Čemu hash password?

bozoou · travanj 2013 15:19 11

Malo proučavam o sigurnosti, i nije mi jasan točno odgovor na postavljeno pitanje.

Ako hashiramo password, i ako netko recimo vrti brute force petlju…opet se svaki njegov pokušaj hashira…ili bilo kako drugačije da već provaljuje, njegovi uneseni paramtri će se hashirati.

Jedino gdje ja vidim svrhu toga je u tome ako se netko recimo dokopa podataka iz baze, onda može pokrasti sve passworde, dok hashirani mu ništa ne vrijede. Jel to zaista glavni smisao toga ili?

apazinjan · travanj 2013 16:06 11

Da, to je glavni smisao toga.

dombo · travanj 2013 18:09 11

Sam sebi si odgovorio na pitanje.

nedimx2 · travanj 2013 18:54 11

i da administrator ne može pogledati tvoju čitljivu lozinku, recimo da koristiš istu lozinku za mail, mogao bi ti pristupiti mailu

bozoou · travanj 2013 20:53 11

Mislio sam da je još nešto po srijedi
…ovo mi jedino nije palo na pamet…jednog dana kad bude pod-administratora, pa zaštita podataka od njihovih okica

triolatice · travanj 2013 06:12 12

Bez obzira na metodu korištenja u zaštiti podataka pasworda , administrator koji ima i fizički pristup, odnosno druge vrste pristupa serveru, može doći i do tako skrivenih podataka kao što je pasword korisnika a da to ovi i neznaju.

garamel · travanj 2013 08:23 12

Upravo to, ali administratori nikada neće iskoristiti vaš password. Barem tako oni kažu, a sada vjeruj ili ne vjeruj.

creatifcode · travanj 2013 10:23 12

Baš me zanima na koji način, jer hashiranje je one way encription i takav hashirani password ne možeš decryptati. Pa me zanima ako bi mi mogao napisati na koji način će admin dobiti password.

mestro67 · travanj 2013 10:29 12

Jesi siguran?

nedimx2 · travanj 2013 10:49 12

Recimo može da prepravi skriptu na stranici tako da idući put kada se bude neko ulogovao sačuva lozinku u čitljivom formatu.

Opet je glupo oko toga raspravljati… cilj svakog portala je da ima svoje korisnike itd… a može neko napraviti lažnnu stranicu koja će služiti samo da bi krao tuđe podatke i jedino takve osobe zanima koja ti je lozinka (osobe koje naprave web stranicu samo radi krađe podataka)…

creatifcode · travanj 2013 12:26 12

Jesam.

mestro67 · travanj 2013 12:45 12

Imaš na ljuska.org forumu temu Hash cracking requests i kojoj ostaviš hash i u većini slučajeva dobiješ human readable lozinku. (dokazano)

bozoou · travanj 2013 13:54 12

U ovo baš nevjerujem…ali bih se složio s @nedimx2, jer ako taj admin ima pristup serverima, onda ima i skriptama i može si doraditi stvari po svojim željama. Iako mi to baš nije klasični admin…klasične administratore ne povezujem sa održavanjem i pristupom serverima, nego samo sa proširenom kontrolom pristupa podacima.

mestro67 · travanj 2013 13:59 12

i base64 daje hash zar ne?
…
MD5 se isto može probiti, ne uvijek, ali sam uvjeren da može

creatifcode · travanj 2013 14:00 12

Tako je. Sve ovisno kako je hash složen, da li korišten običan md5() ili nešto malo složenije. Druga stvar admin može imati pristup ćemu god hoćeš ali dobro hashirani password je 99.999999% siguran da ga se ne može pročitati. Razvijatelj stranice jedino može izmjeniti proceduru i napraviti tako da sprema obične znakove u bazu pa pobrisati sve već kreirane hashirane passworde pa korisnicima poslati obavijest da moraju promijeniti svoje passworde ali ne znam kome i kako to može biti od koristi. Pogotov passworde nekog foruma ili sl. stranice.

A tvrtke i poduzetnici ionako iovako podliježu kojekakvim zakonima i regulativama pa im se to ne isplati raditi.

creatifcode · travanj 2013 14:05 12

[quote=“mestro67”]i base64 daje hash zar ne?
…
MD5 se isto može probiti, ne uvijek, ali sam uvjeren da može[/quote]

base64 se ne koristi za hashiranje takovih stvari, a i sami md5 je sve manje u uporabi. Ja ti dam i procedure i funkcije i hashirani password, a ti mi ga vrati ako možeš pa ako ga vratiš vjerujem da ćeš imati posao gotovo sigurno u bilo kojoj IT tvrtci koja se bavi sa sigurnošću.

bozoou · travanj 2013 14:09 12

Hehe, a kamoli da ga vrati a da nema pristup u proceduru hashiranja.
Evo mu, neka proba: 56k1J084N428u08U045840141120142808404284

…imat će odmah pristup u sve servise koje koristim, korisničko ime mi je uvijek bozoou da nemas s tim problema

Pogotovo što ako mi hash izadje duži od 40 znakova, sječem ga na 40 …teoretski ne vidim dovoljno informacija onda za povratak.

webdeveloping03 · travanj 2013 14:10 12

da, i bas zato se nikad, ali bas nikad ne desi da netko pokupi podatke sa siteova koji koriste hashed pass…
neprobojno, da

zerocoolos · travanj 2013 15:13 12

zato ne koristis slabe i zastarjele hashove… npr whirpool je odlican hash i nece ga nitko vratiti u izvorni oblik…

zerocoolos · travanj 2013 15:16 12

[quote=“webdeveloping031”] da, i bas zato se nikad, ali bas nikad ne desi da netko pokupi podatke sa siteova koji koriste hashed pass…
neprobojno, da[/quote]

ne probiju hash, vec zbog programera koji je negdje ostavio sigurnosni propust, dodju do podataka…
dešavalo se to i velikim igracima, ali nitko nista s lozinkama koje je pokupio nije mogao jer su bile hashirane i to s dovoljnom enkripcijom koju se ne moze probiti u ovom trenutku…

ti mijesas babe i zabe kad pricas o toj problematici…