste do odkodowania. Jeśli tak jest to jest potencjalnie możliwy wyciek wewnętrzny. Dla mnie to nie do zaakceptowania. Toteż uważam, że muszą to robić nieco inaczej albo nikt nie pomyślał o tym co napisałem (w co bardzo wątpie). Innymi słowy - te podawanie literek wybranych z haseł musi być nieco bardziej zamotane IMO. W innych aspektach w pełni się z Tobą zgadzam bo masz rację. Mam nieco bzika na punkcie bezp. wew. stąd takie czepianie się (IMG:style_emoticons/default/wink.gif) Popieram Cię także, że nie da się z "e152c000118ddbc4b372c6e1d8289696662de535993269e715348f02f9b4f238" wyciągnać literki jaką tam wrzuciłeś zbyt szybko (w tym roku, życiu). Metody statystyczne odpadają - opierają się one naogół na danym jezyku - więc zakładają jakieś konkretne używanie danych literek co dla losowej soli jest bzdurą. Metody słownikowe też odpadają. Ten post edytował Sephirus 17.07.2013, 08:52:07 |
|
|
|
NetBeans Kilka znaków zamiast całego hasła - jak to działa? 13.07.2013, 11:18:13 
b4rt3kk Rzeczywiście, hasło na pewno nie jest przechowywan... 13.07.2013, 11:42:58 NetBeans Tak, ale hashe dla każdego znaku z tablicy ASCII (... 13.07.2013, 11:56:41 
b4rt3kk Cytat(NetBeans @ 13.07.2013, 12:56:41... 13.07.2013, 13:16:55 pyro Hasło: przykładowo X znaków
czyli X wpisów do tab... 13.07.2013, 12:09:41 adamantd Ciekawe
A może tak.
1. rejestrujesz się do system... 13.07.2013, 12:12:40 NetBeans Faktycznie, jedynie soląc hashe znaków byłoby to w... 13.07.2013, 14:36:35 gitbejbe tak jak piszecie powyżej.
Systemy bankowe mają t... 14.07.2013, 10:45:00 pyro Warto dodać, że sól powinna być wyłącznie zahardco... 16.07.2013, 10:15:14 drPayton Cytat(pyro @ 16.07.2013, 11:15:14 ) W... 16.07.2013, 20:55:04 pyro Cytat(drPayton @ 16.07.2013, 21:55:04... 17.07.2013, 07:12:25 drPayton Cytat(pyro @ 17.07.2013, 08:12:25 ) N... 17.07.2013, 09:19:18 Sephirus Włączę się bo widzę pewną potencjalną lukę. Przy t... 17.07.2013, 07:38:40 pyro Cześć.
Mając trochę doświadczenie w temacie racze... 17.07.2013, 08:09:00 b4rt3kk Jakby solą był np. login użytkownika (lub kilka zn... 17.07.2013, 08:14:24 Sephirus @pyro
Wyobraź sobie, że wyobrażam (zauważ, że mó... 17.07.2013, 08:16:25 pyro @Sephirus, według Twojego toku myślenia jak włamyw... 17.07.2013, 08:22:14 sowiq Koledzy, wtrącę się i ja, bo kiedyś myślałem o tak... 17.07.2013, 08:23:57 pyro Cytat(sowiq @ 17.07.2013, 09:23:57 ) ... 17.07.2013, 08:31:43 sowiq Cytat(pyro @ 17.07.2013, 09:31:43 ) C... 17.07.2013, 08:33:35 gitbejbe @sowiq
tak przeczytałem, Twój post również. Stwie... 18.07.2013, 06:33:51 sowiq @gitbejbe,
Na początku zaznaczę dla pewności, że p... 18.07.2013, 08:23:16 Sephirus @pyro - nie mam zamiaru się z Tobą kłócić o to czy... 17.07.2013, 08:32:50 pyro @Sephirus, chyba należy doprecyzować o jakim przyp... 17.07.2013, 08:41:13 sowiq @pyro, rzeczy, o których pisałem, tyczą się kodowa... 17.07.2013, 08:50:37 buliq Algorytm może tworzyć zasolony (każdy znak, inna s... 17.07.2013, 08:59:25 sowiq Ucinanie hasha to osłabianie szyfrowania - większa... 17.07.2013, 09:07:36 buliq Cytat(sowiq @ 17.07.2013, 10:07:36 ) ... 17.07.2013, 09:41:55 pyro Cytat(sowiq @ 17.07.2013, 09:50:37 ) ... 17.07.2013, 09:43:09 sowiq Cytat(pyro @ 17.07.2013, 10:43:09 ) C... 17.07.2013, 09:52:25 pyro Przecież mówimy dokładnie o tym samym.
Cytat(sow... 17.07.2013, 09:55:42 drPayton Cytat(pyro @ 17.07.2013, 10:43:09 ) (... 17.07.2013, 21:21:55 redeemer Pozwólcie, że wtrącę moje trzy grosze na temat ... 17.07.2013, 09:56:42 pyro Cytat(redeemer @ 17.07.2013, 10:56:42... 17.07.2013, 10:00:15 redeemer @pyro: chodziło mi o to, że ktoś wcześniej napisał... 17.07.2013, 10:15:09 pyro Sorry miałem na myśli "przed i po", ale ... 17.07.2013, 10:18:27 gitbejbe nie wiem nad czym się tutaj rozczulać. Dobrze prze... 17.07.2013, 11:46:04 sowiq @gitbejbe, przeczytałeś wątek? Tu nie chodzi o tak... 17.07.2013, 12:23:38 NetBeans Nie piszę ani systemu bankowego, ani nie mam zamia... 18.07.2013, 08:49:10 redeemer @pyro: Podałem tylko przykład, że pobrana sól z ba... 18.07.2013, 09:58:43 gitbejbe CytatBardzo chętnie dowiem się dlaczego
nadal nie... 18.07.2013, 11:04:09 sowiq Cofnij się o jeden post i zerknij w linka, którego... 18.07.2013, 11:40:34 Crozin @NetBeans: Przede wszystkim nie powinieneś w ogóle... 18.07.2013, 12:23:31 phpion Cytat(Crozin @ 18.07.2013, 13:23:31 )... 18.07.2013, 12:28:43 Crozin CytatW przypadku zainstalowania jakiegoś keylogger... 18.07.2013, 12:42:56 Damonsson A co z czymś takim:
Hasło: alamakota
Hash hasła... 18.07.2013, 12:48:35 redeemer Cytat(Damonsson @ 18.07.2013, 13:48:3... 18.07.2013, 12:52:09 nospor CytatSkrypt PHP, przekazujący litery z pozycjami, ... 18.07.2013, 12:51:43 freemp3 Cytat(Crozin @ 18.07.2013, 13:42:56 )... 18.07.2013, 12:56:32 phpion @Damonsson:
Pomysł moim zdaniem chybiony właśnie z... 18.07.2013, 12:57:33 Damonsson Przy 0 znakach ok, szukałby w nieskończoność pewni... 18.07.2013, 13:00:54 redeemer Cytat(Damonsson @ 18.07.2013, 14:00:5... 18.07.2013, 13:15:16 nospor @Damonsson ale zrozum, ze Twoim sposobem Ty napraw... 18.07.2013, 13:03:10 NetBeans Również zastanawiałem się nad bezpieczeństwem taki... 18.07.2013, 13:10:48 Damonsson No to mój pomysł można włożyć między książki fanta... 18.07.2013, 13:27:20 Crozin CytatPrzy okazji, algorytmy dostarczane przez funk... 18.07.2013, 13:30:09 freemp3 CytatNie chce mi się wierzyć, że banki trzymają ha... 18.07.2013, 13:54:33 NetBeans No dobra, przekonaliście mnie, ale co z tą solą, o... 18.07.2013, 14:03:01  |
|
Aktualny czas: 6.10.2025 - 00:20 |
