 Bezpieczeństwo haseł przy użyciu soli |
| Bezpieczeństwo haseł przy użyciu soli |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 1 012 Pomógł: 109 Dołączył: 26.09.2003 Skąd: nexis.pl Ostrzeżenie: (0%) 
 |
Zwykle, dla bezpieczeństwa, trzymamy w bazie danych skrót hasła, utworzony za pomocą md5() bądź sha1(). Z myślą o tęczowych tablicach dopisujemy zwykle dodatkowo tzw. sól, która jest trzymana poza bazą danych, zwykle na serwerze.
Chciałbym jednak zwiększyć bezpieczeństwo również po stronie użytkownika i zastosować mechanizm znany z banków internetowych, czyli odpytywanie użytkownika o wybrane znaki hasła. Aby zastosować taki mechanizm jestem jednak zmuszony zapamiętać każdy znak hasła osobno. Powiedzmy, że w tym celu narzucę maksymalną długość hasła na 16 znaków i stworzę w tabeli bazy danych 16 dodatkowych pól (po 1 dla każdego znaku). Jak ma się jednak w/w sposób do tej sytuacji? Sam skrót to praktycznie żadne zabezpieczenie. Zastosowanie soli już bardziej, ale jest to wciąż bardzo słaby mechanizm. Co zrobić? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 1 012 Pomógł: 109 Dołączył: 26.09.2003 Skąd: nexis.pl Ostrzeżenie: (0%)
|
Póki co przyszło mi na myśl stosowanie bardzo złożonej soli, np. 32 znakowej lub wyższej, indywidualnie dla każdego użytkownika. Sól musiałaby być trzymana oczywiście poza bazą danych, np. na serwerze w pliku tekstowym lub w niezależnej bazie danych.
Wtedy mając hasło typu abcd1234 i sól dRazeV!SAkEpe5UquP7udrap6*re3HuG pamiętamy, tak jak poprzednio proponowałem, skrótu dla każdego znaku oddzielnie: adRazeV!SAkEpe5UquP7udrap6*re3HuG bdRazeV!SAkEpe5UquP7udrap6*re3HuG cdRazeV!SAkEpe5UquP7udrap6*re3HuG ddRazeV!SAkEpe5UquP7udrap6*re3HuG 1dRazeV!SAkEpe5UquP7udrap6*re3HuG 2dRazeV!SAkEpe5UquP7udrap6*re3HuG 3dRazeV!SAkEpe5UquP7udrap6*re3HuG 4dRazeV!SAkEpe5UquP7udrap6*re3HuG Można nawet pójść dalej i stosować różną sól dla każdego znaku i użytkownika (n x n). Wtedy mielibyśmy pewność, że ciąg pusty (np. dla hasła 8 znakowego, pozostałe 8 z 16 znaków) miałby różny skrót dla każdego znaku. Cytat(sztosz @ 3.09.2009, 21:48:40 )  Masz hasło x znaków, haszujesz każdy znak, hasz ma długość n znaków, czyli całe hasło będzie w bazie zapisane w ciągu o długości x*n znaków. Znak trzeci hasła ma hasz y, hasz y zaczyna się dokładnie po n*2 znaków a kończy dokładnie w miejscu n*4 znaków zahaszowanego hasła w bazie danych. Nie ma problemu. Jedyny ew, problem to to że najpierw użytkownik wysyła login, a dopiero po przeładowaniu strony, czy normalnie, czy ramki ajaxem, poszczególne litery hasła losowo wybrane z tego które jest w bazie. Tak więc jest wyjście. Tylko jeśli ktoś zna budowę tego ciągu, to podzieli sobie ten ciąg na poszczególne znaki, a odczytanie skrótu md5() czy też sha1() z jednoznakowego wyrazu to małe piwo. Ten post edytował nexis 3.09.2009, 20:58:46 |
|
|
|
nexis Bezpieczeństwo haseł przy użyciu soli 3.09.2009, 15:36:42 
thek Osobiście nigdy tak nie podchodziłem do sprawy bez... 3.09.2009, 16:16:21 sztosz Akurat dwukierunkowość szyfrowania to nie jest dob... 3.09.2009, 19:17:52 blooregard CytatAkurat dwukierunkowość szyfrowania to nie jes... 3.09.2009, 19:41:13 
phpion Cytat(blooregard @ 3.09.2009, 20:41:1... 3.09.2009, 20:43:13 sztosz Masz hasło x znaków, haszujesz każdy znak, hasz m... 3.09.2009, 20:48:40 blooregard CytatRównie dobrze można trzymać hashe poszczególn... 3.09.2009, 21:04:11 nexis Cytat(blooregard @ 3.09.2009, 22:04:1... 3.09.2009, 21:08:24 blooregard CytatChodzi o to, żeby sposób był bezpieczny nawet... 3.09.2009, 21:22:00 nexis Cytat(blooregard @ 3.09.2009, 22:22:0... 3.09.2009, 21:26:31 blooregard CytatEfekt ma być taki, że po przejęciu kontroli n... 3.09.2009, 21:32:38 nexis Cytat(blooregard @ 3.09.2009, 22:32:3... 3.09.2009, 21:42:52 blooregard CytatWidzi ktoś wady takiego rozwiązania?
No nie, ... 3.09.2009, 21:57:03 thek Zastanawiałem się Nexis nad algorytmem, który dawa... 4.09.2009, 09:34:43 nexis Cytat(thek @ 4.09.2009, 10:34:43 ) Dl... 4.09.2009, 10:40:56 thek Może i tak, ale indywidualna sól dla każdego użytk... 4.09.2009, 12:22:43 nexis Wciąż nie widzę w czym zaprezentowana przez ciebie... 4.09.2009, 12:40:32 thek To przemyśl co da hasło abababab skoro dla każdej ... 4.09.2009, 13:21:41 nexis Cytat(thek @ 4.09.2009, 14:21:41 ) Tw... 4.09.2009, 21:31:05 blooregard CytatBo jeśli dobrze zrozumiałem Twoje rozumowanie... 4.09.2009, 13:34:11 thek Po przeczytaniu posta odnosi się wrażenie, że nie ... 4.09.2009, 14:02:30 thek Ok... Pomińmy więc w dalszych rozważaniach sól sys... 4.09.2009, 22:07:25 nexis Cytat(thek @ 4.09.2009, 23:07:25 ) st... 4.09.2009, 22:38:16 thek CytatPodstaw sobie dowolne hasło pod podany przeze... 5.09.2009, 00:05:41 nexis Cytat(thek @ 5.09.2009, 01:05:41 ) Te... 5.09.2009, 05:51:09 thek Wczoraj w chwili przerwy przejrzałem nasze wypowie... 6.09.2009, 09:45:29 nexis Cytat(thek @ 6.09.2009, 10:45:29 ) Wc... 7.09.2009, 23:14:48 thek Wersja skrócona:
Problem: Algorytm się minimalnie ... 8.09.2009, 21:59:11 nexis Ale po co miałbym kiedykolwiek zmieniać sól dla uż... 8.09.2009, 22:48:50 thek Chodzi mi o sytuacje gdy, przykładowo, zauważyłeś ... 9.09.2009, 09:23:47 nexis Algorytm opracowuje się raz i dobrze. Cała jego id... 9.09.2009, 09:26:42 thek Wiem, że algorytm powinien być napisany raz a dobr... 9.09.2009, 13:04:35  |
|
Aktualny czas: 3.10.2025 - 23:45 |
