Čemu hash password?

Malo proučavam o sigurnosti, i nije mi jasan točno odgovor na postavljeno pitanje.

Ako hashiramo password, i ako netko recimo vrti brute force petlju…opet se svaki njegov pokušaj hashira…ili bilo kako drugačije da već provaljuje, njegovi uneseni paramtri će se hashirati.

Jedino gdje ja vidim svrhu toga je u tome ako se netko recimo dokopa podataka iz baze, onda može pokrasti sve passworde, dok hashirani mu ništa ne vrijede. Jel to zaista glavni smisao toga ili?

Da, to je glavni smisao toga.

Sam sebi si odgovorio na pitanje.

i da administrator ne može pogledati tvoju čitljivu lozinku, recimo da koristiš istu lozinku za mail, mogao bi ti pristupiti mailu :slight_smile:

Mislio sam da je još nešto po srijedi :slight_smile:
…ovo mi jedino nije palo na pamet…jednog dana kad bude pod-administratora, pa zaštita podataka od njihovih okica :slight_smile:

Bez obzira na metodu korištenja u zaštiti podataka pasworda , administrator koji ima i fizički pristup, odnosno druge vrste pristupa serveru, može doći i do tako skrivenih podataka kao što je pasword korisnika a da to ovi i neznaju.

Upravo to, ali administratori nikada neće iskoristiti vaš password. Barem tako oni kažu, a sada vjeruj ili ne vjeruj.

Baš me zanima na koji način, jer hashiranje je one way encription i takav hashirani password ne možeš decryptati. Pa me zanima ako bi mi mogao napisati na koji način će admin dobiti password.

Jesi siguran?

Recimo može da prepravi skriptu na stranici tako da idući put kada se bude neko ulogovao sačuva lozinku u čitljivom formatu.

Opet je glupo oko toga raspravljati… cilj svakog portala je da ima svoje korisnike itd… a može neko napraviti lažnnu stranicu koja će služiti samo da bi krao tuđe podatke i jedino takve osobe zanima koja ti je lozinka (osobe koje naprave web stranicu samo radi krađe podataka)…

Jesam.

Imaš na ljuska.org forumu temu Hash cracking requests i kojoj ostaviš hash i u većini slučajeva dobiješ human readable lozinku. (dokazano)

U ovo baš nevjerujem…ali bih se složio s @nedimx2, jer ako taj admin ima pristup serverima, onda ima i skriptama i može si doraditi stvari po svojim željama. Iako mi to baš nije klasični admin…klasične administratore ne povezujem sa održavanjem i pristupom serverima, nego samo sa proširenom kontrolom pristupa podacima.

i base64 daje hash zar ne? :slight_smile:

MD5 se isto može probiti, ne uvijek, ali sam uvjeren da može

Tako je. Sve ovisno kako je hash složen, da li korišten običan md5() ili nešto malo složenije. Druga stvar admin može imati pristup ćemu god hoćeš ali dobro hashirani password je 99.999999% siguran da ga se ne može pročitati. Razvijatelj stranice jedino može izmjeniti proceduru i napraviti tako da sprema obične znakove u bazu pa pobrisati sve već kreirane hashirane passworde pa korisnicima poslati obavijest da moraju promijeniti svoje passworde ali ne znam kome i kako to može biti od koristi. Pogotov passworde nekog foruma ili sl. stranice.

A tvrtke i poduzetnici ionako iovako podliježu kojekakvim zakonima i regulativama pa im se to ne isplati raditi.

[quote=“mestro67”]i base64 daje hash zar ne? :slight_smile:

MD5 se isto može probiti, ne uvijek, ali sam uvjeren da može[/quote]

base64 se ne koristi za hashiranje takovih stvari, a i sami md5 je sve manje u uporabi. Ja ti dam i procedure i funkcije i hashirani password, a ti mi ga vrati ako možeš pa ako ga vratiš vjerujem da ćeš imati posao gotovo sigurno u bilo kojoj IT tvrtci koja se bavi sa sigurnošću.

Hehe, a kamoli da ga vrati a da nema pristup u proceduru hashiranja.
Evo mu, neka proba: 56k1J084N428u08U045840141120142808404284

…imat će odmah pristup u sve servise koje koristim, korisničko ime mi je uvijek bozoou da nemas s tim problema :smiley:

Pogotovo što ako mi hash izadje duži od 40 znakova, sječem ga na 40 …teoretski ne vidim dovoljno informacija onda za povratak.

:slight_smile: da, i bas zato se nikad, ali bas nikad ne desi da netko pokupi podatke sa siteova koji koriste hashed pass…
neprobojno, da

zato ne koristis slabe i zastarjele hashove… npr whirpool je odlican hash i nece ga nitko vratiti u izvorni oblik…

[quote=“webdeveloping031”]:slight_smile: da, i bas zato se nikad, ali bas nikad ne desi da netko pokupi podatke sa siteova koji koriste hashed pass…
neprobojno, da[/quote]

ne probiju hash, vec zbog programera koji je negdje ostavio sigurnosni propust, dodju do podataka…
dešavalo se to i velikim igracima, ali nitko nista s lozinkama koje je pokupio nije mogao jer su bile hashirane i to s dovoljnom enkripcijom koju se ne moze probiti u ovom trenutku…

ti mijesas babe i zabe kad pricas o toj problematici…


Copyright © 2022 WM Forum - AboutContact