Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
Hapson пишет:
Ну в общих чертах, как я понял, можно использовать приведенный мною пример и сохранять сгенерированную соль в базе рядом с паролем пользователя.
Правильно?
да, соль просто усложняет пароль.
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
Hapson
Отправлено: 07 Июля, 2013 - 17:20:05
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
Помог: 10 раз(а)
[+]
OrmaJever пишет:
Hapson пишет:
Ну в общих чертах, как я понял, можно использовать приведенный мною пример и сохранять сгенерированную соль в базе рядом с паролем пользователя.
Правильно?
да, соль просто усложняет пароль.
Спасибо, понятно.
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
LIME
Отправлено: 07 Июля, 2013 - 18:19:49
Активный участник
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
EuGen пишет:
Дело в том, что md5 уязвим к атаке увеличением длины сообщения
и каким это образом можно применить данную уязвимость?
для этого нам надо как минимум знать хэш пароля без соли, который нигде не хранится, и еще надо знать соль
vanicon
Отправлено: 07 Июля, 2013 - 18:26:14
Частый посетитель
Покинул форум
Сообщений всего: 808
Дата рег-ции: Янв. 2010 Откуда: Самара
Помог: 17 раз(а)
LIME пишет:
для этого нам надо как минимум знать хэш пароля без соли, который нигде не хранится, и еще надо знать соль
Ну для этого и есть словари, простые пароли подберутся, а сложные уже нет.
А вот насчет соли то да, надо ее узнать сначала, тока если хакнуть само приложение, можно ее получить, если конечно соль в бд не хранить как Hapson
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
LIME пишет:
для этого нам надо как минимум знать хэш пароля без соли, который нигде не хранится, и еще надо знать соль
EuGen пишет:
иными словами, соль не спасёт от атаки по словарю, если есть база хешей (например, случай, когда взломали БД). Но вот сложные пароли не пострадают.
- имелся ввиду не общий случай, а случай, когда основной пароль есть словарное слово. Хеши из словаря подобрать несложно. Мысль не в том, что соль бесполезна, а в том, что она не защитит простой (словарный) пароль.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
LIME
Отправлено: 07 Июля, 2013 - 19:05:01
Активный участник
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
vanicon пишет:
простые пароли подберутся
к чему подберуться??...не хранятся несоленые хэши...поди подбери
EuGen пишет:
когда основной пароль есть словарное слово
и что?? ну допустим оно словарное ...но в бд хранится уже соленый хэш...словарь можно выбросить (Добавление)
эта уязвимость не по теме
EuGen
Отправлено: 07 Июля, 2013 - 19:06:57
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
LIME пишет:
эта уязвимость не по теме
По теме: LIME
DelphinPRO пишет:
Некоторые системы (например Joomla, а ее думаю не дураки писали?) хранят соль в базе, причем соль для каждого юзера уникальная.
- либо же соль найдена в приложении. Всё вышеуказанное не имеет смысла, если нет доступа к хешам.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
LIME
Отправлено: 07 Июля, 2013 - 19:08:56
Активный участник
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
ыгым...то есть принимаем что соль известна...ясно (Добавление)
но тогда нам и эта уязвимость не нужна
можно просто словарь просолить
вывод: уязвимость все же не по теме
OrmaJever
Отправлено: 07 Июля, 2013 - 19:56:12
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
EuGen но КАК?
Дано:
хеш словарного пароля с солью, (пароль "монитор", в итоге получаем md5 от "мониторa42gd1")
чистая соль ( a42gd1 )
Внимание вопрос: как узнать пароль?
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
LIME
Отправлено: 07 Июля, 2013 - 20:20:35
Активный участник
Покинул форум
Сообщений всего: 10732
Дата рег-ции: Нояб. 2010
Помог: 322 раз(а)
OrmaJever пишет:
как узнать пароль?
взяли словарь..."просолили" весь хорошенечко ...получили пароль(а вот при чем тут приведенная уязвимость тоже не понял)
Hapson
Отправлено: 07 Июля, 2013 - 21:38:17
Посетитель
Покинул форум
Сообщений всего: 356
Дата рег-ции: Июнь 2013 Откуда: Ставропольский край
----- ПЫХ тут - ходи туда, прежде чем писать сюда (толку больше будет)
OrmaJever
Отправлено: 07 Июля, 2013 - 21:40:06
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
LIME пишет:
взяли словарь..."просолили" весь хорошенечко ...
ахахах)) на генерацию словаря уходят недели ато и месяцы, а если для каждого юзера своя соль то это больше похоже на бред!
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
vanicon
Отправлено: 08 Июля, 2013 - 04:05:20
Частый посетитель
Покинул форум
Сообщений всего: 808
Дата рег-ции: Янв. 2010 Откуда: Самара
Помог: 17 раз(а)
да если соль у каждого пользователя своя, то словарь надо будет солить столько раз сколько в бд юзеров...что уже будет не быстро...
----- Так было, так есть и так будет
DeepVarvar
Отправлено: 08 Июля, 2013 - 08:18:51
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
Как правило нужны не все пользаки, а один, так-то солить один раз.
Но, ё-маё, если я узнал соль, значит я уже внутри приложения.
Нафига мне тогда вообще что-то уже ломать?
Компрометировать пользователя - меняй данные на живую.
Надо оставить бекдор - оставлю.
Да ну нафик - все это абстрактный конь в вакууме.
Серьезные сайты на жумле не делают, это как минимум.
Вот знаю EuGen что-то для телефонии делал - вот там да, надо подумать чтоб пароли не увели или пользака не скомпрометировали.
А в обычных гомносайтах, где полтора посетителя в месяц, оно и не нужно.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.