me ta featura pripada velmi originalni a VELMI prakticka. Protoze verte tomu
nebo ne, kdyz vam tohle blog zahlasi, tak si to heslo sakra rychle zmenite,
protoze vas to proste bude srat. Dokud vam nezahlasi ze jste s danym heslem
jediny, nebudete mit klidny spanek a TO JE SPRAVNE !! :-)
Jirka
8. 9. 2007, 13.29
jinak samozrejme lepsi reseni je ale pouzit klasicky naseptavac „sily
hesla“, ktery se treba muze opirat i o tu cetnost hesla v databazi aniz by
primo vysolil presny pocet… to by asi bylo lepsi
Pavel
10. 9. 2007, 10.52
Jirka bude zřejmě vegetarián :)
Finwe
10. 9. 2007, 11.05
Nu, jak tak nad tím přemýšlím, úplně marný nápad to není, nicméně
vzhledem k tomu, že hesla hashujeme a
solíme, je pro nás zjištění počtu hesel nemožná věc. Nebo tedy
v nejbližší době bude.
Andrew
10. 9. 2007, 18.19
Tak to jsi přemýšlel spatně. I u hashovaných osolených hesel to
jde ;)
Finwe
10. 9. 2007, 20.28
Přemýšlel jsem o indikátoru síly hesla, ostatní jsem pronesl jako
fakt :)
Tak, jak solíme a šifujeme, to jde jen velmi, velmi špatně – s velkou
zátěží a mnoha požadavky na server. Tudíž je to pro nás nereálné
(dobře, ne nemožné, ale nereálné).
Shaman
15. 9. 2007, 12.52
1. Možná bych raději neprozrazoval, kolik uživatelů má stejné heslo,
přece jen se to myslím dá zneužít. Jasně, že člověk musí ještě
uhodnout login, ale když zná heslo, nebude to u některých kombinací
takový problém.
2. Indikátor síly hesla má smysl především ve chvíli, kdy si
uživatel to heslo vybírá, resp. se ho snaží uložit. V tu chvíli však to
heslo známe a není ani osolené, ani hashované (za předpokladu, že
nehashujeme javascriptem už na straně klienta, abychom omezili odposlech typu
man-in-the-middle).
Podle toho screenshotu jsem chtěl poznamenat něco ve smyslu, že by nebylo
od věci se zamyslet nad solením hesel. Následně mi došlo, že tohle máslo
by záhy přistálo na mé vlastní hlavě. Mno a teď jsem si navíc všiml
komentáře #5 –
Finwe. Takže radši nebudu rejpat a zbývá už jenom reagovat na #6 –
Andrew – milý Andrew, nemáš pravdu, v okamžiku, kdy se hashe solí
pokaždé jinou solí, to skutečně nejde, protože pak i dvě totožná hesla
dávají pokaždé jiný hash.
Finwe
30. 10. 2007, 1.23
#10 –
Jan Tichý Ale ano, jde to :) Jen ne tak, aby to bylo rozumně proveditelné
řekněme AJAXem – musela by se projít všechna jména v databázi,
u každého provést osolení solí pro dané jméno (ať už je to samotné
uživatelské jméno nebo nějaký jiný random řetězec uložený v db) a
ohashování zadaného hesla a porovnat s otiskem, uloženým v databázi.
Pokud odpovídá, $i++.
Andrew
30. 10. 2007, 13.52
#10 –
Jan Tichý Milý Jene, jistě, že by to šlo. Finwe od svého příspěvku
#5 –
Finwe přišel na to, jak. Zvládneš to taky? Příspěvek #11 –
Finwe s řešením si nečti! :D
Andrew
30. 10. 2007, 14.12
#11 –
Finwe Ono dost záleží na konkrétní implementaci solení. Jestli je to
nějaká operace, kterou databáze (třeba MySQL) neumí (HMAC), musel bys to
dělat ve skriptu postupně pro každého uživatele. Jestli je to ale prosté
spojení hesla a soli a z toho hash, který databáze umí (MD5, SHA1), dá se
to vyřešit jedním SQL dotazem.
Komentáře
BoB
7. 9. 2007, 16.14
Mám hádat? ;o)
Jirka
8. 9. 2007, 13.27
me ta featura pripada velmi originalni a VELMI prakticka. Protoze verte tomu nebo ne, kdyz vam tohle blog zahlasi, tak si to heslo sakra rychle zmenite, protoze vas to proste bude srat. Dokud vam nezahlasi ze jste s danym heslem jediny, nebudete mit klidny spanek a TO JE SPRAVNE !! :-)
Jirka
8. 9. 2007, 13.29
jinak samozrejme lepsi reseni je ale pouzit klasicky naseptavac „sily hesla“, ktery se treba muze opirat i o tu cetnost hesla v databazi aniz by primo vysolil presny pocet… to by asi bylo lepsi
Pavel
10. 9. 2007, 10.52
Jirka bude zřejmě vegetarián :)
Finwe
10. 9. 2007, 11.05
Nu, jak tak nad tím přemýšlím, úplně marný nápad to není, nicméně vzhledem k tomu, že hesla hashujeme a solíme, je pro nás zjištění počtu hesel nemožná věc. Nebo tedy v nejbližší době bude.
Andrew
10. 9. 2007, 18.19
Tak to jsi přemýšlel spatně. I u hashovaných osolených hesel to jde ;)
Finwe
10. 9. 2007, 20.28
Přemýšlel jsem o indikátoru síly hesla, ostatní jsem pronesl jako fakt :)
Tak, jak solíme a šifujeme, to jde jen velmi, velmi špatně – s velkou zátěží a mnoha požadavky na server. Tudíž je to pro nás nereálné (dobře, ne nemožné, ale nereálné).
Shaman
15. 9. 2007, 12.52
1. Možná bych raději neprozrazoval, kolik uživatelů má stejné heslo, přece jen se to myslím dá zneužít. Jasně, že člověk musí ještě uhodnout login, ale když zná heslo, nebude to u některých kombinací takový problém.
2. Indikátor síly hesla má smysl především ve chvíli, kdy si uživatel to heslo vybírá, resp. se ho snaží uložit. V tu chvíli však to heslo známe a není ani osolené, ani hashované (za předpokladu, že nehashujeme javascriptem už na straně klienta, abychom omezili odposlech typu man-in-the-middle).
Možná mi něco uniklo?
Andrew
15. 9. 2007, 17.28
#8 – Shaman Myslím, že to samé, co Jirkovi #3 – Jirka
Jan Tichý
30. 10. 2007, 0.37
Podle toho screenshotu jsem chtěl poznamenat něco ve smyslu, že by nebylo od věci se zamyslet nad solením hesel. Následně mi došlo, že tohle máslo by záhy přistálo na mé vlastní hlavě. Mno a teď jsem si navíc všiml komentáře #5 – Finwe. Takže radši nebudu rejpat a zbývá už jenom reagovat na #6 – Andrew – milý Andrew, nemáš pravdu, v okamžiku, kdy se hashe solí pokaždé jinou solí, to skutečně nejde, protože pak i dvě totožná hesla dávají pokaždé jiný hash.
Finwe
30. 10. 2007, 1.23
#10 – Jan Tichý Ale ano, jde to :) Jen ne tak, aby to bylo rozumně proveditelné řekněme AJAXem – musela by se projít všechna jména v databázi, u každého provést osolení solí pro dané jméno (ať už je to samotné uživatelské jméno nebo nějaký jiný random řetězec uložený v db) a ohashování zadaného hesla a porovnat s otiskem, uloženým v databázi. Pokud odpovídá,
$i++.Andrew
30. 10. 2007, 13.52
#10 – Jan Tichý Milý Jene, jistě, že by to šlo. Finwe od svého příspěvku #5 – Finwe přišel na to, jak. Zvládneš to taky? Příspěvek #11 – Finwe s řešením si nečti! :D
Andrew
30. 10. 2007, 14.12
#11 – Finwe Ono dost záleží na konkrétní implementaci solení. Jestli je to nějaká operace, kterou databáze (třeba MySQL) neumí (HMAC), musel bys to dělat ve skriptu postupně pro každého uživatele. Jestli je to ale prosté spojení hesla a soli a z toho hash, který databáze umí (MD5, SHA1), dá se to vyřešit jedním SQL dotazem.
Finwe
30. 10. 2007, 14.13
#13 – Andrew No, právě.
Andrew
30. 10. 2007, 14.24
#14 – Finwe Tak v tom případě bych to označil za chybu návrhu a killing-feature další verze :D
Jan Tichý
30. 10. 2007, 22.01
#11 – Finwe Aha, špatně jsem to pochopil, beru zpět. Aneb jde to :).
Vložit komentář
K tomuto příspěvku není povoleno přidávat komentáře.