Kilka znaków zamiast całego hasła - jak to działa?

Kilka znaków zamiast całego hasła - jak to działa?

NetBeans Zobacz profil	13.07.2013, 11:18:13 Post #1
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%)	Cześć. Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png)

Odpowiedzi

pyro Zobacz profil	16.07.2013, 10:15:14 Post #2
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Warto dodać, że sól powinna być wyłącznie zahardcodowana w skrypcie, a nie w bazie danych tak jak np. to się podaje w każdym wierszu userów w ich tabeli.

drPayton Zobacz profil	16.07.2013, 20:55:04 Post #3
Grupa: Zarejestrowani Postów: 890 Pomógł: 65 Dołączył: 13.11.2005 Skąd: Olsztyn Ostrzeżenie: (0%)	Cytat(pyro @ 16.07.2013, 11:15:14 ) Warto dodać, że sól powinna być wyłącznie zahardcodowana w skrypcie, a nie w bazie danych tak jak np. to się podaje w każdym wierszu userów w ich tabeli. Chyba, że każde hasło (czy ogólnie: każdy hashowany string) ma osobną sól. Wówczas nie ma innej opcji jak zapisywanie ich w bazie a potencjalny "kradziej" bazy danych, nie mając kodu i tak nie wie jak sól jest używana... (a jak kod ma to i hardcodowaną w nim sól (IMG:style_emoticons/default/wink.gif)

pyro Zobacz profil	17.07.2013, 07:12:25 Post #4
Grupa: Zarejestrowani Postów: 2 148 Pomógł: 230 Dołączył: 26.03.2008 Ostrzeżenie: (0%)	Cytat(drPayton @ 16.07.2013, 21:55:04 ) Chyba, że każde hasło (czy ogólnie: każdy hashowany string) ma osobną sól. Wówczas nie ma innej opcji jak zapisywanie ich w bazie a potencjalny "kradziej" bazy danych, nie mając kodu i tak nie wie jak sól jest używana... (a jak kod ma to i hardcodowaną w nim sól (IMG:style_emoticons/default/wink.gif) No tak... bo komu by się chciało poświęcić setki godzin aby sprawdzić, czy litera jest hashowana tak: 'a'.'UltraSol' Czy tak: 'UltraSol'.'a' Proszę o przemyślenie sprawy przed napisaniem kolejnego postu tego typu. Ten post edytował pyro 17.07.2013, 07:12:51

drPayton Zobacz profil	17.07.2013, 09:19:18 Post #5
Grupa: Zarejestrowani Postów: 890 Pomógł: 65 Dołączył: 13.11.2005 Skąd: Olsztyn Ostrzeżenie: (0%)	Cytat(pyro @ 17.07.2013, 08:12:25 ) No tak... bo komu by się chciało poświęcić setki godzin aby sprawdzić, czy litera jest hashowana tak: 'a'.'UltraSol' Czy tak: 'UltraSol'.'a' Proszę o przemyślenie sprawy przed napisaniem kolejnego postu tego typu. Pomyśl, ale Ty. Dlaczego uważasz, że tylko takie dwie możliwości są? Aczkolwiek oczywiście faktem jest, że nie jest to rozwiązanie najlepsze. No ale tego też nie pisałem (IMG:style_emoticons/default/snitch.gif) Ten post edytował drPayton 17.07.2013, 09:21:00

Posty w temacie

NetBeans Kilka znaków zamiast całego hasła - jak to działa? 13.07.2013, 11:18:13

b4rt3kk Rzeczywiście, hasło na pewno nie jest przechowywan... 13.07.2013, 11:42:58

NetBeans Tak, ale hashe dla każdego znaku z tablicy ASCII (... 13.07.2013, 11:56:41

b4rt3kk Cytat(NetBeans @ 13.07.2013, 12:56:41... 13.07.2013, 13:16:55

pyro Hasło: przykładowo X znaków czyli X wpisów do tab... 13.07.2013, 12:09:41

adamantd Ciekawe A może tak. 1. rejestrujesz się do system... 13.07.2013, 12:12:40

NetBeans Faktycznie, jedynie soląc hashe znaków byłoby to w... 13.07.2013, 14:36:35

gitbejbe tak jak piszecie powyżej. Systemy bankowe mają t... 14.07.2013, 10:45:00

pyro Warto dodać, że sól powinna być wyłącznie zahardco... 16.07.2013, 10:15:14

drPayton Cytat(pyro @ 16.07.2013, 11:15:14 ) W... 16.07.2013, 20:55:04

pyro Cytat(drPayton @ 16.07.2013, 21:55:04... 17.07.2013, 07:12:25

drPayton Cytat(pyro @ 17.07.2013, 08:12:25 ) N... 17.07.2013, 09:19:18

Sephirus Włączę się bo widzę pewną potencjalną lukę. Przy t... 17.07.2013, 07:38:40

pyro Cześć. Mając trochę doświadczenie w temacie racze... 17.07.2013, 08:09:00

b4rt3kk Jakby solą był np. login użytkownika (lub kilka zn... 17.07.2013, 08:14:24

Sephirus @pyro Wyobraź sobie, że wyobrażam (zauważ, że mó... 17.07.2013, 08:16:25

pyro @Sephirus, według Twojego toku myślenia jak włamyw... 17.07.2013, 08:22:14

sowiq Koledzy, wtrącę się i ja, bo kiedyś myślałem o tak... 17.07.2013, 08:23:57

pyro Cytat(sowiq @ 17.07.2013, 09:23:57 ) ... 17.07.2013, 08:31:43

sowiq Cytat(pyro @ 17.07.2013, 09:31:43 ) C... 17.07.2013, 08:33:35

gitbejbe @sowiq tak przeczytałem, Twój post również. Stwie... 18.07.2013, 06:33:51

sowiq @gitbejbe, Na początku zaznaczę dla pewności, że p... 18.07.2013, 08:23:16

Sephirus @pyro - nie mam zamiaru się z Tobą kłócić o to czy... 17.07.2013, 08:32:50

pyro @Sephirus, chyba należy doprecyzować o jakim przyp... 17.07.2013, 08:41:13

Sephirus @up Masz rację, że mając taki dostęp można zrobić... 17.07.2013, 08:48:55

sowiq @pyro, rzeczy, o których pisałem, tyczą się kodowa... 17.07.2013, 08:50:37

buliq Algorytm może tworzyć zasolony (każdy znak, inna s... 17.07.2013, 08:59:25

sowiq Ucinanie hasha to osłabianie szyfrowania - większa... 17.07.2013, 09:07:36

buliq Cytat(sowiq @ 17.07.2013, 10:07:36 ) ... 17.07.2013, 09:41:55

pyro Cytat(sowiq @ 17.07.2013, 09:50:37 ) ... 17.07.2013, 09:43:09

sowiq Cytat(pyro @ 17.07.2013, 10:43:09 ) C... 17.07.2013, 09:52:25

pyro Przecież mówimy dokładnie o tym samym. Cytat(sow... 17.07.2013, 09:55:42

drPayton Cytat(pyro @ 17.07.2013, 10:43:09 ) (... 17.07.2013, 21:21:55

redeemer Pozwólcie, że wtrącę moje trzy grosze na temat ... 17.07.2013, 09:56:42

pyro Cytat(redeemer @ 17.07.2013, 10:56:42... 17.07.2013, 10:00:15

redeemer @pyro: chodziło mi o to, że ktoś wcześniej napisał... 17.07.2013, 10:15:09

pyro Sorry miałem na myśli "przed i po", ale ... 17.07.2013, 10:18:27

gitbejbe nie wiem nad czym się tutaj rozczulać. Dobrze prze... 17.07.2013, 11:46:04

sowiq @gitbejbe, przeczytałeś wątek? Tu nie chodzi o tak... 17.07.2013, 12:23:38

NetBeans Nie piszę ani systemu bankowego, ani nie mam zamia... 18.07.2013, 08:49:10

redeemer @pyro: Podałem tylko przykład, że pobrana sól z ba... 18.07.2013, 09:58:43

gitbejbe CytatBardzo chętnie dowiem się dlaczego nadal nie... 18.07.2013, 11:04:09

sowiq Cofnij się o jeden post i zerknij w linka, którego... 18.07.2013, 11:40:34

Crozin @NetBeans: Przede wszystkim nie powinieneś w ogóle... 18.07.2013, 12:23:31

phpion Cytat(Crozin @ 18.07.2013, 13:23:31 )... 18.07.2013, 12:28:43

Crozin CytatW przypadku zainstalowania jakiegoś keylogger... 18.07.2013, 12:42:56

Damonsson A co z czymś takim: Hasło: alamakota Hash hasła... 18.07.2013, 12:48:35

redeemer Cytat(Damonsson @ 18.07.2013, 13:48:3... 18.07.2013, 12:52:09

nospor CytatSkrypt PHP, przekazujący litery z pozycjami, ... 18.07.2013, 12:51:43

freemp3 Cytat(Crozin @ 18.07.2013, 13:42:56 )... 18.07.2013, 12:56:32

phpion @Damonsson: Pomysł moim zdaniem chybiony właśnie z... 18.07.2013, 12:57:33

Damonsson Przy 0 znakach ok, szukałby w nieskończoność pewni... 18.07.2013, 13:00:54

redeemer Cytat(Damonsson @ 18.07.2013, 14:00:5... 18.07.2013, 13:15:16

nospor @Damonsson ale zrozum, ze Twoim sposobem Ty napraw... 18.07.2013, 13:03:10

NetBeans Również zastanawiałem się nad bezpieczeństwem taki... 18.07.2013, 13:10:48

Damonsson No to mój pomysł można włożyć między książki fanta... 18.07.2013, 13:27:20

Crozin CytatPrzy okazji, algorytmy dostarczane przez funk... 18.07.2013, 13:30:09

freemp3 CytatNie chce mi się wierzyć, że banki trzymają ha... 18.07.2013, 13:54:33

NetBeans No dobra, przekonaliście mnie, ale co z tą solą, o... 18.07.2013, 14:03:01

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Forum PHP.pl