[Lumax]

"Under måndagskvällen skedde ett intrång på sajten Gratisbio.se. Angriparen säger sig ha kommit över över 200 000 användarnamn och lösenord i klartext."

http://www.idg.se/2.1085/1.333066/in...ot-gratisbiose

[eliasson]

Idiotprogrammerare.
Bara genom att lägga till en md5-hash så hade det iallafall blivit lite bättre.

[Eyeon Media]

Citat:

Ursprungligen postat av eliasson

Idiotprogrammerare.
Bara genom att lägga till en md5-hash så hade det iallafall blivit lite bättre.

Tar ungefär 1 sekund att bryta MD5 för en vanlig person med rätt program som är lätt att hitta och bruka.
En lösning är att använda salt från en annan server och inte ha hela lösenordet på samma maskin, då måste personen ta sig in på båda för att få fram användarnas lösenord, sen finns det många andra sätt att öka säkerheten.

Citat:

Ursprungligen postat av ConnyWesth

Idiothacker som går in och förstör för andra, det är INTE programmerarens fel!!!

Oj, man undrar vilken typ av utvecklare du är... "Det var inte mitt fel, det var han som hacka!!" Snälla...

Jag tycker absolut detta är programerarens fel, inkompetens inom vissa branscher kan leda till att folk dör. Det är knappast så att detta är första hackningen någonsin genomförd. Som utvecklare vet man att det finns hackers, punkt. Gör man inget för att åtgärda problemet så är det väl klart som fan att det är utvecklarens fel, anställer man en inkompetent jubelidiot inom vilket område som helst så kan man t.om säger att det är arbetsgivarens fel i grund och botten, men man ska absolut inte säga att det är hackarens fel, för han gjorde det en hacker alltid har gjort och kommer göra och det kan man räkna med. Det är de som inte löser det problemet inom de system som de jobbar med som är den riktiga faran både för sig själva och sina kunder.

[Base]

Håller med Eyeon Media. En sak om man inte är lika sofistikerad som kodare nr2 men man borde kunnas hållas ansvarig om man är så pass inkompetent så man tex ej förstår problemen med att lagra lösenord i klartext.
Om du tex lämnar in din bil för service och firman ställer den ute vid gatan och den blir stulen så är det tex naturligt dom har ansvar.

[eliasson]

Citat:

Ursprungligen postat av Eyeon Media

En lösning är att använda salt från en annan server och inte ha hela lösenordet på samma maskin.

Hur skulle en sådan funktion se ut i praktiken och vilka tekniker används vanligtvis?
Intressant lösning då det inte spelar någon roll om någon får tag på källkoden på så sätt.

Vidareutveckla gärna, eller om du har någon sida liggande som förklarar det närmare.

[Eyeon Media]

Citat:

Ursprungligen postat av eliasson

Hur skulle en sådan funktion se ut i praktiken och vilka tekniker används vanligtvis?
Intressant lösning då det inte spelar någon roll om någon får tag på källkoden på så sätt.

Vidareutveckla gärna, eller om du har någon sida liggande som förklarar det närmare.

http://www.szydlo.com/szydlo2partypass.pdf förklarar bra tänket, sen hur man implementerar det själv är helt beroende på systemet. Vill du ha språk/system/server-specifika "tutorials" och exempel är det nog enkelt att hitta me google =) Fast jag rekomenderar starkt att förstå logiken från grunden innan man kör på en snabb lösning!

[DudeRille]

http://data.fuskbugg.se/skogsturken/gb3.png

Lite små rolig bild från flashback

[emilv]

Citat:

Ursprungligen postat av Eyeon Media

Tar ungefär 1 sekund att bryta MD5 för en vanlig person med rätt program som är lätt att hitta och bruka.

Bara för lätta lösenord. Om användaren själv är ansvarsfull och väljer ett säkert lösenord så kan det ta enorm tid att knäcka det, vilket gör att även en vanlig md5-hash utan salt är bättre än klartext.

Men visst ska man sträva efter att göra systemet helt oknäckbart.

[sokmotorn]

Citat:

Ursprungligen postat av Eyeon Media

Tar ungefär 1 sekund att bryta MD5 för en vanlig person med rätt program som är lätt att hitta och bruka.
En lösning är att använda salt från en annan server och inte ha hela lösenordet på samma maskin, då måste personen ta sig in på båda för att få fram användarnas lösenord, sen finns det många andra sätt att öka säkerheten.



Oj, man undrar vilken typ av utvecklare du är... "Det var inte mitt fel, det var han som hacka!!" Snälla...

Jag tycker absolut detta är programerarens fel, inkompetens inom vissa branscher kan leda till att folk dör. Det är knappast så att detta är första hackningen någonsin genomförd. Som utvecklare vet man att det finns hackers, punkt. Gör man inget för att åtgärda problemet så är det väl klart som fan att det är utvecklarens fel, anställer man en inkompetent jubelidiot inom vilket område som helst så kan man t.om säger att det är arbetsgivarens fel i grund och botten, men man ska absolut inte säga att det är hackarens fel, för han gjorde det en hacker alltid har gjort och kommer göra och det kan man räkna med. Det är de som inte löser det problemet inom de system som de jobbar med som är den riktiga faran både för sig själva och sina kunder.

statiskt salt och lite skoj med kryperingen brukar räcka, man kan ju köra tex
md5($salt.$password.md5($password))

om inte hackaren har tillgång till koden så är han duktig om han lyckas knäcka det där.

[Eyeon Media]

Citat:

Ursprungligen postat av sokmotorn

statiskt salt och lite skoj med kryperingen brukar räcka, man kan ju köra tex
md5($salt.$password.md5($password))

om inte hackaren har tillgång till koden så är han duktig om han lyckas knäcka det där.

Absolut! Finns många sätt att nå en låg säkerhetsnivå som håller för de flesta "script-kids". Det finns många som däremot kör bara md5, vilket är samma som klartext(och uppenbarligen så kör vissa helt enkelt klartext :P).