101

Re: Шлях на криптографічну вершину

угууу, і я так пойняв, якщо ми маємо сіль, і хеш солі з паролем, то ми можемо додати цю сіль до пароля, зробити хеш, і перевірити його. Але якщо якийсь хацкер не знає паролю, але має і сіль, і хеш солі з паролем, то навіть маючи цю сіль, він не зможе дістати пароль?
А хіба він не може так само брутфорсити, але тепер до кожного паролю додавати сіль, котру він стирив із бд разом з хешем солі та пароля?

Говоріть українською! Живіть українською! Відчувайте українською!

102 Востаннє редагувалося leofun01 (08.04.2018 21:49:30)

Re: Шлях на криптографічну вершину

FakiNyan написав:

угууу, і я так пойняв, якщо ми маємо сіль, і хеш солі з паролем, то ми можемо додати цю сіль до пароля, зробити хеш, і перевірити його. Але якщо якийсь хацкер не знає паролю, але має і сіль, і хеш солі з паролем, то навіть маючи цю сіль, він не зможе дістати пароль?

Саме так.

FakiNyan написав:

А хіба він не може так само брутфорсити, але тепер до кожного паролю додавати сіль, котру він стирив із бд разом з хешем солі та пароля?

Брутфорс - тривалий процес. Якщо все правильно зробити, то середній час очікування хацкера буде вимірюватися роками.

upd: Простіше і швидше провести інєкцію коду і перехопити пароль, який буде відправлений самим користувачем, і потім зайти з першого разу.

Подякували: FakiNyan1

103

Re: Шлях на криптографічну вершину

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Говоріть українською! Живіть українською! Відчувайте українською!

104

Re: Шлях на криптографічну вершину

типу, є у нас пароль 003, аби збрутити його, нам треба 4 спроби,  і є у нас пароль сіль003, так нам треба ті самі 4 спроби, просто до кожного паролю додавати сіль зпереду

Говоріть українською! Живіть українською! Відчувайте українською!

105 Востаннє редагувалося FakiNyan (08.04.2018 22:03:31)

Re: Шлях на криптографічну вершину

VTrim написав:

Подивився один зі старих своїх проектів і побачив там сіль до кожного хешу. Як же швидко все забувається :(

ну так ви еталонна веб-макака - копіпаст, і більше нічого не треба, а повчати лізе.

Говоріть українською! Живіть українською! Відчувайте українською!

106

Re: Шлях на криптографічну вершину

FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

Подякували: FakiNyan1

107

Re: Шлях на криптографічну вершину

leofun01 написав:
FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Говоріть українською! Живіть українською! Відчувайте українською!
Подякували: leofun011

108

Re: Шлях на криптографічну вершину

VTrim написав:

Все це давно пройдений етап, не хаміть, ви елементарну авторизацію не можете осилити.
І лізти з такими питаннями сеньору - шкварка.

нє, ну не знати таких елементарних речей людині. котра авторизаціями все життя займається - це й дісно, кхе кхе.. не буду казати, що. А мені, як фронтендщику, знати таке, навіть по роботі, не тре.

Говоріть українською! Живіть українською! Відчувайте українською!

109

Re: Шлях на криптографічну вершину

FakiNyan написав:
leofun01 написав:
FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Так. В реальних проектах проста конкатенація стрічок використовується лише на етапі розробки і тестування, а перед заливкою сайту на хост метод перемішування змінюється і тримається в секреті. Ніхто, крім, можливо, розробника і хостера, не повинен мати доступ до цього методу.

Подякували: FakiNyan1

110

Re: Шлях на криптографічну вершину

VTrim написав:

З вас такий фронтендщик як і геймдев, тобто дуже чудовий.

ну не знаю, коли був в гейдеві - ніяких нарікань не було, і клієнти повертались знову до мене, а в фронт-енді так само, клієнт на кожному колі нахвалює, і п'ятирічку за чотири виконую.
А у вас шо?

Говоріть українською! Живіть українською! Відчувайте українською!

111

Re: Шлях на криптографічну вершину

leofun01 написав:
FakiNyan написав:
leofun01 написав:

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Так. В реальних проектах проста конкатенація стрічок використовується лише на етапі розробки і тестування, а перед заливкою сайту на хост метод перемішування змінюється і тримається в секреті. Ніхто, крім, можливо, розробника і хостера, не повинен мати доступ до цього методу.

о, ось це вже робить сенс. Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Говоріть українською! Живіть українською! Відчувайте українською!

112

Re: Шлях на криптографічну вершину

Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Сіль можна й з самого паролю видобувати, в такому разі навіть якщо ваш сайт цілком злиють, то паролі будуть у відносній безпеці.

Мова - це форма нашого життя, життя культурного й національного, це форма національного організування. (Іван Огієнко)

Найбільше і найдорожче добро в кожного народу -  це його мова. Ота жива схованка людського духу, його багата скарбниця, в яку народ складає і своє давнє життя, і свої сподіванки, розум, досвід, почування. (Панас Мирний)
Подякували: leofun01, FakiNyan2

113

Re: Шлях на криптографічну вершину

Lace написав:

Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Сіль можна й з самого паролю видобувати, в такому разі навіть якщо ваш сайт цілком злиють, то паролі будуть у відносній безпеці.

в якому сенсі видобувати? з самого хешу паролю? чи мається на увазі генерація солі з перестановки елементів паролю?

Говоріть українською! Живіть українською! Відчувайте українською!

114 Востаннє редагувалося Lace (08.04.2018 22:46:15)

Re: Шлях на криптографічну вершину

Як вам захочеться, можна взагалі комбінувати, наприклад, так

$password = md5($salt.md5($password).md5(substr($password,2,4)))
Мова - це форма нашого життя, життя культурного й національного, це форма національного організування. (Іван Огієнко)

Найбільше і найдорожче добро в кожного народу -  це його мова. Ота жива схованка людського духу, його багата скарбниця, в яку народ складає і своє давнє життя, і свої сподіванки, розум, досвід, почування. (Панас Мирний)
Подякували: FakiNyan1

115

Re: Шлях на криптографічну вершину

угу, я так пойняв, зараз воно тупо конкатенує, бо воно ж дає мені сіль перед хешуванням паролю, отже, перемішування я маю реалізувати сам. Хоча там є версія методу, де все відбувається разом, без доступу пограміста до солі, це, мабуть, зроблено саме для швидкої розробки, чи що..

Говоріть українською! Живіть українською! Відчувайте українською!
Подякували: leofun011

116 Востаннє редагувалося Lace (08.04.2018 23:09:39)

Re: Шлях на криптографічну вершину

Насправді сіль більше потрібна для того, щоб не можна було підібрати пароль за допомогою готових хеш таблиць, котрі є у вільному доступі. Те, як ви будете її реалізовувати це вже значення другорядне. Просто якщо ви будете просто зберігати хеші не використовуючи сіль, то зливши вашу БД з паролями можна буде взяти пароль з готових хеш таблиць, але як показує практика, то багато людей використовує банальні паролі по типу 123123 або qwerty, тому такі прості паролі дуже легко буде знайти навіть без використання готових хеш таблиць, тобто з цим справиться навіть новачок, котрий пехопе почав вивчати позавчора ввечері і який навіть гадки не має як автоматизувати перевірку стирених хешів з готовими хеш таблицями.

Мова - це форма нашого життя, життя культурного й національного, це форма національного організування. (Іван Огієнко)

Найбільше і найдорожче добро в кожного народу -  це його мова. Ота жива схованка людського духу, його багата скарбниця, в яку народ складає і своє давнє життя, і свої сподіванки, розум, досвід, почування. (Панас Мирний)
Подякували: FakiNyan, leofun012