Hesla – musí být zašifrována?

24. 2. 2010 21:36:00

Napsal dracek;465104
aha, tak to jo. Někde sem vstřebal špatné info.

ale jde jenom o to, když je máš přímo v sobě, pokud děláš třeba md5(md5($password).str_repeat($password,3).md5($password).$password) tak by ot mělo být ok...

---------- Post was amended at 21:37 ----------

Napsal Mazlik;465107
Proč vůbec řešíte webhostery? Pokud bude webhoster chtít, tak si heslo zjistí - i když byste ho v databázi měli hashované (nebo šifrované, jak vy říkáte :-)).

jen ze zvědavosti, rozdíl mezi hashovaným a šifrovaným je, že hashované se nedá nazpátek rozkódovat, zatímco šifrované ano, že?

24. 2. 2010 21:36:00

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462916

w3m

(22 hodnocení)

24. 2. 2010 23:01:42

Napsal exile;465108
jen ze zvědavosti, rozdíl mezi hashovaným a šifrovaným je, že hashované se nedá nazpátek rozkódovat, zatímco šifrované ano, že?

Ano. Sifrovani je obousmerne, hashovani jde jen jednou cestou.

24. 2. 2010 23:01:42

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462915

Jiří Zamazal

(5 hodnocení)

24. 2. 2010 23:35:11

Šifrování:

Mám plain text a chci ho utajit (např. chci, aby ho uměl přečíst jen oprávněný příjemce). Tak ho zašifruji pomocí nějaké šifry (např. DES, AES) za použití klíče, který prozradím jen příjemci. Příjemce pak může zašifrovaný text dešifrovat jen pomocí tohoto klíče.

Hash:

Rozptylovací (neboli hashovací) funkce vytvoří z plain textu otisk - řetězec, který je krátký. Z toho plyne, že pokud si nechám vytvořit nějaký otisk (hash), existuje tisíce (vlastně nekonečně mnoho!) řetězců, ze kterých se vygeneruje stejný hash - a tomu se říká synonymum (kolize).

hash("heslo123") = AbCdEHaSH

hash("nějakýJinýText") = AbCdEHaSH

Pokud se někde píše, že byla prolomena nějaká hešovací funkce (např md5), tak to neznamená, že byste z hashe mohli zpátky dostat původní text (např. heslo) - to opravdu nejde!

Ale znamená to, že umím najít další řetězce, které vygenerují stejný hash (umím najít další synonyma).

Hashování ale není jednosměrná šifra... To už prostě není šifra :-)

btw: Hashování není jen md5, sha apod... Hashování se používá v programování např. u asociativních polí (v php "klasické" pole).

Kódování:

Chci poslat nějaká data, ale vím, že někde na komunikačním kanále to neumí poslat/s tím pracovat. Tak ty data musím zakódovat dat, aby tomu všichni na cestě rozuměli. Tedy např. unicode, base64, apod...

Text (včetně diakritiky) zakóduju pomocí base64, protože někde na cestě umí pracovat jen s ASCII (třeba nějaký software). A až u příjemce poštovní klient "nesmyslné ASCII znaky" rozkóduje pomocí base64 zpátky na původní text.

24. 2. 2010 23:35:11

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462914

xdream

(2 hodnocení)

25. 2. 2010 00:12:28

ty prase koukej hesla sifrovat, to je minimum co muzes udelat pro bezpecnost.

25. 2. 2010 00:12:28

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462913

Jindra

(4 hodnocení)

25. 2. 2010 07:58:48

Myslím že hashování je na "professionálním" webu podmínečná věc a známka professionality a zájem o zákazníka.

Pokud hashovat nebudeš, dej sem link na tvůj herní projekt ať vím kam se nemám registrovat.

Jinak mám taky otázku ohledně hesla, když je zahashované, dá se poznat jestli je "bezpečné"? Tedy že tam mám Velká malá písmena a číslice?

Nejsem si jistý, v ASP.NET jsem zkoušel něco málo, ale

Dim md5Hasher as New MD5CryptoServiceProvider()

Dim hashedBytes as Byte()
Dim encoder as New UTF8Encoding()

hashedBytes = md5Hasher.ComputeHash(encoder.GetBytes(txtPwd.Text))

Nevím jak ten web funguje, ale přidat to do registrace a do loginu, by mělo jít v pohodě.

25. 2. 2010 07:58:48

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462912

exile

(3 hodnocení)

25. 2. 2010 09:37:41

Napsal jinora;465295
Myslím že hashování je na "professionálním" webu podmínečná věc a známka professionality a zájem o zákazníka.
Pokud hashovat nebudeš, dej sem link na tvůj herní projekt ať vím kam se nemám registrovat.

Jinak mám taky otázku ohledně hesla, když je zahashované, dá se poznat jestli je "bezpečné"? Tedy že tam mám Velká malá písmena a číslice?

Nejsem si jistý, v ASP.NET jsem zkoušel něco málo, ale

Nevím jak ten web funguje, ale přidat to do registrace a do loginu, by mělo jít v pohodě.

řek bych že nedá...

25. 2. 2010 09:37:41

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462911

clie

(6 hodnocení)

25. 2. 2010 09:47:11

Napsal trhnapadu.cz;464620

forpsi i czechia - dva dosti velcí hráči na trhu s doménami a webhostem mají všechna Vaše hesla plně k dispozici
sice je mají v db uloženy v nějakém sifrovani, ale je to jejich sifrovani, takze si ho umi vyvolat.
Me osobne to trosku znervoznuje, protoze jejich libovolny admin mi muze ukrast libovolnou domenu pres mail, protoze proste zna moje heslo treba do mailadmina..... a urcite bude mit moznost editovat logy na serveru, aby pekne zamet stopy

Ja bych uzakonil to, aby registratori(webhosteri) nesmely mit k dispozici klientsky hesla!!!!

Zjistit může, může i zažádat a zamést stopy u nich, ale nemůže zamést stopy u nic.cz a v případě sporu by měl předložit úředně ověřenou smlouvu o převodu domény, kterou mít nebude ;)

25. 2. 2010 09:47:11

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462910

trhnapadu.cz

(13 hodnocení)

25. 2. 2010 14:59:53

Napsal clie;465348
Zjistit může, může i zažádat a zamést stopy u nich, ale nemůže zamést stopy u nic.cz a v případě sporu by měl předložit úředně ověřenou smlouvu o převodu domény, kterou mít nebude ;)

kdo zna active24 tak vi, ze to tak neni....

jedine blokovani u nic.cz, coz se zase musi delat pro jednotlivy domeny.....takze docela zdlouhavy....

25. 2. 2010 14:59:53

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462909

Registrace

(1 hodnocení)

25. 2. 2010 16:32:41

Napsal trhnapadu.cz;465602
kdo zna active24 tak vi, ze to tak neni....
jedine blokovani u nic.cz, coz se zase musi delat pro jednotlivy domeny.....takze docela zdlouhavy....

Tak měj hlavní email na který domény registruješ u jinýho registrátora než máš ostatní domény a nikdo ti nic nemůže ukrást.

Leda tak že se na tebe dva registrátoři dohodnou a společně tě odrbou, což je už opravdu velký sci-fi. :D

Jinak nechápu proč používáš registrátora kterýmu nevěříš.

25. 2. 2010 16:32:41

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462908

trhnapadu.cz

(13 hodnocení)

25. 2. 2010 23:00:42

Napsal Registrace;465654
Tak měj hlavní email na který domény registruješ u jinýho registrátora než máš ostatní domény a nikdo ti nic nemůže ukrást.
Leda tak že se na tebe dva registrátoři dohodnou a společně tě odrbou, což je už opravdu velký sci-fi. :D
Jinak nechápu proč používáš registrátora kterýmu nevěříš.

no takhle to mam řešený :)

a na tvojí otázku - Nevim kterýmu registrátorovi "věříš" ty, ale všude makaj lidi, který s vlastnickou strukturu registrátora nemaj většinou nic společnýho.

Nejmenovaná (nemůžu si vzpomenout :) ) Lichtenštejnská banka taky nepředpokládala, že její "budoucí" bejvalej zaměstnanec střelí citlivý data evropskejm vládám kvůli daním :)

25. 2. 2010 23:00:42

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462907

(20 hodnocení)

25. 2. 2010 23:40:11

kdyz uz tu vsichni mluvite o sifrovani tak pridam svuj postreh do mlyna:

pouzivam SHA1 (je to vice bitovy hash nez MD5), solim a to tak ze sul neni v databazy a presto je vzdy jina, pricemz nesolim stylem $heslo.$sul ale tak ze nahodne generoanou sul rozhazu do hesla takze pokud bude heslo HESLO tak po soleni bude vypadat treba H1ES9L65O pricemz zde cisla byla umistena na pozice, ktere jsou predem stanovene, to same nakonec udelam pote i s vyslednym hashem, tudiz hacker nejdrive potrebuje pristup i ke scriptum aby vycetl, jake znaky ma odstranit z hashe, aby dostal skutecny SH1 hash (nikoliv soleny) a pote jeste znovu zjistit jake znaky v heslu budou sul, az se mu podari nejak z hashe dostat soleny retezec... myslim ze ej to zase o jeden krok k bezpecnosti hesel navic, pritom k tomu staic napsat vcelku jednoduchou fci a tu pote vsude pouzivat, samozrejme na kazdem serveru/strance nastavit jine hodnoty pro pozice soli... co myslite? blbost nebo dobry napad?

Jinak pro autora tematu... ubec neuvazuj nad tim kdo bude stranku pouzivat a jestli je to bezpecne... ty tady rikas ze u deti ej to jedno, ale ja bych rekl ze spise naopak, protoze prave deti jsou jedni z tech, kdo pouzivaji jedno heslo vsude, tudiz kdyz se nekdo dostane do databaze u tebe (a to dostane, protoze jestli je ten script napsanej bez hashovani hesel, tak bych se byl ochoten vsdit ze je deravej jak cednik a dostat se tak do databaze a vypsat si vsechny hesla by byla otazka par minut) tak zaroven ziska spousty hesel i k jejich mejlum a dalsim a dalsim uctum... nejhorsi je ze klidne uplne nepozorovane, protoze do databaze jen nahledne a pak zase odejde pryc naplnen spousty pristupovymi udaji... ochrana mych uzivatelu je vzdy na prvnim miste a rikat si, ze deti prece ochranu nepotrebuji je ten nejvetsi debilni vyplod ktery jsem zde mohl precist :)

25. 2. 2010 23:40:11

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462906

exile

(3 hodnocení)

25. 2. 2010 23:56:05

takhle šifrovat mě nenapadlo, dík za nápad...

Napsal AlesiBoss;465974
kdyz uz tu vsichni mluvite o sifrovani tak pridam svuj postreh do mlyna:

pouzivam SHA1 (je to vice bitovy hash nez MD5), solim a to tak ze sul neni v databazy a presto je vzdy jina, pricemz nesolim stylem $heslo.$sul ale tak ze nahodne generoanou sul rozhazu do hesla takze pokud bude heslo HESLO tak po soleni bude vypadat treba H1ES9L65O pricemz zde cisla byla umistena na pozice, ktere jsou predem stanovene, to same nakonec udelam pote i s vyslednym hashem, tudiz hacker nejdrive potrebuje pristup i ke scriptum aby vycetl, jake znaky ma odstranit z hashe, aby dostal skutecny SH1 hash (nikoliv soleny) a pote jeste znovu zjistit jake znaky v heslu budou sul, az se mu podari nejak z hashe dostat soleny retezec... myslim ze ej to zase o jeden krok k bezpecnosti hesel navic, pritom k tomu staic napsat vcelku jednoduchou fci a tu pote vsude pouzivat, samozrejme na kazdem serveru/strance nastavit jine hodnoty pro pozice soli... co myslite? blbost nebo dobry napad?

Jinak pro autora tematu... ubec neuvazuj nad tim kdo bude stranku pouzivat a jestli je to bezpecne... ty tady rikas ze u deti ej to jedno, ale ja bych rekl ze spise naopak, protoze prave deti jsou jedni z tech, kdo pouzivaji jedno heslo vsude, tudiz kdyz se nekdo dostane do databaze u tebe (a to dostane, protoze jestli je ten script napsanej bez hashovani hesel, tak bych se byl ochoten vsdit ze je deravej jak cednik a dostat se tak do databaze a vypsat si vsechny hesla by byla otazka par minut) tak zaroven ziska spousty hesel i k jejich mejlum a dalsim a dalsim uctum... nejhorsi je ze klidne uplne nepozorovane, protoze do databaze jen nahledne a pak zase odejde pryc naplnen spousty pristupovymi udaji... ochrana mych uzivatelu je vzdy na prvnim miste a rikat si, ze deti prece ochranu nepotrebuji je ten nejvetsi debilni vyplod ktery jsem zde mohl precist :)

25. 2. 2010 23:56:05

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462905

zoubek

(15 hodnocení)

26. 2. 2010 10:48:54

Když už jsem se dočet až sem, tak se připojím

Že to bude stát peníze navíc je jasné, nejde totiž jen o to ukládat heslo nějak utajené, ale i doprogramovat systém pro zapomenuté heslo, kdo to kdy dělal, ví že to taky chvilku zabere, to ale samozřejmě nic nemění na tom, že by to měl být standart to hackerum aspoň znepříjemnit

26. 2. 2010 10:48:54

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462904

Bacon

(2 hodnocení)

26. 2. 2010 10:57:58

Napsal zoubek;466118
Když už jsem se dočet až sem, tak se připojím

Že to bude stát peníze navíc je jasné, nejde totiž jen o to ukládat heslo nějak utajené, ale i doprogramovat systém pro zapomenuté heslo, kdo to kdy dělal, ví že to taky chvilku zabere, to ale samozřejmě nic nemění na tom, že by to měl být standart to hackerum aspoň znepříjemnit

Funkce zapomenutého hesla se dá vyřešit několika způsoby, a i ten nejsložitější, co mě zrovna napadá (kontrol. otázka + potvrzení mailu) je časově nenáročné, zvlášť když porovnáš možné následky nehashování.

26. 2. 2010 10:57:58

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462903

Registrace

(1 hodnocení)

26. 2. 2010 12:56:51

Napsal trhnapadu.cz;465955
no takhle to mam řešený :)
a na tvojí otázku - Nevim kterýmu registrátorovi "věříš" ty, ale všude makaj lidi, který s vlastnickou strukturu registrátora nemaj většinou nic společnýho.
Nejmenovaná (nemůžu si vzpomenout :) ) Lichtenštejnská banka taky nepředpokládala, že její "budoucí" bejvalej zaměstnanec střelí citlivý data evropskejm vládám kvůli daním :)

No pokud už budeš vlastnit doménu kvuli které by nějakej zaměstnanec registrátora riskoval vyhazov, 100% prohranou žalobu a pořádnej flastr, tak by bylo lepší tu doménu prostě u nic.cz zablokovat proti změnám.

Jinak srovnávat to s tou bankou je kravina, to nemá vůbec nic společnýho.

26. 2. 2010 12:56:51

https://webtrh.cz/diskuse/hesla-musi-byt-zasifrovana/strana/3#reply462902