Komentarze do: Dlaczego warto solić hasła? http://www.beldzio.com/dlaczego-warto-solic-hasla Bełdziowe spojrzenie na aplikacje internetowe Sun, 18 Jul 2010 10:10:57 +0000 hourly 1 http://wordpress.org/?v=3.0.1 Autor: Michał Ławicki http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-853 Michał Ławicki Fri, 26 Feb 2010 21:09:33 +0000 http://www.beldzio.com/?p=344#comment-853 he he :) pisałem, że mam do tego serwisu dostęp co nie znaczy, że wyszedł spod mojego palca ;P a co do skomplikowania loginu tak samo jak hasła to chyba z tym najlepiej radzą sobie serwisy, którego targetem są dziewczyny do 16 roku życia ;-)) he he :) pisałem, że mam do tego serwisu dostęp co nie znaczy, że wyszedł spod mojego palca ;P

a co do skomplikowania loginu tak samo jak hasła to chyba z tym najlepiej radzą sobie serwisy, którego targetem są dziewczyny do 16 roku życia ;-))

]]> Autor: Borys Łącki http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-852 Borys Łącki Fri, 26 Feb 2010 16:26:55 +0000 http://www.beldzio.com/?p=344#comment-852 I teraz każdy pisze crawlery do serwisów, które masz na swojej stronie w temacie "ostatnie prace" w celu znalezienia tych 5% ;] Należałoby wymuszać na użytkowniku aby login był tak skomplikowany jak nakłada się na zasady tworzenia haseł - wtedy na pewno hasło ustawi sobie proste i nigdy login i hasło nie będą takie same ;]] I teraz każdy pisze crawlery do serwisów, które masz na swojej stronie w temacie „ostatnie prace” w celu znalezienia tych 5% ;]

Należałoby wymuszać na użytkowniku aby login był tak skomplikowany jak nakłada się na zasady tworzenia haseł – wtedy na pewno hasło ustawi sobie proste i nigdy login i hasło nie będą takie same ;]]

]]> Autor: Michał Ławicki http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-848 Michał Ławicki Wed, 10 Feb 2010 23:26:18 +0000 http://www.beldzio.com/?p=344#comment-848 wszystko zależy od targetu serwisu; z ciekawości przed dodaniem notki sprawdziłem w jednym z serwisów, do których mam dostęp i wyszło w granicach 5% wszystko zależy od targetu serwisu; z ciekawości przed dodaniem notki sprawdziłem w jednym z serwisów, do których mam dostęp i wyszło w granicach 5%

]]> Autor: Kamil Brenk http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-847 Kamil Brenk Wed, 10 Feb 2010 23:14:06 +0000 http://www.beldzio.com/?p=344#comment-847 Pytanie, jak wiele osób podaje taki sam login i hasło? Faktycznie, zabezpieczenie się przed takim postępowaniem jest banalnie proste. Jednak nigdy nie wpadłem na pomysł, by ktoś mógł zrobić coś takiego - przez co nigdy nie napisałem takiego zabezpieczenia. Trza by przetestować, warte sprawdzenia z czystej ciekawości :) Pytanie, jak wiele osób podaje taki sam login i hasło? Faktycznie, zabezpieczenie się przed takim postępowaniem jest banalnie proste. Jednak nigdy nie wpadłem na pomysł, by ktoś mógł zrobić coś takiego – przez co nigdy nie napisałem takiego zabezpieczenia. Trza by przetestować, warte sprawdzenia z czystej ciekawości :)

]]> Autor: Michał Ławicki http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-844 Michał Ławicki Mon, 08 Feb 2010 15:59:56 +0000 http://www.beldzio.com/?p=344#comment-844 gwoli ścisłości szersze wyjaśnienie powyższego komcia: mamy tabelkę id | username | password | salt password = md5( haslo_usera + hash ) w powyższym przypadku napastnik znając sól oraz sposób tworzenie skrótu hasła może bez problemu wykonać atak brute-force na dowolne konto. pojawiającym się utrudnieniem jest konieczność dla każdego sprawdzanego hasła generować <em>n</em> skrótów, gdzie <em>n</em> to liczba użytkowników gwoli ścisłości szersze wyjaśnienie powyższego komcia:

mamy tabelkę

id | username | password | salt

password = md5( haslo_usera + hash )

w powyższym przypadku napastnik znając sól oraz sposób tworzenie skrótu hasła może bez problemu wykonać atak brute-force na dowolne konto. pojawiającym się utrudnieniem jest konieczność dla każdego sprawdzanego hasła generować n skrótów, gdzie n to liczba użytkowników

]]> Autor: Michał Ławicki http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-843 Michał Ławicki Mon, 08 Feb 2010 01:20:55 +0000 http://www.beldzio.com/?p=344#comment-843 solić też trzeba z głową, żeby nie okazało się, że zupa była za słona ;-) najprostszym i zapewne najczęściej spotykanym sposobem solenia z wykorzystaniem unikalnej soli dla usera jest wrzucenie do tabelki dodatkowej kolumny z zapisaną wartością soli - i tu pojawia się pytanie: co daje nam takie rozwiązanie w przypadku SQLi, szczególnie, że zapewne ~100 % osób dodaje sól po haśle solić też trzeba z głową, żeby nie okazało się, że zupa była za słona ;-) najprostszym i zapewne najczęściej spotykanym sposobem solenia z wykorzystaniem unikalnej soli dla usera jest wrzucenie do tabelki dodatkowej kolumny z zapisaną wartością soli – i tu pojawia się pytanie: co daje nam takie rozwiązanie w przypadku SQLi, szczególnie, że zapewne ~100 % osób dodaje sól po haśle

]]> Autor: MWL http://www.beldzio.com/dlaczego-warto-solic-hasla/comment-page-1#comment-842 MWL Mon, 08 Feb 2010 01:09:12 +0000 http://www.beldzio.com/?p=344#comment-842 Ja osobiście zawsze solę hasło hashem generowanym dla każdego użytkownika. Przydatna sprawa, bo to o wiele trudniej złamać, no i dzięki temu nie mam żadnych problemów. Ja osobiście zawsze solę hasło hashem generowanym dla każdego użytkownika. Przydatna sprawa, bo to o wiele trudniej złamać, no i dzięki temu nie mam żadnych problemów.

]]>