Forum > Serwis IN4.pl > Dlaczego do diaska in4.pl przechowuje hasła bezpośrednio nie hashuje?

Strona 1 z 1 1
skocz

stasiek

Wysłane 2016-02-19 08:17

No dlaczego?
Handlujecie nimi czy co?
Standardem jest przechowanie w bazie sql hasha i podczas logowania porównanie haseł na jego podstawie, wówczas przypomnienie hasła nie może mieć miejsca jedynie zresetowanie i ustawienie nowego.
Ponadto jeżeli robicie bez hasha a nie macie ssl(https) to jest jawnie wysyłane, jawnie przechowywane w ciasteczkach. Serwis IT i taka amatorka? Szok!?

emitar

  • emitar
  • wiadomość Użytkownik

  • 5186 wypowiedzi

Wysłane 2016-02-19 09:21

6 lat czekałeś na pierwszy post. Brawo.

Y540 (i7-9750HF, 16GB, SK Hynix 512GB, GTX1660Ti)

kowgli

  • kowgli
  • wiadomość Użytkownik

  • 4367 wypowiedzi

Wysłane 2016-02-19 09:34 , Edytowane 2016-02-19 09:37

@stasiek

"jeżeli robicie bez hasha a nie macie ssl(https) to jest jawnie wysyłane, jawnie przechowywane w ciasteczkach"


Oba stwierdzenia są bzdurne


1. "jeżeli robicie bez hasha a nie macie ssl(https) to jest jawnie wysyłane"
Co ma piernik do wiatraka? To czy hasło jest zhashowane po stronie bazy danych nie ma żadnego związku z tym jak będzie wysyłane. Niezależnie od tego, czy jest shashowane po stronie bazy może być:
a. wysłane jawnie, wtedy jest hashowane po stronie serwera, przed porównaniem z wartością z bazy
b. hashowane po stronie klienta (raczej niespotykane) i porównywane z wyliczonym po stronie serwera hashem jawnego hasła z bazy 


2. "jawnie przechowywane w ciasteczkach"
W ciasteczkach jest przechowywane to co chce programista strony. Nie spotkałem się, żeby w ciasteczkach trzymać hasła. Trzyma się raczej jakąś formę klucza sesji. Zresztą podejrzyj sobie ciasteczka, zanim zaczniesz rzucać bzdurne oskarżenia. W żadnym nie jest trzymane hasło.

straszny

Wysłane 2016-02-19 10:49 , Edytowane 2016-02-19 10:49

@emitar

6 lat czekałeś na pierwszy post. Brawo.

też bym bił brawo... ale ostatnio in4 zalewa fala ukrytych kont pozycjonerów, kiedyś tam zarejestrowanych, wyskakujących z abstrakcyjnymi problemami, i nagle drugie konto daje linka do rozwiązania problemu na stronie takiej i takiej. 



więc czekam na pojawienie się i w tym temacie "własciwego" postu ;)

Asus GL752VW (i7-6700HQ 2.6GHz, 32GB RAM, SSD: SanDisk Ultra 960GB, GPU: GTX960M). Apple iPad Pro 12.9 128GB Wifi+LTE. Apple iPhone X 256GB.

NetCop

  • NetCop
  • wiadomość Moderator

  • 14948 wypowiedzi

Wysłane 2016-02-19 11:39

Hasła nie są hashowane właśnie żeby działało przypomnienie. Hash generalnie jest słabym zabezpieczeniem i złamanie go nie nastręcza żadnych problemów, są całe bazy z dziesiątkami miliardów hashy. Cała reszta wypowiedzi to kompletna bzdura, ciastka są przecież po stronie klienta, można je sobie obejrzeć.
Generalnie nie wiem o co chodzi. Windows szpieguje, Facebook szpieguje, Google szpieguje, każdy operator GSM zapisuje wszystkie nasze rozmowy i SMSy, firmy te mają tam takie szczegółowe i imienne informacje o każdym, że głowa mała, a tu wielka drama, bo anonimowe konto ma niehasowane hasło \"\hmmm\"

ten, który pcha ten wózek ...

krzyss

  • krzyss
  • wiadomość Użytkownik

  • 5735 wypowiedzi

Wysłane 2016-02-19 11:54 , Edytowane 2016-02-19 11:55

@stasiek, poproś o skasowanie konta \"\spoko\"

Intel i5 4460 + Fera 5,Gigabyte H81M-HD3,12GB DDR3,Gigabyte GTX1050ti 4GB,Be Quiet 400W,Patriot Burst 120GB SSD,WDCBlue 1TB,Seagate 1TB,SPC AR6 + Zephyr 12cm,Benq E900WA + Panasonic TX-L37G20E,Genius SW355 2.1,W10

djluke

  • djluke
  • wiadomość Moderator
  • Znawca sprzętu komputerowegoMiły gość

  • 38032 wypowiedzi

Wysłane 2016-02-19 17:19

@NetCop
Teraz taka moda. Ale co by nie mówić hasła powinny być jakoś szyfrowane - jest to jakieś zabezpieczenie dla sierotek które wszędzie mają takie samo hasło i jego wyciek z jakiejś bzdurnej stronki może zagrozić np. naszej korespondencji czy finansom.
HTTPS faktycznie można by wdrożyć...tyle że to jest forum i serwis komputerowy...no ale i tak by można, nawet samemu sobie certa podpisać jakoś coby po taniości wyszło (dochodzi kwestia zaufania, ale jest wybór :-P).

Asus TUF Gaming X570 Plus, Ryzen 5800X, BeQuiet Dark Rock 4 Pro, 32GB Kingston Fury 3600MHz CL16, PowerColor RX 6700 XT Red Devil 12GB, SSD Samsung 980 Pro 1TB, WD WD80EZAZ, Seasonic Focus Plus Gold 650W, Fractal Design Define R6 USB-C, Razer BlackWidow Ultimate, Logitech MX Master 3; Windows 11 Insider; Samsung C32HG70; HP Color Laserjet Pro M281fdn.

cgc

  • cgc
  • wiadomość Użytkownik

  • 202 wypowiedzi

Wysłane 2016-02-19 18:01

@djluke
"...z jakiejś bzdurnej stronki..." ,no no, towarzyszu, odważnie...
 :-P

adir

  • adir
  • wiadomość Użytkownik

  • 968 wypowiedzi

Wysłane 2016-02-19 20:27

Słabe jest używanie funkcji skrótów typu md5 czy sha1
(szczególnie bez długiego ciągu sól plus ewentualnie pieprz).

Sól lub/i pieprz eliminują tęczowe tablice.

Szybkie procesory lub GPU radzą sobie bez problemu z md5/sha1
(szczególnie bez soli/pieprzu).

Są rozwiązania multi GPU co sprawdzają (testują) po 350 miliardów kombinacji na sekundę :)

Nie znaczy to, że nie należy zabezpieczyć haseł.

Warto używać metod / algorytmów przeznaczonych do hashowania haseł.
[LINK]

Metody te niesamowicie spowalniają brute force.

Parametry dobiera się tak, aby na serwerze (np. z CPU i7) pojedyncze
sprawdzenie hasha trwało z 0.2-0.5 sekundy.. ;)

To plus dodatkowo pieprz (stała długa wartość doklejana do wszystkich haseł w aplikacji)
zabezpiecza nawet jak userzy maja hasła 123456 i baza wycieknie ;)



i5-13500, Gigabyte B760 GAMING X, MSI RTX 4060 GAMING X, Kingston FURY Renegade Black DDR4 32GB 3600MHz CL16, Kingston KC3000 2TB M.2, Spartan 5 max

djluke

  • djluke
  • wiadomość Moderator
  • Znawca sprzętu komputerowegoMiły gość

  • 38032 wypowiedzi

Wysłane 2016-02-19 20:59

@cgc
A co \"\lol\" jak coś to nie dostanie recenzji \"\lol\"
A tak na serio to wiesz...to nie jest ani sklep ani bank ani żadna instytucja - to taka "bzdurna stronka" w sensie treść o niskim priorytecie bezpieczeństwa/poufności, na której nie przechowujesz żadnych danych wrażliwych.

@adir
Ale nawet jak złamiesz posolone hasło to uzyskasz co najwyżej to hasło. Klucza z takiej bazy nie wyciągniesz bez odszyfrowania wystarczającej ilości haseł, a to już długi czas. Ale długie hasło i tak będzie łamane latami.

Asus TUF Gaming X570 Plus, Ryzen 5800X, BeQuiet Dark Rock 4 Pro, 32GB Kingston Fury 3600MHz CL16, PowerColor RX 6700 XT Red Devil 12GB, SSD Samsung 980 Pro 1TB, WD WD80EZAZ, Seasonic Focus Plus Gold 650W, Fractal Design Define R6 USB-C, Razer BlackWidow Ultimate, Logitech MX Master 3; Windows 11 Insider; Samsung C32HG70; HP Color Laserjet Pro M281fdn.

adir

  • adir
  • wiadomość Użytkownik

  • 968 wypowiedzi

Wysłane 2016-02-19 22:18

@djluke
Oczywiście, że hash będzie zależał od posolenia (jeśli jest sensowne).
Ale na prawdę md5  / sha1 czy sha2 nie służą do hashowania haseł
tylko do np. porównywania integralności danych.

Sól lub/i pieprz eliminuje metodę słownikową i tęczowe tabele, ale nie brute force.

Może taki hash złamany będzie tylko w danym serwisie. Ale co się stanie
jak można większość w miarę krótkich haseł złamać i namieszać  / wykraść dane?

Sprzęt jest ekstremalnie szybki i nawet długie hasła szybko są łamane brute force

A tu osiągi crackera 25 x GPU
[LINK]

Przykładowo

a) sha1 - 20 mld prób na sekundę. I tak dużo wolniej niż md5()

b) 6 minut, każde hasło WIN XP ;)

c) 5.5 h , każde 8 znakowe hasło NTLM ;)

d) bcrypt (czyli główny algorytm password_hash() o którym mówiłem) na takiej maszynie tylko 71000
    hashy na sekundę. więc widać jaka złożoność (zwielokrotnienie) tego algorytmu i jak zabezpiecza.


Stare ale ciekawe:
[LINK]

i5-13500, Gigabyte B760 GAMING X, MSI RTX 4060 GAMING X, Kingston FURY Renegade Black DDR4 32GB 3600MHz CL16, Kingston KC3000 2TB M.2, Spartan 5 max

djluke

  • djluke
  • wiadomość Moderator
  • Znawca sprzętu komputerowegoMiły gość

  • 38032 wypowiedzi

Wysłane 2016-02-19 23:04

@adir
Jak dobry algorytm to i ładnie idzie. Kiedyś się bawiłem to hasełka Win7 (MD4 Unicode) pod 2x HD5770 pękały dość szybko.
Posiedziałem i odnalazłem swoje opracowanie z 2011 roku na jakąś laborkę na studiach. Celem było złamanie hasła Win7 przy pomocy programiku ighashgpu. Oto czasy dla 8-znakowego hasła (sprzęt to 2xHD5770 @ 960MHz):
małe litery <1min
małe i duże litery 4h
Małe i duże litery oraz cyfry 16h
Wszystkie znaki unicode 22 dni

Dobra kończę bo offtop si robi :-P

Asus TUF Gaming X570 Plus, Ryzen 5800X, BeQuiet Dark Rock 4 Pro, 32GB Kingston Fury 3600MHz CL16, PowerColor RX 6700 XT Red Devil 12GB, SSD Samsung 980 Pro 1TB, WD WD80EZAZ, Seasonic Focus Plus Gold 650W, Fractal Design Define R6 USB-C, Razer BlackWidow Ultimate, Logitech MX Master 3; Windows 11 Insider; Samsung C32HG70; HP Color Laserjet Pro M281fdn.

adir

  • adir
  • wiadomość Użytkownik

  • 968 wypowiedzi

Wysłane 2016-02-19 23:29 , Edytowane 2016-02-19 23:37

No no kolega praktyk :)

No raczej jak zły (za szybki) algorytm ;) to szybko idzie...

Przy bcrypt przy "koszcie" ustawionym na 12 lub więcej to wydatek energetyczny
łamania brute force 12 znakowego hasła* składającego się z []a-Z0-9+!@#$%^&*()_+<>?/
byłby większy niż wartość sekretów większości ludzi zabezpieczonych takim hasłem :)

OK też już kończę :)

Ostatni edit:

*  a jak do hasła usera przykładowego 123456, przed hashowaniem dodamy pieprz super324^4Fajny#@#$Serwis22MadodatkowyPieprz

To wtedy jesteśmy duuużo bezpieczniejsi (do czasu wycieku w/w ciągu znaków) :)

i5-13500, Gigabyte B760 GAMING X, MSI RTX 4060 GAMING X, Kingston FURY Renegade Black DDR4 32GB 3600MHz CL16, Kingston KC3000 2TB M.2, Spartan 5 max

Han

  • Han
  • wiadomość Użytkownik

  • 2232 wypowiedzi

Wysłane 2016-02-20 08:33

To ja jeszcze dodam od siebie, że na stronie nigdy nie powinno być opcji przypomnienia hasła, w związku z tym hasła nie powinny być trzymane jawnym tekstem w bazie. Alternatywą dla tego mechanizmu jest resetowanie hasła, które polega na przesłaniu linka umożliwiającego ustawienie nowego hasła.

EKWB Rad XT 360 + Magicool Ultra 360 + EKWB Supremacy EVO + Alphacool Coolplex 25 + EKWB D5 PWM G2 + Alphacool Eisdecke D5 | Ryzen 9 5900X | Gigabyte B550 Aorus Pro V2 | 4x8GB DDR4 Patriot Viper Steel 4400CL19@3600CL14 | PowerColor 6900XT Liquid Devil@2730/16000 | Corsair MP600Pro Hydro 2TB | Plextor M8PeG 1TB | Seasonic Focus+ 850W Platinum | Custom Desk PC + 6x Phanteks T30 120mm@0-850RPM + 5xGelid Silent 14 PWM | LG 27GL850-B

NetCop

  • NetCop
  • wiadomość Moderator

  • 14948 wypowiedzi

Wysłane 2016-02-21 20:20

To ja jeszcze dodam od siebie, że opcja przypomnienia hasła funkcjonowała od 15 lat i nikt nie miał z tym problemów (poza jednym gościem, który napisał pierwszy w życiu post na in4.pl) ale skoro wywołało to taką dyskusję, to opcja ta bezpowrotnie znika. Zahashowanie haseł to 1 komenda w SQLu więc już są zahashowane.  Resetu hasła na razie nie ma, będzie jak znajdę trochę czasu na zaimplementowanie tego.

ten, który pcha ten wózek ...

djluke

  • djluke
  • wiadomość Moderator
  • Znawca sprzętu komputerowegoMiły gość

  • 38032 wypowiedzi

Wysłane 2016-02-21 21:32

To się nazywa siła przyzwyczajenia czy jakoś tak. Jak siedzisz od lat w temacie to nie zauważasz jego błędów, jak ktoś przychodzi z zewnątrz to od razu to widzi. Tak samo można by napisać że strona stoi na starym HTMLu czy ppahappie i od 15 lat wszystko działa więc po co zmieniać :-P
No offence oczywiście.

Asus TUF Gaming X570 Plus, Ryzen 5800X, BeQuiet Dark Rock 4 Pro, 32GB Kingston Fury 3600MHz CL16, PowerColor RX 6700 XT Red Devil 12GB, SSD Samsung 980 Pro 1TB, WD WD80EZAZ, Seasonic Focus Plus Gold 650W, Fractal Design Define R6 USB-C, Razer BlackWidow Ultimate, Logitech MX Master 3; Windows 11 Insider; Samsung C32HG70; HP Color Laserjet Pro M281fdn.

NetCop

  • NetCop
  • wiadomość Moderator

  • 14948 wypowiedzi

Wysłane 2016-02-21 23:03

To nie błąd tylko świadoma funkcjonalność, która istniała od lat i ludziom to pasowało i z tego korzystali ale skoro teraz jest taki raban to dla mnie nie ma problemu żeby tego nie było. Generalnie nie ma się już nad czym rozwodzić, bo temat jest nieodwracalny.

ten, który pcha ten wózek ...

lami

Wysłane 2016-02-23 10:30

Jeżeli zdarzy się że faktycznie użytkownik zapomniał hasła to co ? Nowe konto \"\olaboga\".

Lubię ten portal i niepowtarzalny klimat jaki tworzymy !!! Lata biegną a ten wpis jest ciągle aktualny.

1084

  • 1084
  • wiadomość Użytkownik
  • Znawca sprzętu komputerowegoMiły gość

  • 18808 wypowiedzi

Wysłane 2016-05-05 23:46

To wtedy telefon do asystenta który odzyska profesjonalne te hasła+ 48 608-071-771. 

XoR

  • XoR
  • wiadomość Użytkownik

  • 8725 wypowiedzi

Wysłane 2016-08-08 19:37

ja tam przez jakiś czas, chyba dość długi nie miałem żadnego hasła
nawet nie wiem jak to było możliwe ale przy próbie zalogowania okazało się ze wystarczy wpisać login
hasło ustawiłem kilka miesięcy później bo mi się odrazu nie chciało :pinch:

[13600K@5.4/4.3][MSI Z790][AMD 6900XT][DDR4 32GB][4.5TB dysków NVMe][LG 48GQ900 48" 4K 138Hz OLED][LG 27GP950 27" 4K 160Hz IPS][HP LP2480zx 24" IPS RGB-LED A-TW][Sony GDM-FW900 24" CRT + POLAROID mod][Panasonic 42VT30 42" PDP][Xonar STX + Burson V5/V6C/V6V + Sennheiser HD545 w obudowach HD600][PSU 750W][Windows 11 X64][Playstation 5][LG V20][RaspberryPi 4 4GB]
Strona 1 z 1 1
skocz

Kto jest online: 0 użytkowników, 392 gości