Έχεις λάθος. Αν υποθέσουμε ότι το hash αποστέλλεται σε encrypted channel (TLS) τότε αυτό που λες είναι αδύνατο να γίνει, γιατί απλά δε μπορεί κάποιος να κάνει brute-force 2^256 hashes!!! (αν υποθέσουμε ότι μιλάμε για 256bit hash). Και αν ο σερβερ χακαριστεί τότε το μόνο που θα βρουν είναι ένα σωρό hashes τα οποία (όπως σωστά λες) θα είναι άχρηστα αν είναι salted (το salt επίσης αποτρέπει χρήση rainbow tables. )
Εμφάνιση 31-38 από 38
-
23-03-19, 05:52 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #31
-
23-03-19, 08:37 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #32Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
-
23-03-19, 17:33 Απάντηση: Re: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #33
-
23-03-19, 18:33 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #34
Τότε το ίδιο το hash σου γίνεται το password. To hash δεν θα είναι salted γιατί αυτό που συγκρίνει ο server είναι το αποθηκευμένο hash με αυτό που του στέλνεις. Στον τρόπο που περιγράφεις, κατά το authentication, ο server δεν κάνει κάποιο hashing με salt. Απλά συγκρίνει κατευθείαν.
Αυτό που θέλω να πώ είναι: Δεν με νοιάζει τι στέλνει ο client. Είτε είναι plain-text είτε είναι hash του password δεν ενδιαφέρει. Αυτό που ενδιαφέρει είναι τι κάνει ο server για authentication. Ο server πρέπει:
1. Να παίρνει το user input.
2. Να χρησιμοποιεί διαφορετικό salt per user
3. Να κάνει password stretching.
4. Από τα 1-3 προκύτπει hash.
5. Το hash το αποθηκεύει στο db κατά την εγγραφή του χρήστη(μαζί με το salt προφανώς) ή το συγκρίνει με το αποθηκευμένο σε κάθε μετέπειτα authentication. Ποτέ να μην αποθηκεύεται/συγκρίνεται κατευθείαν το user input.Κάνω προσπάθεια να βάζω ; αντι για ?
-
24-03-19, 03:17 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #35
Ok παρέλειψα το salt για συντομία, άλλωστε έγραψα ότι αυτό που είπες για το salt είναι σωστό.
Παρόλα αυτά ακόμα και unsalted να ήτανε το hashed password, και πάλι ένας hacker το μόνο που θα μπορούσε να κάνει είναι να χρησιμοποιήσει rainbow tables για να βρει το password σου, το οποιο θα είχε χρήση μόνο αν το password που χρησιμοποίησες ήταν "κακό". Αυτό που έγραψες όμως πριν "Το μόνο που χρειάζεται είναι να στέλνει random hashes προς τον server" δηλ. brute-force attack είναι εντελώς ανέφικτο.
Στο server-side γενικά πρέπει να γίνεται οπωσδήποτε και εκεί hashing γιατί αν γινόταν μόνο στον client-side και το channel ήταν unencrypted (πχ. σκέτο HTTP), ένας man in the middle attacker (ή eavesdropper) απλά θα το αντέγραφε και τέλος. Εδώ όμως μιλάμε ότι δεν έγινε πουθενά, δηλαδή ότι χειρότερο.
-
24-03-19, 15:29 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #36
Για αυτό έχουμε διαφορετικούς κωδικούς, ειδικά σε κρίσιμα συστήματα.
- Άλλος κωδικός στο fb
- άλλος υποχρεωτικά κωδικός στο mail (του fb)
- άλλος στο ebanking
- άλλος στο adslgr.com (γενικά στα διάφορα forum ας είναι ο ίδιος να θυμόμαστε λιγότερους, δεν έγινε και τίποτα νομίζω)
και για καλή μνήμη ένας password manager πχ keepass
Υ.Γ. Αλλάζουμε τους κωδικούς κρίσιμων συστημάτων καθε τόσο, ειδικά αν υποψιαστούμε ότι κάποιος τον έχει (πχ είναι σε λίστες τύπου haveibeenpwned.com)There is nothing like 127.0.0.1
-
24-03-19, 15:56 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #37
Ήτανε θέμα χρόνου να συνέβαινε..
Μάλλον μερικοί έχουν ξεχάσει τον βασικό κανόνα του διαδυκτύου..
Ότι ανεβαίνει στο ίντερνετ, ΔΕΝ κατεβαίνει..
-
25-03-19, 15:32 Απάντηση: Εκατοντάδες εκατομμύρια Facebook passwords, αποθηκεύονταν σε plain text στην βάση του #38
Bookmarks