V jaké kodování ukládá DB hesla?

Pavel Janků

(93 hodnocení)

24. 8. 2011 20:46:15

Jde to úplně jednoduše zadat ;) Stačí trochu přemýšlet a dohledat si kód znaku (myslím to spojení alt + #) :)

24. 8. 2011 20:46:15

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670245

Jan Matoušek

(12 hodnocení)

24. 8. 2011 21:01:57

NZ. Ale cpát do toho sha kvůli složitějšímu výpočtu je podle mě zbytečný. Ideální je md5 + solit se spec. znakama/českou diakritikou, ale pravda - bez soli ani ránu.
md5("řš{$pass}㷸")
No zase tak idealni to neni, kdyz jsi v zahranici a nikde ty hacky a carky najit na klavesnici zaboha nemuzes;)

to co sh napsal je ve skriptu, uživatel si už s klávesnicí lámat hlavu nemusí, když napíše heslo, tak se to tam dosadí jako md5("řš{heslo}㷸")

24. 8. 2011 21:01:57

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670244

Martin Schlemmer

(36 hodnocení)

24. 8. 2011 21:54:31

MD5 ani SHAx + salt není absolutně dostačující!

Používejte bcrypt a zvolte si work factor odpovídající stávajícímu dostupnému HW.

http://codahale.com/how-to-safely-store-a-password/

Stejně tak nejsou bezpečnější hesla se "speciálními znaky". Jediné, čeho docílí, je, že si je uživatel hůř zapamatuje.

Poslední doporučení kryptografických kruhů zní:

Zvolte si jako heslo čtyři náhodná slova.

http://security.stackexchange.com/questions/6095/xkcd-936-short-complex-password-or-long-dictionary-passphrase

24. 8. 2011 21:54:31

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670243

(20 hodnocení)

25. 8. 2011 01:18:32

pouzivam sha256 + salt + saltuji i vysledny hash (pridavam do nej nahodne generovane znaky na predem stanovene pozice - utocnik musi mit pristup k PHP aby vedel jak hash vznika) ... za prve se na to kurevsky spatne stavi rainbow tables za druhe bez znalosti php je nemozne to rozlustit (casty pripad ukradeni db bez pristupu k php - klasicky sql injection)

kazdopadne ciste md5 rozlustu kazdy tatar ... takze jak psal jBcz -

b54b09870890955999d56e29fe3b5bdb == firebird555

uplne stupidne pres rainbow tables (zkusil jsem hned tri a vsechny znali odpoved :)) )

25. 8. 2011 01:18:32

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670242

tomik1313

(2 hodnocení)

25. 8. 2011 08:06:30

jj, ako tu bolo spominane, tak md5 je uz davno prekonane (cca 5 rokov dozadu mozno aj vic to slo prelomit do jednej minuty na beznom PC vdaka najdeniu kolizie)... ale nie o tom som chcel. Moja otazka je - ak pouzivate MySQL 5, je sifrovanie hesla cez MySQL funkciu password() bezpecne? Existuju na tieto hashe nejake kvalitne velke rainbow tabulky? Kedysi som sa s tym asi pol dna, no na nic rozumne som neprisiel ako to prelomit :-( hral sa s tym uz niekto?

25. 8. 2011 08:06:30

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670241

Pavel Petržela

(1 hodnocení)

25. 8. 2011 08:31:27

Napsal Paradiso;693417
to co sh napsal je ve skriptu, uživatel si už s klávesnicí lámat hlavu nemusí, když napíše heslo, tak se to tam dosadí jako md5("řš{heslo}㷸")

Aha, ok pobral jsem to spatne, omluva sh :[

25. 8. 2011 08:31:27

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670240

takatom

(2 hodnocení)

25. 8. 2011 11:42:57

cbb05c0fef156197cbd0bfe62ddfa799

fakt?

25. 8. 2011 11:42:57

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670239

(20 hodnocení)

25. 8. 2011 11:51:49

takatome :) kolik to ma znaku ? 2 miliony ? tady se bavime o klasickych heslech do 20ti mozna az 30ti znaku... na ktere jsou dneska ranbow tables i zdarma primo online :) tzn ukladat takl bezna hesla... je dneska prekonane, nespolehlive a k nicemu :)

25. 8. 2011 11:51:49

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670238

Kamil Tomšík

(3 hodnocení)

25. 8. 2011 15:42:13

pouzivat plain-text je hloupost, to doufam vsichni vime

pouzivat hash(heslo) je z jiz zminenych duvodu skoro stejna hloupost jako plain-text

pouzivat hash(heslo+sul) a nebo hash(sul+heslo) je lepsi, ale ne dost, protoze pro obe varianty existuji GPU crackery

http://en.wikipedia.org/wiki/HMAC je lepsi volba, ale porad je to celkem prustrelne

http://en.wikipedia.org/wiki/Key_stretching je relativne dobra volba pro "chude" - jde o par stovek cyklicky zavolanych hashi se side-effectem (menici se sul, ale stejne heslo v kazde iteraci), nejlepe v kombinaci s hmac - da se napsat na 2 radky

http://en.wikipedia.org/wiki/PBKDF2 je asi nejznamejsi bezpecny algoritmus - i v kombinaci s deravou md5 bude velmi tezce prolomitelny - narozdil od predchozi varianty je pbkdf2 primo zavisly na hmac - a stejne jako hmac ho lze pouzit s jakoukoliv hashovaci fci s pevnou delkou bloku. obvykle se da naimplementovat do 10ti radku

Jen pro jistotu... pointou je, ze dobra hashovaci fce je sice dulezita, ale to samo o sobe proste nestaci, i sha512 bude jednou prolomena a nebo alespon pujde pocitat dostatecne rychle.

25. 8. 2011 15:42:13

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670237

Martin Schlemmer

(36 hodnocení)

25. 8. 2011 15:49:08

Bcrypt je prý ještě o něco lepší než PBKDF2

http://security.stackexchange.com/questions/4781/do-any-security-experts-recommend-bcrypt-for-password-storage

Bcrypt relies heavily on accesses to a table which is constantly altered throughout the algorithm execution. This is very fast on a PC, much less so on a GPU, where memory is shared and all cores compete for control of the internal memory bus. Thus, the boost than an attacker can get from using GPU is quite reduced, compared to what the attacker gets with PBKDF2 or similar designs.

25. 8. 2011 15:49:08

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670236

Kamil Tomšík

(3 hodnocení)

25. 8. 2011 16:01:28

Napsal Martin Schlemmer;693756
Bcrypt je prý ještě o něco lepší než PBKDF2
http://security.stackexchange.com/questions/4781/do-any-security-experts-recommend-bcrypt-for-password-storage

Diky za doplneni,

bcrypt je zajimavy, ale nikdy jsem ho neimplementoval (narozdil od pbkdf2), mas s nim nejakou zkusenost? ja o nem vim jenom to, ze je povazovany za bezpecnejsi, jelikoz je pomalejsi :)

25. 8. 2011 16:01:28

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670235

Martin Schlemmer

(36 hodnocení)

25. 8. 2011 16:04:47

Mám s ním zkušenost jen jako s černou skříňkou, ne s implementací.

25. 8. 2011 16:04:47

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670234

Kamil Tomšík

(3 hodnocení)

25. 8. 2011 16:20:53

tak to ja nemam ani takovou :)

pbkdf2 je super mimojine v tom, ze umoznuje generovat (skoro) jakkoliv dlouhe vystupy - coz se hodi napriklad na generovani ruznych klicu, jinak diky za odkaz, urcite dam bcryptu sanci.

UPDATE: chvili jsem googlil - bcrypt je opravdu povazovany za bezpecnejsi, bohuzel je ale v php nativni az od verze 5.30, takze ho neni mozno pouzit vzdy - implementace v php samotnem by byla prilis pomala a pbkdf2 by melo navrch, jelikoz se da pouzit s jakoukoliv hash fci, ktera uz muze byt nativni

25. 8. 2011 16:20:53

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670233

takatom

(2 hodnocení)

26. 8. 2011 09:48:08

Pro Aleše: Heslo jsem zapomněl, ale i délkou odpovídalo něčemu podobnému - RuzovetkAnickY365*KoceK. Kódováno MySQL, md5.

26. 8. 2011 09:48:08

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670232

(20 hodnocení)

26. 8. 2011 12:46:40

takatom cracker jede na plne obratky, dokonceno 22% pokud je to heslo takove jako rikas tak ho to do par dni crackne :) a ted si vezmi ze kdybych mel k dispozici ty 3TB rainbow tables co se daj za par tisic koupit, tak uz bych ho mel protoze tam bude na 100% :)

26. 8. 2011 12:46:40

https://webtrh.cz/diskuse/v-jake-kodovani-uklada-db-hesla/strana/2#reply670231