Hesla – musí být zašifrována?

23. 2. 2010 22:04:56

Napsal Hitman1;464348
Já bych to nenazval jako nebezpečí. Je rozdíl jestli je nezabezpečené heslo 1234, nebo nějaké více místné, které je používáno i k např. bankovním účtům - navíc na webu jsou jen přezdívky, takže pokud zjistíš že exile používá heslo pocitac, asi ti to k ničemu nebude a žádné riziko nehrozí;) (i kdyby jsi měl stejné heslo třeba ke kávovaru v práci).

Pokud by uživatelé uváděli i celé jméno, adresu, č. bankovního účtu a heslo, bylo by to samozdřejmě něco jiného.

Nicméně odpověď na svou otázku jsem již dostal, na tyto otázky mimo téma odpovídám jen ze zvyku:):).

90% dětí co ti tam zadá heslo bude mít stejný heslo i na mailu a mail ti tam taky předpokládám zadají.

A pokud se jim někdo dostane k mailu, tak se jim dostane kamkoliv...

Nebezpečí není že to uvidíš ty nebo programátor, nebezpečí je, že se ti tam nabourá někdo třetí (a je jedno jak to máš zabezpečený, s tím se musí počítat vždycky).

23. 2. 2010 22:04:56

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462931

Roman

(2 hodnocení)

23. 2. 2010 22:50:38

Zatím se mě zdá, že místo otázky jestli to máš požadovat, se nás snažíš přesvědčit, proč to potřeba není.

V dnešní době je to ne standard ale nutnost, urcite bych ten skript nekupoval, uz tohle ukazuje ze programator je zacatecnik, co si neprecetl ani zaklady, nebo radne prase = kdovi jaky prasarny tam jeste nafrkal, tady plati "nejsem tak bohaty abych kupoval levne veci" a 1000kc za pripsani hashe je prehnane, rekni at predela nebo nekoupis, ty ses zakaznik;) Kdovi jestli ma licenci na asp

23. 2. 2010 22:50:38

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462930

Jiří Matějka

(23 hodnocení)

24. 2. 2010 08:57:04

Predelat hesla na hashovana neni problem ani v ASP.NET, bude to zhruba stejne obtizne (jednoduche) jako v PHP.

Ad licence na ASP - zadnou licenci na provoz ASP nepotrebujes. Samozrejme na serveru by mel byt legalni OS a DB, ale to predpokladam je problem spolecnosti, kde hostujes, ne tvuj.

24. 2. 2010 08:57:04

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462929

trhnapadu.cz

(13 hodnocení)

24. 2. 2010 10:52:52

Napsal HokyPierce;464091
zalezi na programatorovi jak to udela preci a provozovateli zda to tak necha, verim ze na plno webech jsou hesla jako text, uz jen protoze web dokaze zaslat zcela puvodni zapomenute heslo na mail, kdyz by bylo sifrovane musi se vygenerovat nove heslo

no taky muzes pouzit vlastni sifrovani, nejsou jen "mdecka" a "shacka" :)

------------------

Co nejvíc znepokujuje me, je nasledujici:

forpsi i czechia - dva dosti velcí hráči na trhu s doménami a webhostem mají všechna Vaše hesla plně k dispozici

sice je mají v db uloženy v nějakém sifrovani, ale je to jejich sifrovani, takze si ho umi vyvolat.

Me osobne to trosku znervoznuje, protoze jejich libovolny admin mi muze ukrast libovolnou domenu pres mail, protoze proste zna moje heslo treba do mailadmina..... a urcite bude mit moznost editovat logy na serveru, aby pekne zamet stopy

Ja bych uzakonil to, aby registratori(webhosteri) nesmely mit k dispozici klientsky hesla!!!!

24. 2. 2010 10:52:52

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462928

Michal Seidler

(28 hodnocení)

24. 2. 2010 15:18:48

Napsal trhnapadu.cz;464620

Ja bych uzakonil to, aby registratori(webhosteri) nesmely mit k dispozici klientsky hesla!!!!

no to by mě zajímalo jak by se to dělalo... všechny i ty "jednosměrné" jdou rozšifrovat (stačí zadat do google a vyjede ti tuna nástrojů) a vlastní šifra je sice "bezpečnější", ale když máš přístup k php souborům což webhosteři mají, tak taky neni problém šifru obrátit.

24. 2. 2010 15:18:48

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462927

trhnapadu.cz

(13 hodnocení)

24. 2. 2010 15:34:25

Napsal Sajacz;464817
no to by mě zajímalo jak by se to dělalo... všechny i ty "jednosměrné" jdou rozšifrovat (stačí zadat do google a vyjede ti tuna nástrojů) a vlastní šifra je sice "bezpečnější", ale když máš přístup k php souborům což webhosteři mají, tak taky neni problém šifru obrátit.

já nejsem v kryptografii žádněj odborník (ty nejspíš taky ne), ale určitě bych byl radši, kdyby moje hesla v databázi nebyly šifrovaný jejich šifrou, ale nějakou pro ně méně dostupnou klidně i volitelnou(kombinace "sha"ček, bo tak něco)

ještě k tomu má člověk třeba nějakej systém hesel,

pokud teda nemá na všechno stejný heslo(vůbec nejhorší varianta) a admin může vydedukovat, jak by mohly znít hesla na další jiný služby !!!

co já vim, tak moderní šifry, pokud nemáš výbavu NSA, CIA,(bo kdo to tam dela), tak jsou prolomitelný jenom tzv. brute force, což je prostý zkoušení kódů a to trvá pěkně dlouho a vyplatit by se to mohlo jen u "větších úlovků"

a to mi ještě psali tak nějak neurčitě, jak vlastně šifrovaný jsou a jestli vůbec....což se dá zase pochopit z hlediska "bezpečnosti" :)

24. 2. 2010 15:34:25

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462926

exile

(3 hodnocení)

24. 2. 2010 15:58:14

Napsal Sajacz;464817
no to by mě zajímalo jak by se to dělalo... všechny i ty "jednosměrné" jdou rozšifrovat (stačí zadat do google a vyjede ti tuna nástrojů) a vlastní šifra je sice "bezpečnější", ale když máš přístup k php souborům což webhosteři mají, tak taky neni problém šifru obrátit.

pokud "jednosměrnými" myslíš md5ky, sha1čky a podobně, tak samozřejmě je taky blbost je nechávat samotné, ale je potřeba to ještě prosaltovat...

24. 2. 2010 15:58:14

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462925

Michal Seidler

(28 hodnocení)

24. 2. 2010 21:02:34

Napsal exile;464837
pokud "jednosměrnými" myslíš md5ky, sha1čky a podobně, tak samozřejmě je taky blbost je nechávat samotné, ale je potřeba to ještě prosaltovat...

Md5 ta jako jednosměrna šifra selhala už dávno dokonce existujou ruzne řetězce pro které vrátí stejný hash. Salt je už lepší řešení ale pořád reaguu na příspěvek trhnapadu.cz (bavime se o webhostingu unějakého poskytovatele) a ten to může zneužít kdy se mu zachce. Ano pokud to máš na vlastním serveru který máš zamknutý někde kde přístup máš jenom ty, tak se dají tyhle techniky považovat za bezpečné.

Neobhajuju plain text, jenom by mě zajímalo řešení nápadu uživatele trhnapadu.cz

Napsal trhnapadu.cz
co já vim, tak moderní šifry, pokud nemáš výbavu NSA, CIA,(bo kdo to tam dela), tak jsou prolomitelný jenom tzv. brute force, což je prostý zkoušení kódů a to trvá pěkně dlouho a vyplatit by se to mohlo jen u "větších úlovků"

Pokud se bavíme o PHP tak by mě zajímala jak se tato moderní šifra jmenuje. A i kdyby byla tak PHP je opensource a pro někoho kdo se v tom vyzná není problém si projít zdrojáky najít šifrovací funkci a otočit ji. Mluvíme taky o internetu a ne nějakém desktopu zavřeném v trezoru CIA k jehož zdrojovým kódum šifer se nikdo nedostane.

24. 2. 2010 21:02:34

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462924

Jiří Zamazal

(5 hodnocení)

24. 2. 2010 21:03:22

Nechci být hnidopich, ale v diskusi se tu objevili 3 pojmy, které mají naprosto odlišný význam:

šifrování x kódování x hash (hešovací funkce)

Takže než začnete psát nějaké rozumy, tak si rozmyslete, jestli daným pojmům opravdu rozumíte.

Nic ve zlém :-)

24. 2. 2010 21:03:22

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462923

dracek

(26 hodnocení)

24. 2. 2010 21:14:11

Napsal Sajacz;465074
Md5 ta jako jednosměrna šifra selhala už dávno dokonce existujou ruzne řetězce pro které vrátí stejný hash. Salt je už lepší řešení ale pořád reaguu na příspěvek trhnapadu.cz (bavime se o webhostingu unějakého poskytovatele) a ten to může zneužít kdy se mu zachce. Ano pokud to máš na vlastním serveru který máš zamknutý někde kde přístup máš jenom ty, tak se dají tyhle techniky považovat za bezpečné.

MD5 už je sice překonané, ale pokud udělám md5(md5(md5($heslo))) tak to tak jednoduché rozebrat nebude. Teda pokud dobře chápu princip md5, že pro jeden hash může být více výsledků.

A brute force by měl být použitelný jen na některých webech, které psalo prase. Je snad samozřejmé, že si hlídám počet neúspěšných přihlášení a po 5 pokusech to třeba na 30 min utnu. Takhle se bruteforce metoda prodlouží na několik století.

24. 2. 2010 21:14:11

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462922

exile

(3 hodnocení)

24. 2. 2010 21:14:45

Napsal Sajacz;465074
Md5 ta jako jednosměrna šifra selhala už dávno dokonce existujou ruzne řetězce pro které vrátí stejný hash.

tak tohle je docela logické, když má md5 fixní délku i znaky :)

(a sha1 tuším taky)... ale když saltuješ, tak ikdyž ti hoster ukradne ten salt, tak k tom uennajde žádé přístupné tabulky a dělat to bruteforcem by byl docela zabiják....

---------- Post was amended at 21:16 ----------

Napsal dracek;465083
MD5 už je sice překonané, ale pokud udělám md5(md5(md5($heslo))) tak to tak jednoduché rozebrat nebude. Teda pokud dobře chápu princip md5, že pro jeden hash může být více výsledků.
A brute force by měl být použitelný jen na některých webech, které psalo prase. Je snad samozřejmé, že si hlídám počet neúspěšných přihlášení a po 5 pokusech to třeba na 30 min utnu. Takhle se bruteforce metoda prodlouží na několik století.

dělat tady to md5(md5(md5($password))) a tak dále je největší blbost, protože se tim akorát zvětšuje možnost kolize, a to docela zásadně...

24. 2. 2010 21:14:45

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462921

Jiří Matějka

(23 hodnocení)

24. 2. 2010 21:21:03

Napsal exile;464837
pokud "jednosměrnými" myslíš md5ky, sha1čky a podobně, tak samozřejmě je taky blbost je nechávat samotné, ale je potřeba to ještě prosaltovat...

Saltem se v tomto případě moc nevyřeší, musíš ten salt někde uchovávat, patrně tedy na serveru (ať už to bude v databází, kódu nebo jinde) a majitel hostingu k tomu stejně bude mít přístup. Takže pro tento účel je to lhostejné.

---------- Doplňující příspěvek odeslán v 21:22 ----------

Napsal dracek;465083
MD5 už je sice překonané, ale pokud udělám md5(md5(md5($heslo))) tak to tak jednoduché rozebrat nebude. Teda pokud dobře chápu princip md5, že pro jeden hash může být více výsledků.
A brute force by měl být použitelný jen na některých webech, které psalo prase. Je snad samozřejmé, že si hlídám počet neúspěšných přihlášení a po 5 pokusech to třeba na 30 min utnu. Takhle se bruteforce metoda prodlouží na několik století.

Pokud se bojíme někoho od webhostera, tak ten to logicky nebude zkoušet přes web, ale stáhne si databázi a na tu bude brute force aplikovat, takže to jak je napsaná aplikace je úplně lhostejné.

24. 2. 2010 21:21:03

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462920

exile

(3 hodnocení)

24. 2. 2010 21:23:43

Napsal matejka;465089
Saltem se v tomto případě moc nevyřeší, musíš ten salt někde uchovávat, patrně tedy na serveru (ať už to bude v databází, kódu nebo jinde) a majitel hostingu k tomu stejně bude mít přístup. Takže pro tento účel je to lhostejné.

není to lhostejné, pro md5 už dávno existují tabulky kolizí, zatímco pro saltované stringy by si je musel dělat sám, což by mu při dostatečné délce stringů zabralo mládí i stáří...

24. 2. 2010 21:23:43

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462919

dracek

(26 hodnocení)

24. 2. 2010 21:33:27

Napsal exile;465084

dělat tady to md5(md5(md5($password))) a tak dále je největší blbost, protože se tim akorát zvětšuje možnost kolize, a to docela zásadně...

aha, tak to jo. Někde sem vstřebal špatné info.

24. 2. 2010 21:33:27

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462918

Jiří Zamazal

(5 hodnocení)

24. 2. 2010 21:35:59

Proč vůbec řešíte webhostery? Pokud bude webhoster chtít, tak si heslo zjistí - i když byste ho v databázi měli hashované (nebo šifrované, jak vy říkáte :-)).

1) Pokud nepoužíváte šifrované spojení (např HTTPS), tak veškerá data mezi webbrowserem a serverem jsou plain text - včetně hesla z formuláře - a tohle si může odchytit nejen webhoster, ale i třeba váš poskytovatel internetu nebo kolega z vedlejší kanceláře :-)

2) I když byste HTTPS měli, tak na hostingu mezi webserverem a databází spojení nemusí být šifrované (a mám za to, že ani není)... takže

Diskuse o zlém webhosterovi (a jak se proti němu bránit) je k ničemu :-)

24. 2. 2010 21:35:59

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/2#reply462917