 Bezpieczeństwo haseł przy użyciu soli |
| Bezpieczeństwo haseł przy użyciu soli |
 
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 1 012 Pomógł: 109 Dołączył: 26.09.2003 Skąd: nexis.pl Ostrzeżenie: (0%) 
 |
Zwykle, dla bezpieczeństwa, trzymamy w bazie danych skrót hasła, utworzony za pomocą md5() bądź sha1(). Z myślą o tęczowych tablicach dopisujemy zwykle dodatkowo tzw. sól, która jest trzymana poza bazą danych, zwykle na serwerze.
Chciałbym jednak zwiększyć bezpieczeństwo również po stronie użytkownika i zastosować mechanizm znany z banków internetowych, czyli odpytywanie użytkownika o wybrane znaki hasła. Aby zastosować taki mechanizm jestem jednak zmuszony zapamiętać każdy znak hasła osobno. Powiedzmy, że w tym celu narzucę maksymalną długość hasła na 16 znaków i stworzę w tabeli bazy danych 16 dodatkowych pól (po 1 dla każdego znaku). Jak ma się jednak w/w sposób do tej sytuacji? Sam skrót to praktycznie żadne zabezpieczenie. Zastosowanie soli już bardziej, ale jest to wciąż bardzo słaby mechanizm. Co zrobić? |
 |
 
|
 |
|
Post
#2
|
|
|
Newsman Grupa: Moderatorzy Postów: 2 033 Pomógł: 290 Dołączył: 21.12.2007 Skąd: Łódź |
Cytat Efekt ma być taki, że po przejęciu kontroli nad serwerem ze skryptami, atakujący nie jest w stanie odczytać haseł i tak samo nie będzie w stanie ich odczytać po przejęciu kontroli nad bazą danych. Chyba, że przejmie kontrolę nad oboma serwerami. Wtedy pozamiatane. |
|
|
|
nexis Bezpieczeństwo haseł przy użyciu soli 3.09.2009, 15:36:42 
thek Osobiście nigdy tak nie podchodziłem do sprawy bez... 3.09.2009, 16:16:21 sztosz Akurat dwukierunkowość szyfrowania to nie jest dob... 3.09.2009, 19:17:52 blooregard CytatAkurat dwukierunkowość szyfrowania to nie jes... 3.09.2009, 19:41:13 
phpion Cytat(blooregard @ 3.09.2009, 20:41:1... 3.09.2009, 20:43:13 sztosz Masz hasło x znaków, haszujesz każdy znak, hasz m... 3.09.2009, 20:48:40 nexis Póki co przyszło mi na myśl stosowanie bardzo złoż... 3.09.2009, 20:57:38 blooregard CytatRównie dobrze można trzymać hashe poszczególn... 3.09.2009, 21:04:11 nexis Cytat(blooregard @ 3.09.2009, 22:04:1... 3.09.2009, 21:08:24 blooregard CytatChodzi o to, żeby sposób był bezpieczny nawet... 3.09.2009, 21:22:00 nexis Cytat(blooregard @ 3.09.2009, 22:22:0... 3.09.2009, 21:26:31 nexis Cytat(blooregard @ 3.09.2009, 22:32:3... 3.09.2009, 21:42:52 blooregard CytatWidzi ktoś wady takiego rozwiązania?
No nie, ... 3.09.2009, 21:57:03 thek Zastanawiałem się Nexis nad algorytmem, który dawa... 4.09.2009, 09:34:43 nexis Cytat(thek @ 4.09.2009, 10:34:43 ) Dl... 4.09.2009, 10:40:56 thek Może i tak, ale indywidualna sól dla każdego użytk... 4.09.2009, 12:22:43 nexis Wciąż nie widzę w czym zaprezentowana przez ciebie... 4.09.2009, 12:40:32 thek To przemyśl co da hasło abababab skoro dla każdej ... 4.09.2009, 13:21:41 nexis Cytat(thek @ 4.09.2009, 14:21:41 ) Tw... 4.09.2009, 21:31:05 blooregard CytatBo jeśli dobrze zrozumiałem Twoje rozumowanie... 4.09.2009, 13:34:11 thek Po przeczytaniu posta odnosi się wrażenie, że nie ... 4.09.2009, 14:02:30 thek Ok... Pomińmy więc w dalszych rozważaniach sól sys... 4.09.2009, 22:07:25 nexis Cytat(thek @ 4.09.2009, 23:07:25 ) st... 4.09.2009, 22:38:16 thek CytatPodstaw sobie dowolne hasło pod podany przeze... 5.09.2009, 00:05:41 nexis Cytat(thek @ 5.09.2009, 01:05:41 ) Te... 5.09.2009, 05:51:09 thek Wczoraj w chwili przerwy przejrzałem nasze wypowie... 6.09.2009, 09:45:29 nexis Cytat(thek @ 6.09.2009, 10:45:29 ) Wc... 7.09.2009, 23:14:48 thek Wersja skrócona:
Problem: Algorytm się minimalnie ... 8.09.2009, 21:59:11 nexis Ale po co miałbym kiedykolwiek zmieniać sól dla uż... 8.09.2009, 22:48:50 thek Chodzi mi o sytuacje gdy, przykładowo, zauważyłeś ... 9.09.2009, 09:23:47 nexis Algorytm opracowuje się raz i dobrze. Cała jego id... 9.09.2009, 09:26:42 thek Wiem, że algorytm powinien być napisany raz a dobr... 9.09.2009, 13:04:35  |
|
Aktualny czas: 15.09.2025 - 17:35 |
