Hesla – musí být zašifrována?

23. 2. 2010 16:46:51

Zdravím,

Někde jsem četl, že hesla na internetových portálech musí být uchovávána pouze v zašifrovaném formátu - tedy že hesla jednotlivých registrovaných uživatelů administrátor neuvidí.

Je to pravda, nebo ne? Můžou být hesla ukládány v klasickém formátu, tedy uživatel se registruje jako Franta s heslem 1234 a v databázi bude Franta - 1234.

Díky za odpovědi

23. 2. 2010 16:46:51

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462946

Kamil Vavra

(16 hodnocení)

23. 2. 2010 16:57:32

nesifrovat/hashovat hesla je blbost. Nikdo ti nezakazuje ukladat hesla v ciste podobe (plaintext), ale nechapu, proc by jsi to delal ;)

23. 2. 2010 16:57:32

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462945

HokyPierce

23. 2. 2010 16:58:18

zalezi na programatorovi jak to udela preci a provozovateli zda to tak necha, verim ze na plno webech jsou hesla jako text, uz jen protoze web dokaze zaslat zcela puvodni zapomenute heslo na meil, kdyz by bylo sifrovane musi se vygenerovat nove heslo

23. 2. 2010 16:58:18

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462944

Hitman1

(38 hodnocení)

23. 2. 2010 17:08:55

Napsal wickate;464090
nesifrovat/hashovat hesla je blbost. Nikdo ti nezakazuje ukladat hesla v ciste podobe (plaintext), ale nechapu, proc by jsi to delal ;)

Administrace je již hotová, chystám se ji koupit, tak se jen ptám, aby z toho nebyl nějaký problém - překopání by stálo zase nějakou tisícovku navíc a je to asi zbytečný. Takže co se týče zákonů je to v pořádku?

23. 2. 2010 17:08:55

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462943

David Procházka

(39 hodnocení)

23. 2. 2010 17:12:36

Nějakou tu tisícovku navíc?

Zákonu je to fuk.

23. 2. 2010 17:12:36

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462942

Kamil Vavra

(16 hodnocení)

23. 2. 2010 17:23:54

Napsal Hitman1;464096
překopání by stálo zase nějakou tisícovku navíc

jestli stoji tisicovku, tak bych pro tebe chtel pracovat ;)

Napsal Hitman1;464096
a je to asi zbytečný.

jestli je zbytecna bezpecnost uzivatelu/administratoru, tak ti preju hodne stesti a uspechu ;)

Napsal Hitman1;464096
Takže co se týče zákonů je to v pořádku?

Ano zakon ti nic o heslech nenarizuje. I kdyz v minulosti se jiz objevily zaloby na velke portaly za to, ze nedokazaly ochranit soukroma data svych uzivatelu ...

23. 2. 2010 17:23:54

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462941

Hitman1

(38 hodnocení)

23. 2. 2010 17:36:32

Napsal wickate;464113
jestli stoji tisicovku, tak bych pro tebe chtel pracovat ;)

Je to v ASP.

Napsal wickate;464113
jestli je zbytecna bezpecnost uzivatelu/administratoru, tak ti preju hodne stesti a uspechu

Do DB nikdo nevidí, takže to snad bezpečné je - u administrátorů to možná šifrované je, to nevím.

Napsal wickate;464113

Ano zakon ti nic o heslech nenarizuje.

Díky.

23. 2. 2010 17:36:32

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462940

Bacon

(2 hodnocení)

23. 2. 2010 19:18:41

Napsal Hitman1;464132
Do DB nikdo nevidí, takže to snad bezpečné je.

No, a jednou tam někdo uvidí a už to bude nebezpečné. Nehledě na to, že i morálně je to hnus. Už to, že někdo, kdo s tou databází bude pracovat, uvidí moje heslo, by mě dost znervózňovalo.

23. 2. 2010 19:18:41

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462939

exile

(3 hodnocení)

23. 2. 2010 19:25:29

jednoznačně hashovat (a se saltem, samotné hashování je taky k prdu)... je to i sviňrna proti uživatelům...

23. 2. 2010 19:25:29

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462938

MAHI

(15 hodnocení)

23. 2. 2010 20:01:52

Nekodovani hesel pusobi dost amatersky, uz jen to by melo neco znamenat.

Napriklad jsem nedavno dostal email od bookfayre.cz (nabizeji originalni knihy z US a UK trhu) ve kterem jsem dostal jen tak zbuhdarma svoje prihlasovaci jmeno a heslo, spolu s uzasnou slevou 10 % pro verneho zakaznika, kterou ovsem vazne nehodlam vyuzit. Moje heslo jsem po nich v zadnem pripade nechtel (protoze ho znam).

Kdyz jsem se jich ptal, jak si to predstavuji, odpovedeli, ze kdyby hesla kodovali, nemeli by k nim pristup. Pry maji problemy s dorucovanim emailu s nove vygenerovanym heslem (ale s emailem zasilajicim stare heslo problemy nemaji). Tomu rikam argumentace, jak *****. :banghead:

Me jako zakaznika bys nekodovanim odradil.

23. 2. 2010 20:01:52

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462937

Hitman1

(38 hodnocení)

23. 2. 2010 21:04:50

Napsal marcus33cz;464272
Nekodovani hesel pusobi dost amatersky, uz jen to by melo neco znamenat.

Napriklad jsem nedavno dostal email od bookfayre.cz (nabizeji originalni knihy z US a UK trhu) ve kterem jsem dostal jen tak zbuhdarma svoje prihlasovaci jmeno a heslo, spolu s uzasnou slevou 10 % pro verneho zakaznika, kterou ovsem vazne nehodlam vyuzit. Moje heslo jsem po nich v zadnem pripade nechtel (protoze ho znam).

Kdyz jsem se jich ptal, jak si to predstavuji, odpovedeli, ze kdyby hesla kodovali, nemeli by k nim pristup. Pry maji problemy s dorucovanim emailu s nove vygenerovanym heslem (ale s emailem zasilajicim stare heslo problemy nemaji). Tomu rikam argumentace, jak *****. :banghead:

Me jako zakaznika bys nekodovanim odradil.

Ono jde o herní web - 90% uživatelů jsou děti, takže tam bych to neviděl tak černě (ony ty hesla stejně jsou velmi jednuchá, na herním webu si asi nebudeš zadávat 9 místné heslo, které používáš k bank. účtu) - ono předělat to na šifrované hesla asi nebude nejjednodušší (v asp.net, ne v php).

Napsal marcus33cz;464272

No, a jednou tam někdo uvidí a už to bude nebezpečné.

Jediný kdo tam má přístup jsem já a programátor, o nebezpečnosti se tu snad mluvit nedá..;).

23. 2. 2010 21:04:50

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462936

exile

(3 hodnocení)

23. 2. 2010 21:09:54

ano, dá se mluvit a nebezpečnosti a zadruhé je jedno jestli je to pro děti nebo důchodce, prostě nefchávat hesla v plaintextu je blbost... a že by to v asp nějak hrozně měnilo pochybuju... amísto pročítání tohohle threadu a ptaní se jsi to moh mít s pomocíé google už hotové :)

23. 2. 2010 21:09:54

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462935

Hitman1

(38 hodnocení)

23. 2. 2010 21:28:34

Napsal exile;464327
ano, dá se mluvit a nebezpečnosti a zadruhé je jedno jestli je to pro děti nebo důchodce, prostě nefchávat hesla v plaintextu je blbost... a že by to v asp nějak hrozně měnilo pochybuju... amísto pročítání tohohle threadu a ptaní se jsi to moh mít s pomocíé google už hotové :)

Já bych to nenazval jako nebezpečí. Je rozdíl jestli je nezabezpečené heslo 1234, nebo nějaké více místné, které je používáno i k např. bankovním účtům - navíc na webu jsou jen přezdívky, takže pokud zjistíš že exile používá heslo pocitac, asi ti to k ničemu nebude a žádné riziko nehrozí;) (i kdyby jsi měl stejné heslo třeba ke kávovaru v práci).

Pokud by uživatelé uváděli i celé jméno, adresu, č. bankovního účtu a heslo, bylo by to samozdřejmě něco jiného.

Nicméně odpověď na svou otázku jsem již dostal, na tyto otázky mimo téma odpovídám jen ze zvyku:):).

23. 2. 2010 21:28:34

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462934

(22 hodnocení)

23. 2. 2010 21:36:31

nekódovat hesla je největší čuňárna a je úplně jedno, kdo má k údajům přístup a kdo ne a jestli je to web s desítkama tisíc lidí denně anebo stovkou.

hesla solit a solit :-)

23. 2. 2010 21:36:31

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462933

sysline

(2 hodnocení)

23. 2. 2010 21:55:35

To ze do db nikdo neuvidi to se pletes. Ve chvili kdy se kdokoliv dostane na server, tak aby si precetl config soubor, tak ma i pristup do databaze a tim padem i k heslum. Nepodcenoval bych to... To ze se jedna o jednoducha hesla taky neni argument. Spousta lidi pouziva stejna nebo podobna hesla. tzn. ze kdyz ma nekdo heslo 1234 na tvym portale, tak je dost pravdepodobny, ze ho bude mit i na jinym webu. Takze kdyz ti nekdo jeho heslo ukradne a nasledne mu znasilni napriklad facebook, tak te ten uzivatel za to bude mit urco rad =)

A to, ze kdyz nekdo nekomu posle zapomenute heslo a ne vygeneruje novy, v zadnym pripade neznamena, ze ho musi mit ulozene v plaintextu.. Cryptovat se snad da dvousmerne.

Pokud se chystas koupit administraci, kde programator uklada holy hesla a zmena by stala tisice, tak by bylo na miste prehodnotit jestli to je rouzmny. Ono sice napsat sifrovaci algoritmus, klidne tisice stat muze, precijen muze byt rozdil mezi "sifrovanim" a sifrovanim, ale tohle ten pripad asi nebude.

23. 2. 2010 21:55:35

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana#reply462932