briedis Posted April 16, 2010 Report Share Posted April 16, 2010 šoreiz nebiju domājis savu kriptošanu, bet gan otro variantu. jo reāli uzreiz māc šaubas par to vai vispār ir kaut kas droši :\ visu laiku ari tagad par to lauzu galvu... kāda jēga no md5(sha1($salt . $password). $password . $salt), ja piem. ļaundaris zin viņu + tiek pie db, tad wtf! oO vaks vien ir.. tās pašas cms visas.. viņām tak visu laiku tā paroļu kriptošana notiek pēc viena un tā paša principa.. ja ļaunie spēki to jau sen ir izpētījuši un viņu nagos nonāk parole no db, tad ir sāpe.. palasīšu Tevis dotos rakstus.. varbūt apskaidrošos.. Bet kāpēc lai ļaundaris zinātu hardkodētu sāli + spēj tikt pie db? Tāpēc jau tev ir jādara viss kas tavos spēkos, lai ļaundaris nedabūtu tavu paroli un netiktu klāt failiem (te ļoti lielu lomu spēlē arī hostinga drošība). Tāpēc jau ir vajadzīgi droši datu centri, šifrēta paroļu pārsūtīšana, antivīrusi lai ķertu paroļu zogošus keylogerus, un vēl visāda varza rīku, kas sargā no tevis pieminētā ļaundara... Quote Link to comment Share on other sites More sharing options...
Aleksejs Posted April 16, 2010 Report Share Posted April 16, 2010 @ezis: Ļaundaris jau nezina paroli. Kriptosistēmu veidošanā ir svarīgas tā sauktās Kērkhofa prasības, no kurām šajā kontekstā ir svarīgākā šī: 2) "Compromise of the system details should not inconvenience the correspondents." - jeb "Sistēmas uzbūves detaļu uzzināšanai nav jāietekmē sakaru drošība" Izvēloties aizsardzības metodi parolēm datu bāzē jārēķinās ar pesimistisko prognozi, ka tādā vai citādā veidā uzbrucējs varētu dabūt savā rīcībā datu bāzes kopiju. Līdz ar to uzdevums ir: 1) Apgrūtināt katras atsevišķās paroles uzminēšanu (glabāt paroles transformetā veidā - parasti transformācija irkriptogrāfiski droša jaucējfunkcija) 2) Apgrūtināt vienādo paroļu atrašanu (dažādiem lietotājiem izvēlēties dažādu transformāciju - parasti to dara pievienojot klāt sāli) 3) Apgrūtināt iegūtās informācijas izmantošanu citur (lietotājiem raksturīgi izmantot vienu un to pašu paroli daudzviet) 4) Zinot, ka lietotājiem raksturīgi izvēlēties vājas paroles, lai apgrūtinātu vārdnīcas uzbrukumu, padarīt paroles variantu pārlasi resursietilpīgāku (šajā vietā sāk runāt par key stretching utt..) Quote Link to comment Share on other sites More sharing options...
ezis Posted April 16, 2010 Report Share Posted April 16, 2010 Tāpēc jau tev ir jādara viss kas tavos spēkos, lai ļaundaris nedabūtu tavu paroli un netiktu klāt failiem Nū tas pats par sevi saprotams, bet kā ir ar cms'iem visiem? Failus jau jebkurš var iegūt.. Un paroli no db kaut vai dēļ hostinga kādas neveixmes.! Tādēļ jau radās man jautājums kā laikus rīkoties, lai no tādas situācijas izvairītos.. Alekseja dotie raksti nedaudz ieviesa skaidrību, par to cik dulli man vajadzētu apstrādāt paroli, lai kaut vai ļaundari spiestu patērēt ilgāku laiku laiku paroles atkošanai.. Quote Link to comment Share on other sites More sharing options...
ezis Posted April 16, 2010 Report Share Posted April 16, 2010 blarght, jautājums! vai ļaundarim būs lielāka sāpe, ja viņš nezinās kādu daļu no sāls vai no tā, kā tiek veidota parole? piem. pie autorizācijas būtu jāievada gan parole, gan vēl kādi pāris simboli.. un šie simboli piedalītos paroles veidošanā. piem. sāli varētu iegūt gan no db, gan no faila, kur ir manas funkcijas.. bet tie pāris simboli, ko lietotājs ievada papildus nekur netiktu saglabāti.. Quote Link to comment Share on other sites More sharing options...
Aleksejs Posted April 16, 2010 Report Share Posted April 16, 2010 Visa pamatā vienalga ir un paliek parastā mirstīgā lietotāja ievadītā parole. Lielākai sāpei būtu jābūt no sāls nezināšanas (kaut arī, protams, sāls nav uzskatāma par vienādi slepenu informāciju kā parole). Zināšanai par to, kā tiek sāls pievienota parolei un kādā secībā notiek transformācijas, kā jau teicu nav būtiski jāietekmē uzbrukuma sarežģītību. + sensitīvo informāciju var sadalīt vairākās daļās - daļu padod webserveris kā HTTP headeri, daļa tiek dabūta no PHP skripta, daļa atrodas DB storētajā procedūrā, daļa DB tabulas laukā, piemēram. Quote Link to comment Share on other sites More sharing options...
mounkuls Posted April 16, 2010 Report Share Posted April 16, 2010 blarght, jautājums! vai ļaundarim būs lielāka sāpe, ja viņš nezinās kādu daļu no sāls vai no tā, kā tiek veidota parole? piem. pie autorizācijas būtu jāievada gan parole, gan vēl kādi pāris simboli.. un šie simboli piedalītos paroles veidošanā. piem. sāli varētu iegūt gan no db, gan no faila, kur ir manas funkcijas.. bet tie pāris simboli, ko lietotājs ievada papildus nekur netiktu saglabāti.. Nekur netiekot saglabātiem, tie faktiski neko nedara. Saglabājot galvā, būsi viens vienīgais, kas zinās ko at to datu lērumu iesākt. Ja tas ir kas supersvarīgs, labak lūddz SvētoKoderi lai kāds vakarā pēc bāra Tev neiešvātē tā niknāk bietē, savādāk, pašam labi ja paliks atmiņā tas, ko vajag dekriptojot. Ja uzhakotai(nezinu tos terminus)simbolu rindai/hasham, nezin ko jāmeklē, jēga jau atkrīt pat ko lauzt. To jau arī vajag apjāt. Tas protams tikai sarežģīs mazliet un pagarinās to hakošanu, bet domāju gana laika lai to fiksētu(domāju hasha garuma izmaiņas laikā). Ja tas notiek īsā laikā un krasi mainoties hashu garumiem, tā ir pazīme, ka kaut kas nav kā vajag. Nu tā kaut kā... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.