 Kilka znaków zamiast całego hasła - jak to działa? |
| Kilka znaków zamiast całego hasła - jak to działa? |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 56 Pomógł: 4 Dołączył: 18.01.2012 Ostrzeżenie: (0%) 
 |
Cześć.
Pewnie większość z Was kojarzy metody logowania na stronach banków. Jest to wykonane w ten sposób, że musimy podać tylko kilka znaków naszego hasła (reszta jest zablokowana, tak jakby już były wpisane). Zastanawiam się w jaki sposób to działa. Zakładam, że hasła są hashowane, więc w jaki sposób porónywane są ciągi, skoro są niekompletne. Nie jest chyba możliwe, że system wie jakie znaki hasła mamy pod daną cyferką (widoczne na obrazku) i uzupełnia ciąg do porównania z hashem. Do tego "szare" pola są generowane losowo. Interesuje mnie zasada działania, nie proszę o żaden gotowy kod etc. Pozdrawiam. (IMG:style_emoticons/default/smile.gif) Wspomniany obrazek: (IMG:http://i.imgur.com/Dbb16Z6.png) |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 890 Pomógł: 339 Dołączył: 14.12.2006 Skąd: Warszawa Ostrzeżenie: (0%)
|
Cofnij się o jeden post i zerknij w linka, którego wkleił redeemer - security by obscurity
Cytat Security through obscurity lub security by obscurity (z ang. bezpieczeństwo poprzez niezrozumiałość) to przykład złych praktyk stosowanych w bezpieczeństwie teleinformatycznym, którego istotą jest ukrywanie detali dotyczących implementacji, formatów i protokołów przed potencjalnymi adwersarzami. Osoby stosujące tę technikę wierzą, że nawet jeśli system posiada luki, nieznajomość błędów uniemożliwia przeprowadzenie ataku. Druga sprawa - jeśli zagłębiłbyś się w treść wątku, zauważyłbyś, że od początku piszemy o stronie backendowej biorąc pod uwagę, że ktoś może wykraść bazę danych. W innym przypadku cała dyskusja nie miałaby sensu, bo hasło można by trzymać w bazie plaintextem. Cytat nadal nie wiem co jest w tym prostszego od jednego globalnego tokena ? Proszę, oto kod dla znanej soli (zapisana w bazie):
Cytat no to ja teraz robie tak, że kazdą litere hasła powiele przez samą siebie np 10 razy Nom, świetny pomysł (IMG:style_emoticons/default/smile.gif) Zamieńmy wszystkie 'a' na 'aaaaaaaaaa'. Problem w tym, że tak samo jak hash(a) = hash(a), tak hash(aaaaaaaaaa) = hash(aaaaaaaaaa) (IMG:style_emoticons/default/wink.gif) Cytat i dodam jeszcze jakąś cyfre (np pozycja w ciągu) Tutaj racja, pozwoli to ograniczyć kolizje do takich samych znaków na tej samej pozycji. Ale też nie widzę problemu, żeby zamiast 'a' sprawdzić 'a1', 'a2', ... 'a20'. Cytat i co teraz ? na stronie będzie działać bo będę mieć odpowiednio napisany skrypt, a ty jak na to wpadniesz ? Patrz wyżej - security by obscurity Cytat wykradzioną bazę danych to Ty sobie dodałeś. Zazwyczaj pierwsza linią ataku jest sam formularz no ale co tam ;p widocznie łatwiej jest ukraść bazę ;p To po co przejmować się w ogóle jakimkolwiek hashowaniem? (IMG:style_emoticons/default/smile.gif) Trzymaj hasła w plaintext i cześć (IMG:style_emoticons/default/wink.gif) Ten post edytował sowiq 18.07.2013, 12:13:58 |
|
|
|
NetBeans Kilka znaków zamiast całego hasła - jak to działa? 13.07.2013, 11:18:13 
b4rt3kk Rzeczywiście, hasło na pewno nie jest przechowywan... 13.07.2013, 11:42:58 NetBeans Tak, ale hashe dla każdego znaku z tablicy ASCII (... 13.07.2013, 11:56:41 
b4rt3kk Cytat(NetBeans @ 13.07.2013, 12:56:41... 13.07.2013, 13:16:55 pyro Hasło: przykładowo X znaków
czyli X wpisów do tab... 13.07.2013, 12:09:41 adamantd Ciekawe
A może tak.
1. rejestrujesz się do system... 13.07.2013, 12:12:40 NetBeans Faktycznie, jedynie soląc hashe znaków byłoby to w... 13.07.2013, 14:36:35 gitbejbe tak jak piszecie powyżej.
Systemy bankowe mają t... 14.07.2013, 10:45:00 pyro Warto dodać, że sól powinna być wyłącznie zahardco... 16.07.2013, 10:15:14 drPayton Cytat(pyro @ 16.07.2013, 11:15:14 ) W... 16.07.2013, 20:55:04 pyro Cytat(drPayton @ 16.07.2013, 21:55:04... 17.07.2013, 07:12:25 drPayton Cytat(pyro @ 17.07.2013, 08:12:25 ) N... 17.07.2013, 09:19:18 Sephirus Włączę się bo widzę pewną potencjalną lukę. Przy t... 17.07.2013, 07:38:40 pyro Cześć.
Mając trochę doświadczenie w temacie racze... 17.07.2013, 08:09:00 b4rt3kk Jakby solą był np. login użytkownika (lub kilka zn... 17.07.2013, 08:14:24 Sephirus @pyro
Wyobraź sobie, że wyobrażam (zauważ, że mó... 17.07.2013, 08:16:25 pyro @Sephirus, według Twojego toku myślenia jak włamyw... 17.07.2013, 08:22:14 sowiq Koledzy, wtrącę się i ja, bo kiedyś myślałem o tak... 17.07.2013, 08:23:57 pyro Cytat(sowiq @ 17.07.2013, 09:23:57 ) ... 17.07.2013, 08:31:43 sowiq Cytat(pyro @ 17.07.2013, 09:31:43 ) C... 17.07.2013, 08:33:35 gitbejbe @sowiq
tak przeczytałem, Twój post również. Stwie... 18.07.2013, 06:33:51 sowiq @gitbejbe,
Na początku zaznaczę dla pewności, że p... 18.07.2013, 08:23:16 Sephirus @pyro - nie mam zamiaru się z Tobą kłócić o to czy... 17.07.2013, 08:32:50 pyro @Sephirus, chyba należy doprecyzować o jakim przyp... 17.07.2013, 08:41:13 Sephirus @up
Masz rację, że mając taki dostęp można zrobić... 17.07.2013, 08:48:55 sowiq @pyro, rzeczy, o których pisałem, tyczą się kodowa... 17.07.2013, 08:50:37 buliq Algorytm może tworzyć zasolony (każdy znak, inna s... 17.07.2013, 08:59:25 sowiq Ucinanie hasha to osłabianie szyfrowania - większa... 17.07.2013, 09:07:36 buliq Cytat(sowiq @ 17.07.2013, 10:07:36 ) ... 17.07.2013, 09:41:55 pyro Cytat(sowiq @ 17.07.2013, 09:50:37 ) ... 17.07.2013, 09:43:09 sowiq Cytat(pyro @ 17.07.2013, 10:43:09 ) C... 17.07.2013, 09:52:25 pyro Przecież mówimy dokładnie o tym samym.
Cytat(sow... 17.07.2013, 09:55:42 drPayton Cytat(pyro @ 17.07.2013, 10:43:09 ) (... 17.07.2013, 21:21:55 redeemer Pozwólcie, że wtrącę moje trzy grosze na temat ... 17.07.2013, 09:56:42 pyro Cytat(redeemer @ 17.07.2013, 10:56:42... 17.07.2013, 10:00:15 redeemer @pyro: chodziło mi o to, że ktoś wcześniej napisał... 17.07.2013, 10:15:09 pyro Sorry miałem na myśli "przed i po", ale ... 17.07.2013, 10:18:27 gitbejbe nie wiem nad czym się tutaj rozczulać. Dobrze prze... 17.07.2013, 11:46:04 sowiq @gitbejbe, przeczytałeś wątek? Tu nie chodzi o tak... 17.07.2013, 12:23:38 NetBeans Nie piszę ani systemu bankowego, ani nie mam zamia... 18.07.2013, 08:49:10 redeemer @pyro: Podałem tylko przykład, że pobrana sól z ba... 18.07.2013, 09:58:43 gitbejbe CytatBardzo chętnie dowiem się dlaczego
nadal nie... 18.07.2013, 11:04:09 Crozin @NetBeans: Przede wszystkim nie powinieneś w ogóle... 18.07.2013, 12:23:31 phpion Cytat(Crozin @ 18.07.2013, 13:23:31 )... 18.07.2013, 12:28:43 Crozin CytatW przypadku zainstalowania jakiegoś keylogger... 18.07.2013, 12:42:56 Damonsson A co z czymś takim:
Hasło: alamakota
Hash hasła... 18.07.2013, 12:48:35 redeemer Cytat(Damonsson @ 18.07.2013, 13:48:3... 18.07.2013, 12:52:09 nospor CytatSkrypt PHP, przekazujący litery z pozycjami, ... 18.07.2013, 12:51:43 freemp3 Cytat(Crozin @ 18.07.2013, 13:42:56 )... 18.07.2013, 12:56:32 phpion @Damonsson:
Pomysł moim zdaniem chybiony właśnie z... 18.07.2013, 12:57:33 Damonsson Przy 0 znakach ok, szukałby w nieskończoność pewni... 18.07.2013, 13:00:54 redeemer Cytat(Damonsson @ 18.07.2013, 14:00:5... 18.07.2013, 13:15:16 nospor @Damonsson ale zrozum, ze Twoim sposobem Ty napraw... 18.07.2013, 13:03:10 NetBeans Również zastanawiałem się nad bezpieczeństwem taki... 18.07.2013, 13:10:48 Damonsson No to mój pomysł można włożyć między książki fanta... 18.07.2013, 13:27:20 Crozin CytatPrzy okazji, algorytmy dostarczane przez funk... 18.07.2013, 13:30:09 freemp3 CytatNie chce mi się wierzyć, że banki trzymają ha... 18.07.2013, 13:54:33 NetBeans No dobra, przekonaliście mnie, ale co z tą solą, o... 18.07.2013, 14:03:01  |
|
Aktualny czas: 5.10.2025 - 01:20 |
