Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Идея авторизации. Ключевые файлы. [2]
Покинул форум
Сообщений всего: 240
Дата рег-ции: Нояб. 2012
Помог: 1 раз(а)
Вариант:
1. Берем имя юзера и его пароль. Создаем ключ-файл (на самом деле - php-функция декодирования имени юзера)
2. Закручиваем ее в base64_encode или аналогичное, но используем возможность ключа для декодирования.
3. Ключ модифицируем (например, делаем его MD5 + сумму всех цифр в md5 этого шифра) и разбрасываем по коду (например, вставляем кусками по 2 символа каждые 4 символа кода). И отправляем юзверю.
4. При отправке юзверем кода нам - сначала вырезаем из него md5 и сумму и проверяем - если совпали - значит код не изменен.
5. Если не изменен - используем его для декодирования пункта 1, получая имя юзера и пароль.
6. Сверяем полученное имя юзера + пароль с базой и ура...
Только вопрос - нахрена нам этот гемор? Все равно "натыкать пароль" проще, чем ткнуть Обзор и найти файл-пароль.
К тому же есть уроды-хостеры, у которых коряво передаются бинарники.
----- Истина прежде всего в том, что...
EuGen
Отправлено: 02 Февраля, 2013 - 23:09:23
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
LShark
Отправлено: 03 Февраля, 2013 - 06:53:38
Частый гость
Покинул форум
Сообщений всего: 240
Дата рег-ции: Нояб. 2012
Помог: 1 раз(а)
EuGen пишет:
Можно. Но все подобные схемы придуманы и реализованы до нас.
Вот и я о том же.
Другое дело создать алгоритм "я передаю тебе рисунок, а ты сравниваешь - то ли я нарисовал"
Т.е. не хеш файла, а именно изображение. Тогда не важно, внедрилось что то в картинку, или нет.
----- Истина прежде всего в том, что...
Vinyl
Отправлено: 03 Февраля, 2013 - 07:12:50
Частый посетитель
Покинул форум
Сообщений всего: 645
Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край
Помог: 15 раз(а)
LShark пишет:
Т.е. не хеш файла, а именно изображение.
Тогда либо пользователь с сотого раза будет "попадать", либо ф-я будет неустойчива к брутфорсу.
Покинул форум
Сообщений всего: 240
Дата рег-ции: Нояб. 2012
Помог: 1 раз(а)
Ну разве что заархивировать картинку перед передачей юзеру?
Зипом. С паролем.
Пароль к этому архиву генерировать рандомно хранить как пару к Логину юзера и хешу картинки.
Приняли - распаковали, сравнили хэш.
И повредить сложнее, и украдут - не страшно. Ключ-Файл, передаваемый юзеру, при этом, можно модифицировать (немного обратимо повредив заголовок, чтобы программы юзера не видели, что это зип-архив).
Тогда у юзера - ключ-пароль, который он не может изменить.
Покинул форум
Сообщений всего: 645
Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край
Помог: 15 раз(а)
Тогда лучше контейнер Truecrypt! C AES-Serpent-Twofish и 30-значным паролем и ключами, которые на сервере (штук двадцать!). И заголовка там нет по умолчанию) Хорошая идея! Прям для сверхсекретных данных каких-то
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Сейчас придёте к ключам асимметричного шифрования и к какому-нибудь HASP
----- PostgreSQL DBA
LShark
Отправлено: 03 Февраля, 2013 - 08:53:15
Частый гость
Покинул форум
Сообщений всего: 240
Дата рег-ции: Нояб. 2012
Помог: 1 раз(а)
Действительно вопрос медленно ползет к этому.
Но, как всегда, надо, чтобы "цель оправдывала средства".
А мы имеем:
1. Нам лень натыкать пароль ИЛИ надо сделать так, чтобы пароль нельзя (принципиально) увидеть или сохранить кейлоггером.
2. Размер "пароля" должен быть небольшим (например: в пределах 512 байт - стандартный размер сектора на флешке).
на и отсюда вытекает:
а) надо обеспчить, чтобы даже скопировав этот файл себе, злоумышленник не мог тупо его добавить сам при запросе Логин-Пароль.
Какие еще могут быть ограничения/причины этой порнографии и как обеспечить пункт А?
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.