81

Re: Шлях на криптографічну вершину

Lace написав:
FakiNyan написав:

і хеш паролю різний кожного разу, хоча пароль той самий

Ну так сіль різна, от і хеш буде також різний.

а як тоді порівнюється пароль з хешем, що у бд?

82

Re: Шлях на криптографічну вершину

FakiNyan написав:

а як тоді порівнюється пароль з хешем, що у бд?

Ну так ви ж знаєте сіль, пароль ви не знаєте, його вводить користувач, якщо хеш сіль+пароль збігається з тим, що у вас в БД, то все ок, пароль вірний, якщо хеш сіль+пароль не збігається, то пароль або сіль була неправильною, що й дало неправильний результат.

Подякували: leofun011

83

Re: Шлях на криптографічну вершину

VTrim написав:

Сіль статична, всі паролі пишуться з однією і тією ж сіллю, головне щоб ця сіль була складна і "унеможливлювала" брутфорс хешу по відомим базам.

*FACEPALM* Схоже, що безпека даних користувачів вас зовсім не цікавить.

FakiNyan написав:

так, я забув, це спочатку генериться сіль, а потім вона додається до хешу пароля? чи спочатку генериться сіль, додається до паролю, а потім генериться хеш солі разом з паролем, як одне ціле?

хеш(пароль + сіль) // або
хеш(сіль + пароль) // або
хеш(перемішати(пароль, сіль))
FakiNyan написав:

угу, одже - сіль кожного разу і має бути різною.

*YES*

FakiNyan написав:

Спочатку генериться сіль, вона додається до паролю, і обчислюється хеш результати.

*YES*

FakiNyan написав:

Потім до цього результату додається хеш самої солі, як я зрозумів, і вже це все зберігається в бд.

В базі в одній таблиці мають бути 2 (як мінімум) поля, в одному зберігається хеш (хеш посоленого пароля), в другому - сіль (чиста сіль, не хеш солі, бо потім треба солити пароль для перевірки).

Подякували: FakiNyan1

84

Re: Шлях на криптографічну вершину

угууу, і я так пойняв, якщо ми маємо сіль, і хеш солі з паролем, то ми можемо додати цю сіль до пароля, зробити хеш, і перевірити його. Але якщо якийсь хацкер не знає паролю, але має і сіль, і хеш солі з паролем, то навіть маючи цю сіль, він не зможе дістати пароль?
А хіба він не може так само брутфорсити, але тепер до кожного паролю додавати сіль, котру він стирив із бд разом з хешем солі та пароля?

85 Востаннє редагувалося leofun01 (08.04.2018 21:49:30)

Re: Шлях на криптографічну вершину

FakiNyan написав:

угууу, і я так пойняв, якщо ми маємо сіль, і хеш солі з паролем, то ми можемо додати цю сіль до пароля, зробити хеш, і перевірити його. Але якщо якийсь хацкер не знає паролю, але має і сіль, і хеш солі з паролем, то навіть маючи цю сіль, він не зможе дістати пароль?

Саме так.

FakiNyan написав:

А хіба він не може так само брутфорсити, але тепер до кожного паролю додавати сіль, котру він стирив із бд разом з хешем солі та пароля?

Брутфорс - тривалий процес. Якщо все правильно зробити, то середній час очікування хацкера буде вимірюватися роками.

upd: Простіше і швидше провести інєкцію коду і перехопити пароль, який буде відправлений самим користувачем, і потім зайти з першого разу.

Подякували: FakiNyan1

86

Re: Шлях на криптографічну вершину

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

87

Re: Шлях на криптографічну вершину

типу, є у нас пароль 003, аби збрутити його, нам треба 4 спроби,  і є у нас пароль сіль003, так нам треба ті самі 4 спроби, просто до кожного паролю додавати сіль зпереду

88 Востаннє редагувалося FakiNyan (08.04.2018 22:03:31)

Re: Шлях на криптографічну вершину

VTrim написав:

Подивився один зі старих своїх проектів і побачив там сіль до кожного хешу. Як же швидко все забувається :(

ну так ви еталонна веб-макака - копіпаст, і більше нічого не треба, а повчати лізе.

89

Re: Шлях на криптографічну вершину

FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

Подякували: FakiNyan1

90

Re: Шлях на криптографічну вершину

leofun01 написав:
FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Подякували: leofun011

91

Re: Шлях на криптографічну вершину

VTrim написав:

Все це давно пройдений етап, не хаміть, ви елементарну авторизацію не можете осилити.
І лізти з такими питаннями сеньору - шкварка.

нє, ну не знати таких елементарних речей людині. котра авторизаціями все життя займається - це й дісно, кхе кхе.. не буду казати, що. А мені, як фронтендщику, знати таке, навіть по роботі, не тре.

92

Re: Шлях на криптографічну вершину

FakiNyan написав:
leofun01 написав:
FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Так. В реальних проектах проста конкатенація стрічок використовується лише на етапі розробки і тестування, а перед заливкою сайту на хост метод перемішування змінюється і тримається в секреті. Ніхто, крім, можливо, розробника і хостера, не повинен мати доступ до цього методу.

Подякували: FakiNyan1

93

Re: Шлях на криптографічну вершину

VTrim написав:

З вас такий фронтендщик як і геймдев, тобто дуже чудовий.

ну не знаю, коли був в гейдеві - ніяких нарікань не було, і клієнти повертались знову до мене, а в фронт-енді так само, клієнт на кожному колі нахвалює, і п'ятирічку за чотири виконую.
А у вас шо?

94

Re: Шлях на криптографічну вершину

leofun01 написав:
FakiNyan написав:
leofun01 написав:

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Так. В реальних проектах проста конкатенація стрічок використовується лише на етапі розробки і тестування, а перед заливкою сайту на хост метод перемішування змінюється і тримається в секреті. Ніхто, крім, можливо, розробника і хостера, не повинен мати доступ до цього методу.

о, ось це вже робить сенс. Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

95

Re: Шлях на криптографічну вершину

FakiNyan написав:

Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Сіль можна й з самого паролю видобувати, в такому разі навіть якщо ваш сайт цілком злиють, то паролі будуть у відносній безпеці.

Подякували: leofun01, FakiNyan2

96

Re: Шлях на криптографічну вершину

Lace написав:
FakiNyan написав:

Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Сіль можна й з самого паролю видобувати, в такому разі навіть якщо ваш сайт цілком злиють, то паролі будуть у відносній безпеці.

в якому сенсі видобувати? з самого хешу паролю? чи мається на увазі генерація солі з перестановки елементів паролю?

97 Востаннє редагувалося Lace (08.04.2018 22:46:15)

Re: Шлях на криптографічну вершину

Як вам захочеться, можна взагалі комбінувати, наприклад, так

$password = md5($salt.md5($password).md5(substr($password,2,4)))
Подякували: FakiNyan1

98

Re: Шлях на криптографічну вершину

угу, я так пойняв, зараз воно тупо конкатенує, бо воно ж дає мені сіль перед хешуванням паролю, отже, перемішування я маю реалізувати сам. Хоча там є версія методу, де все відбувається разом, без доступу пограміста до солі, це, мабуть, зроблено саме для швидкої розробки, чи що..

Подякували: leofun011

99 Востаннє редагувалося Lace (08.04.2018 23:09:39)

Re: Шлях на криптографічну вершину

Насправді сіль більше потрібна для того, щоб не можна було підібрати пароль за допомогою готових хеш таблиць, котрі є у вільному доступі. Те, як ви будете її реалізовувати це вже значення другорядне. Просто якщо ви будете просто зберігати хеші не використовуючи сіль, то зливши вашу БД з паролями можна буде взяти пароль з готових хеш таблиць, але як показує практика, то багато людей використовує банальні паролі по типу 123123 або qwerty, тому такі прості паролі дуже легко буде знайти навіть без використання готових хеш таблиць, тобто з цим справиться навіть новачок, котрий пехопе почав вивчати позавчора ввечері і який навіть гадки не має як автоматизувати перевірку стирених хешів з готовими хеш таблицями.

Подякували: FakiNyan, leofun01, koala3

100

Re: Шлях на криптографічну вершину

Криптографія. Ключі { приватний, публічний } (видиво, en)