101 Відповідь від leofun01 Востаннє редагувалося leofun01 (08.04.2018 22:49:30)

  • leofun01
  • leofun01
  • Replace Team
  • Поза форумом
  • Дата реєстрації: 15.03.2014
  • Повідомлень: 2 422
    • Репутація: 2325

Re: Шлях на криптографічну вершину

FakiNyan написав:

угууу, і я так пойняв, якщо ми маємо сіль, і хеш солі з паролем, то ми можемо додати цю сіль до пароля, зробити хеш, і перевірити його. Але якщо якийсь хацкер не знає паролю, але має і сіль, і хеш солі з паролем, то навіть маючи цю сіль, він не зможе дістати пароль?

Саме так.

FakiNyan написав:

А хіба він не може так само брутфорсити, але тепер до кожного паролю додавати сіль, котру він стирив із бд разом з хешем солі та пароля?

Брутфорс - тривалий процес. Якщо все правильно зробити, то середній час очікування хацкера буде вимірюватися роками.

upd: Простіше і швидше провести інєкцію коду і перехопити пароль, який буде відправлений самим користувачем, і потім зайти з першого разу.

Подякували: FakiNyan1

leofun01 вебсайт

102 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

103 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

типу, є у нас пароль 003, аби збрутити його, нам треба 4 спроби,  і є у нас пароль сіль003, так нам треба ті самі 4 спроби, просто до кожного паролю додавати сіль зпереду

104 Відповідь від FakiNyan Востаннє редагувалося FakiNyan (08.04.2018 23:03:31)

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

VTrim написав:

Подивився один зі старих своїх проектів і побачив там сіль до кожного хешу. Як же швидко все забувається :(

ну так ви еталонна веб-макака - копіпаст, і більше нічого не треба, а повчати лізе.

105 Відповідь від leofun01

  • leofun01
  • leofun01
  • Replace Team
  • Поза форумом
  • Дата реєстрації: 15.03.2014
  • Повідомлень: 2 422
    • Репутація: 2325

Re: Шлях на криптографічну вершину

FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

Подякували: FakiNyan1

leofun01 вебсайт

106 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

leofun01 написав:
FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Подякували: leofun011

107 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

VTrim написав:

Все це давно пройдений етап, не хаміть, ви елементарну авторизацію не можете осилити.
І лізти з такими питаннями сеньору - шкварка.

нє, ну не знати таких елементарних речей людині. котра авторизаціями все життя займається - це й дісно, кхе кхе.. не буду казати, що. А мені, як фронтендщику, знати таке, навіть по роботі, не тре.

108 Відповідь від leofun01

  • leofun01
  • leofun01
  • Replace Team
  • Поза форумом
  • Дата реєстрації: 15.03.2014
  • Повідомлень: 2 422
    • Репутація: 2325

Re: Шлях на криптографічну вершину

FakiNyan написав:
leofun01 написав:
FakiNyan написав:

це я до того, що нафіга та сіль треба, якщо брутфорс буде таким самим брутфорсом, просто треба буде додавати сіль

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Так. В реальних проектах проста конкатенація стрічок використовується лише на етапі розробки і тестування, а перед заливкою сайту на хост метод перемішування змінюється і тримається в секреті. Ніхто, крім, можливо, розробника і хостера, не повинен мати доступ до цього методу.

Подякували: FakiNyan1

leofun01 вебсайт

109 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

VTrim написав:

З вас такий фронтендщик як і геймдев, тобто дуже чудовий.

ну не знаю, коли був в гейдеві - ніяких нарікань не було, і клієнти повертались знову до мене, а в фронт-енді так само, клієнт на кожному колі нахвалює, і п'ятирічку за чотири виконую.
А у вас шо?

110 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

leofun01 написав:
FakiNyan написав:
leofun01 написав:

Для брутфорсу соленого паролю хакер повинен мати інформацію про те, як саме сіль додається до паролю.
Ну і хеш посоленого паролю хакер не знайде в жодній базі готових хешів-паролів, а якщо і знайде, то це буде для іншої пари пароль-сіль.

під як саме ви маєте на увазі сіль+пароль, чи пароль+сіль, чи все перемішане?

Так. В реальних проектах проста конкатенація стрічок використовується лише на етапі розробки і тестування, а перед заливкою сайту на хост метод перемішування змінюється і тримається в секреті. Ніхто, крім, можливо, розробника і хостера, не повинен мати доступ до цього методу.

о, ось це вже робить сенс. Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

111 Відповідь від Lace

  • Lace
  • Lace
  • Користувач
  • Поза форумом
  • Дата реєстрації: 25.07.2017
  • Повідомлень: 157
    • Репутація: 116

Re: Шлях на криптографічну вершину

Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Сіль можна й з самого паролю видобувати, в такому разі навіть якщо ваш сайт цілком злиють, то паролі будуть у відносній безпеці.

Подякували: leofun01, FakiNyan2

112 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

Lace написав:

Тепер буду в цю сторону рити, бо хз, як воно зараз там робиться.

Сіль можна й з самого паролю видобувати, в такому разі навіть якщо ваш сайт цілком злиють, то паролі будуть у відносній безпеці.

в якому сенсі видобувати? з самого хешу паролю? чи мається на увазі генерація солі з перестановки елементів паролю?

113 Відповідь від Lace Востаннє редагувалося Lace (08.04.2018 23:46:15)

  • Lace
  • Lace
  • Користувач
  • Поза форумом
  • Дата реєстрації: 25.07.2017
  • Повідомлень: 157
    • Репутація: 116

Re: Шлях на криптографічну вершину

Як вам захочеться, можна взагалі комбінувати, наприклад, так

$password = md5($salt.md5($password).md5(substr($password,2,4)))
Подякували: FakiNyan1

114 Відповідь від FakiNyan

  • FakiNyan
  • FakiNyan
  • ПРОХВЕСІЙНИЙ ПРОГРАМІСТ
  • Поза форумом
  • Дата реєстрації: 27.06.2013
  • Повідомлень: 13 373
    • Репутація: 5414

Re: Шлях на криптографічну вершину

угу, я так пойняв, зараз воно тупо конкатенує, бо воно ж дає мені сіль перед хешуванням паролю, отже, перемішування я маю реалізувати сам. Хоча там є версія методу, де все відбувається разом, без доступу пограміста до солі, це, мабуть, зроблено саме для швидкої розробки, чи що..

Подякували: leofun011

115 Відповідь від Lace Востаннє редагувалося Lace (09.04.2018 00:09:39)

  • Lace
  • Lace
  • Користувач
  • Поза форумом
  • Дата реєстрації: 25.07.2017
  • Повідомлень: 157
    • Репутація: 116

Re: Шлях на криптографічну вершину

Насправді сіль більше потрібна для того, щоб не можна було підібрати пароль за допомогою готових хеш таблиць, котрі є у вільному доступі. Те, як ви будете її реалізовувати це вже значення другорядне. Просто якщо ви будете просто зберігати хеші не використовуючи сіль, то зливши вашу БД з паролями можна буде взяти пароль з готових хеш таблиць, але як показує практика, то багато людей використовує банальні паролі по типу 123123 або qwerty, тому такі прості паролі дуже легко буде знайти навіть без використання готових хеш таблиць, тобто з цим справиться навіть новачок, котрий пехопе почав вивчати позавчора ввечері і який навіть гадки не має як автоматизувати перевірку стирених хешів з готовими хеш таблицями.

Подякували: FakiNyan, leofun01, koala3

116 Відповідь від leofun01

  • leofun01
  • leofun01
  • Replace Team
  • Поза форумом
  • Дата реєстрації: 15.03.2014
  • Повідомлень: 2 422
    • Репутація: 2325

Re: Шлях на криптографічну вершину

Криптографія. Ключі { приватний, публічний } (en)

leofun01 вебсайт