FAQ |
Kalender |
2008-03-13, 00:02 | #11 | |||
|
||||
Flitig postare
|
Brazzan hur mycket tar du i betalt för att pimpa upp ett färdigt md5 system skrivet i OOP och gör om till sha1+salt+(din-magic-touch)?
Det här tar aldeles för mycket tid från det jag egentligen vill koncentrera mig på <_< |
|||
Svara med citat |
2008-03-13, 00:02 | #12 | |||
|
||||
Mycket flitig postare
|
Citat:
Det dynamiska saltet kan sparas i samma databas. |
|||
Svara med citat |
2008-03-13, 00:05 | #13 | |||
|
||||
Mycket flitig postare
|
Citat:
|
|||
Svara med citat |
2008-03-13, 00:34 | #14 | ||
|
|||
Har WN som tidsfördriv
|
Håller inte med. Man bör spara det separat. Det är lite som att ge bort en bit av kakan tycker jag... det ska dock nämnas att man måste veta hur man fogar ihop hash+salt, men varför chansa...
Det är ju inte jätte avancerat att separera och lagra saltet på annan plats... även om det kanske bara ger en liten förbättring ur ett säkerhetsperspektiv. Det tar inte så lång tid. Men, alla gör vi olika Jag väljer att lägga 10min extra på att lagra det separat. |
||
Svara med citat |
2008-03-13, 08:42 | #15 | ||
|
|||
Har WN som tidsfördriv
|
Brazzan: Verkar som du inte vet vad saltet har för syfte eftersom du tycker det ska lagras separat och syftet med saltet skulle försvinna när någon kommer över dessa.
|
||
Svara med citat |
2008-03-13, 10:21 | #16 | ||
|
|||
Har WN som tidsfördriv
|
.... Ett salt används för att utöka säkerheten på ett lagrat lösenord. Främst är det till för att stoppa attacker där man testar lösenordet mot en lista med kända lösenord... rainbow-tables.
Om man har slumpade salt för varje lösenord krävs det att man bygger upp nya listor för varje salt, vilket tar väldigt väldigt lång tid. Det är det som stoppar en en lista med kanske 10 000 lösenord att läcka ut i klartext... alltså, man måste bygga upp listor för varje användare och salt som finns, 10 000ggr.... vilket inte är realistiskt. Men det kanske bara krävs att man knäcker ett lösenord, administratörens och på så sätt får tillgång till en adminpanel, webhotellet eller andra ställen där han har samma lösen. Återigen.. varför chansa när det inte är så svårt att lägga det separat. |
||
Svara med citat |
2008-03-13, 23:15 | #17 | ||
|
|||
Nykomling
|
Håller med SimonP om att det är onödigt att spara saltet på annan plats, det är ju som sagt lösenordspolicyn som är avgörande!
Anledningen till att man inte ska göra det, förutom att det är onödigt, är för att det ger dålig struktur och bygger för mycket onödig komplexitet i applikationen. |
||
Svara med citat |
2008-03-13, 23:20 | #18 | ||
|
|||
Klarade millennium-buggen
|
Brazzan, egentligen räcker det väl med att ha en rätt simpel salt (tex användarens user-id) för att uppnå det du pratar om. Dvs att man måste generera nya rainbow-tables för varje user.
Det känns som att det är en rätt markant ökning i säkerhet som räcker för de flesta? |
||
Svara med citat |
2008-03-14, 09:08 | #19 | |||
|
||||
Mycket flitig postare
|
Själv har jag löst det genom att saltet är ett slumpmässigt antal bytes som läggs på och som inte behöver sparas separat. Antalet salt-bytes kan räknas fram "baklänges" vid verifieringen om lösenordet som ska testas bara är av rätt längd.
Vill inte posta min kod här men något liknande finns här (.NET). |
|||
Svara med citat |
2008-03-14, 11:38 | #20 | ||
|
|||
Har WN som tidsfördriv
|
Citat:
Citat:
Att spara saltet tillsammans med lösenordet är som du säger en lösning som räcker långt, men jag förstår fortfarande inte varför man ens ska chansa när det inte är svårt att fixa en separat lösning. Det är det som jag blir lite irriterad över... även om det bara ger en 1% ökning av säkerhet, så är det ju positivt med tanke på att det tar 10min att separera saltet från lösenordet. Angående lösenordspolicy så nämnde jag det tidigare också. Det blir ju mycket bättre om man lyckas införa en policy som sätter minimun kvar på lösenordet. Ni får tycka jag är paranoid eller onödigt komplicerad... men jag väljer att göra vad jag kan för att minimera chansen.... vi lever ju i en tid där det finns ett ökande hot från personer vars syfte är att förstöra för andra, bara för att dem kan. |
||
Svara med citat |
Svara |
|
|