Malo proučavam o sigurnosti, i nije mi jasan točno odgovor na postavljeno pitanje.
Ako hashiramo password, i ako netko recimo vrti brute force petlju…opet se svaki njegov pokušaj hashira…ili bilo kako drugačije da već provaljuje, njegovi uneseni paramtri će se hashirati.
Jedino gdje ja vidim svrhu toga je u tome ako se netko recimo dokopa podataka iz baze, onda može pokrasti sve passworde, dok hashirani mu ništa ne vrijede. Jel to zaista glavni smisao toga ili?
Bez obzira na metodu korištenja u zaštiti podataka pasworda , administrator koji ima i fizički pristup, odnosno druge vrste pristupa serveru, može doći i do tako skrivenih podataka kao što je pasword korisnika a da to ovi i neznaju.
Baš me zanima na koji način, jer hashiranje je one way encription i takav hashirani password ne možeš decryptati. Pa me zanima ako bi mi mogao napisati na koji način će admin dobiti password.
Recimo može da prepravi skriptu na stranici tako da idući put kada se bude neko ulogovao sačuva lozinku u čitljivom formatu.
Opet je glupo oko toga raspravljati… cilj svakog portala je da ima svoje korisnike itd… a može neko napraviti lažnnu stranicu koja će služiti samo da bi krao tuđe podatke i jedino takve osobe zanima koja ti je lozinka (osobe koje naprave web stranicu samo radi krađe podataka)…
U ovo baš nevjerujem…ali bih se složio s @nedimx2, jer ako taj admin ima pristup serverima, onda ima i skriptama i može si doraditi stvari po svojim željama. Iako mi to baš nije klasični admin…klasične administratore ne povezujem sa održavanjem i pristupom serverima, nego samo sa proširenom kontrolom pristupa podacima.
Tako je. Sve ovisno kako je hash složen, da li korišten običan md5() ili nešto malo složenije. Druga stvar admin može imati pristup ćemu god hoćeš ali dobro hashirani password je 99.999999% siguran da ga se ne može pročitati. Razvijatelj stranice jedino može izmjeniti proceduru i napraviti tako da sprema obične znakove u bazu pa pobrisati sve već kreirane hashirane passworde pa korisnicima poslati obavijest da moraju promijeniti svoje passworde ali ne znam kome i kako to može biti od koristi. Pogotov passworde nekog foruma ili sl. stranice.
A tvrtke i poduzetnici ionako iovako podliježu kojekakvim zakonima i regulativama pa im se to ne isplati raditi.
[quote=“mestro67”]i base64 daje hash zar ne?
…
MD5 se isto može probiti, ne uvijek, ali sam uvjeren da može[/quote]
base64 se ne koristi za hashiranje takovih stvari, a i sami md5 je sve manje u uporabi. Ja ti dam i procedure i funkcije i hashirani password, a ti mi ga vrati ako možeš pa ako ga vratiš vjerujem da ćeš imati posao gotovo sigurno u bilo kojoj IT tvrtci koja se bavi sa sigurnošću.
[quote=“webdeveloping031”] da, i bas zato se nikad, ali bas nikad ne desi da netko pokupi podatke sa siteova koji koriste hashed pass…
neprobojno, da[/quote]
ne probiju hash, vec zbog programera koji je negdje ostavio sigurnosni propust, dodju do podataka…
dešavalo se to i velikim igracima, ali nitko nista s lozinkama koje je pokupio nije mogao jer su bile hashirane i to s dovoljnom enkripcijom koju se ne moze probiti u ovom trenutku…
ti mijesas babe i zabe kad pricas o toj problematici…