Σελ. 3 από 3 ΠρώτηΠρώτη 123
Εμφάνιση 31-38 από 38
  1. #31
    Εγγραφή
    21-03-2004
    Μηνύματα
    2.007
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    102400/102400
    ISP
    Verizon
    Router
    TP-Link Archer C7 OpenWRT
    Παράθεση Αρχικό μήνυμα από hammered Εμφάνιση μηνυμάτων
    Αν αποθηκεύεται το hash και ο server το μόνο που κάνει είναι να συγκρίνει το αποθηκευμένο hash με το hash που στέλνεις εσύ, τότε είναι εύκολο για κάποιο τρίτο να κάνει login. Το μόνο που χρειάζεται είναι να στέλνει random hashes προς τον server.
    Έχεις λάθος. Αν υποθέσουμε ότι το hash αποστέλλεται σε encrypted channel (TLS) τότε αυτό που λες είναι αδύνατο να γίνει, γιατί απλά δε μπορεί κάποιος να κάνει brute-force 2^256 hashes!!! (αν υποθέσουμε ότι μιλάμε για 256bit hash). Και αν ο σερβερ χακαριστεί τότε το μόνο που θα βρουν είναι ένα σωρό hashes τα οποία (όπως σωστά λες) θα είναι άχρηστα αν είναι salted (το salt επίσης αποτρέπει χρήση rainbow tables. )

  2. #32
    Το avatar του μέλους konenas
    Το μέλος konenas δεν είναι συνδεδεμένο Πρόβατα μην αυτοκτονείτε. Όλα στη σειρά. Ερχόμαστε
    Εγγραφή
    14-08-2007
    Περιοχή
    PIIGS
    Μηνύματα
    3.924
    Downloads
    4
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    300 bps ή 14Mbps
    ISP
    Το άλλο Πάσχα
    Router
    ZyXEL+ZTE αλλά ...
    SNR / Attn
    9(dB) / 27.5(dB)
    Path Level
    Interleaved
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Έχεις λάθος. Αν υποθέσουμε ότι το hash αποστέλλεται σε encrypted channel (TLS) τότε αυτό που λες είναι αδύνατο να γίνει, γιατί απλά δε μπορεί κάποιος να κάνει brute-force 2^256 hashes!!! (αν υποθέσουμε ότι μιλάμε για 256bit hash). Και αν ο σερβερ χακαριστεί τότε το μόνο που θα βρουν είναι ένα σωρό hashes τα οποία (όπως σωστά λες) θα είναι άχρηστα αν είναι salted (το salt επίσης αποτρέπει χρήση rainbow tables. )
    Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
    There is some shit, I will not eat. e.e.cummings
    30 Hours per Week

  3. #33
    Εγγραφή
    08-10-2013
    Ηλικία
    34
    Μηνύματα
    211
    Downloads
    0
    Uploads
    0
    ISP
    COSMOTE
    Παράθεση Αρχικό μήνυμα από uncharted Εμφάνιση μηνυμάτων
    Οι Κινέζοι είναι παντού πλέον:

    https://void.to/Thread-Epic-Games-is-a-BOTNET
    Ασταμάτητοι!

  4. #34
    Εγγραφή
    08-11-2007
    Μηνύματα
    1.346
    Downloads
    0
    Uploads
    0
    Ταχύτητα
    8192/1024
    ISP
    Cyta Hellas
    DSLAM
    Cyta Hellas - ΤΡΙΠΟΛΗ
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Έχεις λάθος. Αν υποθέσουμε ότι το hash αποστέλλεται σε encrypted channel (TLS) τότε αυτό που λες είναι αδύνατο να γίνει, γιατί απλά δε μπορεί κάποιος να κάνει brute-force 2^256 hashes!!! (αν υποθέσουμε ότι μιλάμε για 256bit hash). Και αν ο σερβερ χακαριστεί τότε το μόνο που θα βρουν είναι ένα σωρό hashes τα οποία (όπως σωστά λες) θα είναι άχρηστα αν είναι salted (το salt επίσης αποτρέπει χρήση rainbow tables. )
    Τότε το ίδιο το hash σου γίνεται το password. To hash δεν θα είναι salted γιατί αυτό που συγκρίνει ο server είναι το αποθηκευμένο hash με αυτό που του στέλνεις. Στον τρόπο που περιγράφεις, κατά το authentication, ο server δεν κάνει κάποιο hashing με salt. Απλά συγκρίνει κατευθείαν.

    Αυτό που θέλω να πώ είναι: Δεν με νοιάζει τι στέλνει ο client. Είτε είναι plain-text είτε είναι hash του password δεν ενδιαφέρει. Αυτό που ενδιαφέρει είναι τι κάνει ο server για authentication. Ο server πρέπει:
    1. Να παίρνει το user input.
    2. Να χρησιμοποιεί διαφορετικό salt per user
    3. Να κάνει password stretching.
    4. Από τα 1-3 προκύτπει hash.
    5. Το hash το αποθηκεύει στο db κατά την εγγραφή του χρήστη(μαζί με το salt προφανώς) ή το συγκρίνει με το αποθηκευμένο σε κάθε μετέπειτα authentication. Ποτέ να μην αποθηκεύεται/συγκρίνεται κατευθείαν το user input.
    Κάνω προσπάθεια να βάζω ; αντι για ?


  5. #35
    Εγγραφή
    21-03-2004
    Μηνύματα
    2.007
    Downloads
    6
    Uploads
    0
    Τύπος
    FTTH
    Ταχύτητα
    102400/102400
    ISP
    Verizon
    Router
    TP-Link Archer C7 OpenWRT
    Παράθεση Αρχικό μήνυμα από hammered Εμφάνιση μηνυμάτων
    Τότε το ίδιο το hash σου γίνεται το password. To hash δεν θα είναι salted γιατί αυτό που συγκρίνει ο server είναι το αποθηκευμένο hash με αυτό που του στέλνεις. Στον τρόπο που περιγράφεις, κατά το authentication, ο server δεν κάνει κάποιο hashing με salt. Απλά συγκρίνει κατευθείαν.
    Ok παρέλειψα το salt για συντομία, άλλωστε έγραψα ότι αυτό που είπες για το salt είναι σωστό.
    Παρόλα αυτά ακόμα και unsalted να ήτανε το hashed password, και πάλι ένας hacker το μόνο που θα μπορούσε να κάνει είναι να χρησιμοποιήσει rainbow tables για να βρει το password σου, το οποιο θα είχε χρήση μόνο αν το password που χρησιμοποίησες ήταν "κακό". Αυτό που έγραψες όμως πριν "Το μόνο που χρειάζεται είναι να στέλνει random hashes προς τον server" δηλ. brute-force attack είναι εντελώς ανέφικτο.

    Παράθεση Αρχικό μήνυμα από hammered Εμφάνιση μηνυμάτων
    Αυτό που θέλω να πώ είναι: Δεν με νοιάζει τι στέλνει ο client. Είτε είναι plain-text είτε είναι hash του password δεν ενδιαφέρει. Αυτό που ενδιαφέρει είναι τι κάνει ο server για authentication. Ο server πρέπει:
    1. Να παίρνει το user input.
    2. Να χρησιμοποιεί διαφορετικό salt per user
    3. Να κάνει password stretching.
    4. Από τα 1-3 προκύτπει hash.
    5. Το hash το αποθηκεύει στο db κατά την εγγραφή του χρήστη(μαζί με το salt προφανώς) ή το συγκρίνει με το αποθηκευμένο σε κάθε μετέπειτα authentication. Ποτέ να μην αποθηκεύεται/συγκρίνεται κατευθείαν το user input.
    Στο server-side γενικά πρέπει να γίνεται οπωσδήποτε και εκεί hashing γιατί αν γινόταν μόνο στον client-side και το channel ήταν unencrypted (πχ. σκέτο HTTP), ένας man in the middle attacker (ή eavesdropper) απλά θα το αντέγραφε και τέλος. Εδώ όμως μιλάμε ότι δεν έγινε πουθενά, δηλαδή ότι χειρότερο.

  6. #36
    Εγγραφή
    29-11-2007
    Μηνύματα
    859
    Downloads
    4
    Uploads
    0
    Τύπος
    ADSL2+
    Ταχύτητα
    16.403/1.020
    ISP
    Forthnet
    DSLAM
    Forthnet - ΚΟΜΟΤΗΝΗ
    Router
    Tomson tg585 v8 8.2.7.8
    SNR / Attn
    6(dB) / 22,5(dB)
    Για αυτό έχουμε διαφορετικούς κωδικούς, ειδικά σε κρίσιμα συστήματα.

    - Άλλος κωδικός στο fb
    - άλλος υποχρεωτικά κωδικός στο mail (του fb)
    - άλλος στο ebanking
    - άλλος στο adslgr.com (γενικά στα διάφορα forum ας είναι ο ίδιος να θυμόμαστε λιγότερους, δεν έγινε και τίποτα νομίζω)

    και για καλή μνήμη ένας password manager πχ keepass

    Υ.Γ. Αλλάζουμε τους κωδικούς κρίσιμων συστημάτων καθε τόσο, ειδικά αν υποψιαστούμε ότι κάποιος τον έχει (πχ είναι σε λίστες τύπου haveibeenpwned.com)
    There is nothing like 127.0.0.1

  7. #37
    Εγγραφή
    16-03-2019
    Μηνύματα
    30
    Downloads
    0
    Uploads
    0
    Τύπος
    VDSL2
    ISP
    Forthnet
    Ήτανε θέμα χρόνου να συνέβαινε..
    Μάλλον μερικοί έχουν ξεχάσει τον βασικό κανόνα του διαδυκτύου..

    Ότι ανεβαίνει στο ίντερνετ, ΔΕΝ κατεβαίνει..

  8. #38
    Εγγραφή
    28-05-2009
    Ηλικία
    33
    Μηνύματα
    201
    Downloads
    5
    Uploads
    0
    ISP
    ΟΤΕ Conn-x
    DSLAM
    ΟΤΕ - ΣΚΑΓΙΟΠΟΥΛΕΙΟ
    Router
    ASUS DSL-AC88U
    Παράθεση Αρχικό μήνυμα από bomberb17 Εμφάνιση μηνυμάτων
    Αυτό πάντως απλά είναι ερασιτεχνισμός, και η είδηση ξαφνιάζει όταν συσχετίζεται με μια μεγάλη εταιρία όπως το facebook. Η πιο απλή πρακτική είναι να γίνεται hashing στο client side και στο server side να αποθηκεύονται τα hashes. Ούτε αυτό δεν έκαναν...
    Σε καφενείο να πήγαινες και να τους έλεγες να σου κρατήσουν τα στοιχεία αυτών που πατάνε περισσότερη εχεμύθεια θα υπήρχε...

Σελ. 3 από 3 ΠρώτηΠρώτη 123

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας