sha1+salt

Kristoffer G · 2008-03-14, 12:02

Hellre göra för mycket än för lite är den filosofin jag försöker beskriva.

Edit*
En annan sak jag vill nämna också. Det är viktigt att man lyssnar på personer som SimonP och andra som verkar besitta en hel del kunskap inom området.. men samtidigt bör man inte förkasta andra förslag för att dem verkar onödiga enligt en själv. Det är viktigt att ta in alla synpunkter och basera ett beslut på den samlade kunskapen.

Man lever farligt om man inte lyssnar på andras synpunkter inom detta området. Samtidigt så är det otroligt bra att en sån här diskussion sker, både för mig och för andra. Jag är den första som erkänner om jag har fel, det kan ni lita på.

SimonP · 2008-03-14, 12:44

Citat:

Originally posted by Brazzan@Mar 14 2008, 11:38
Det beror på hur "galen" man är när det gäller säkerhet. Det är inte komplicerat att separera och det behöver inte Att spara saltet tillsammans med lösenordet är som du säger en lösning som räcker långt, men jag förstår fortfarande inte varför man ens ska chansa när det inte är svårt att fixa en separat lösning. Det är det som jag blir lite irriterad över... även om det bara ger en 1% ökning av säkerhet, så är det ju positivt med tanke på att det tar 10min att separera saltet från lösenordet.

Har man många users kan det påverka serverprestandan.

-en extra query för varje inloggning
-en extra query för varje registrering
-en extra query för varje borttagning
-en extra tabell som tar plats i cacheminnet på sqlservern
-en extra tabell att ta backup på

Enda gången som en separat salt-tabell kan hjälpa till är väl vid databasdumpning via sql-injections?
Isåfall är det nog bättre att lägga tid på att skydda sig mot SQL-injections.

Om en hacker har rootat servern spelar det ingen roll om salten ligger i en separat tabell.

Visst går det att separera saltet, frågan är bara om det är värt det?

Kristoffer G · 2008-03-14, 13:03

Det du säger är sant... och jag kan väl sträcka mig så långt att "min lösning" bara behövs i vissa situationer. Samt så är det sant som du säger att det kräver lite extra prestanda att ha en sån här lösning.

Om det är värt det eller ej är ju upp till var och en. Jag tycker det är roligt och informativt att diskuttera detta med bland annat dig

.... Jag får bra och konkreta svar som får mig att tänka. Jag hoppas att jag har en liknande påverkan på andra. Det är aldrig fel att få sina kunskaper omskakade.

Dock vill jag också nämna att jag ogillar att bli anklagad för att vara okunnig och dum som denna tråden tyvärr resulterat i (skett utanför forumet).

Lumax · 2008-03-14, 13:15

Jag brukar bland annat använda mig av sha1(användarnamnet) som salt. Det saltet lagrar jag ingenstans eftersom inloggningsfunktionen vet att den ska salta med sha1-hashen av det angivna användarnamnet.

Kristoffer G · 2008-03-14, 13:15

Det är också en bra lösning.

SimonP · 2008-03-14, 13:23

Citat:

Originally posted by Brazzan@Mar 14 2008, 13:03
Det du säger är sant... och jag kan väl sträcka mig så långt att "min lösning" bara behövs i vissa situationer. Samt så är det sant som du säger att det kräver lite extra prestanda att ha en sån här lösning.

Om det är värt det eller ej är ju upp till var och en. Jag tycker det är roligt och informativt att diskuttera detta med bland annat dig .... Jag får bra och konkreta svar som får mig att tänka. Jag hoppas att jag har en liknande påverkan på andra. Det är aldrig fel att få sina kunskaper omskakade.

Dock vill jag också nämna att jag ogillar att bli anklagad för att vara okunnig och dum som denna tråden tyvärr resulterat i (skett utanför forumet).

Japp, diskussion är bra.
Det här med IT-säkerhet och kryptering är dock inte så enkelt som många tror, jag har sysslat med det i snart 10 år och fortfarande kan jag lära mig nya grejor eller komma på saker som man kan göra bättre.

Kristoffer G · 2008-03-14, 13:27

Exakt. Man får inte låsa sig till en "tro" om man kan säga så. Jag har inte utvecklat riktigt så länge som du, det är en av anledningarna till att jag hänger i dessa typer av trådar.. vill utveckla mig själv och kunskaperna... samt få sina ideer kritiserade och i slutändan gå här ifrån med en bättre syn på saker och ting.

wizzo · 2008-03-14, 13:27

Spelar ingen roll för mig vad som är akademiskt korrekt eller inte under motorhuven. Simpelt md5+salt eller sha1+salt skulle uppfylla mitt behov och är lagom för min ringa kompetens. Så länge som jag uppnår det här så är jag säker

Citat:

Remember, no system is 100% secure. The trick is to make your system more secure than your neighbor.
So a thief will choose to break in to his system rather than yours. _Arnold Daniels

yoggi2k5 · 2008-03-14, 21:17

Brazzan, visst är det bra att komma med nya idéer, men just säkerheten är livsfarlig att börja laborera med själv. Man kan som amatör tycka att man lägger till extra funktioner som förstärker säkerheten, men det är inte ovanligt att det får motsatt effekt.
Säkerhet som bygger på algoritmer är oerhört komplex och bör lämnas över till experter. Det bästa vi som programmerare och webbmasters kan göra är att följa deras riktlinjer.

Data33 · 2008-03-16, 22:48

Jag brukar se till att varje användare har ett login och ett användarnamn. Detta för att det ska bli svårt att brute-forca eller köra dictionary-attack på användare (man måste ju veta vem som har vilken login först) samt statiskt och dynamiskt salt.

Som statiskt salt brukar jag bara köra någon textsträng i PHP-sidan såsom "hej12[3]" och sen slänga in md5(dynamisktsalt.lösenord.statisktsalt) där det dynamiska saltet bara består av något fält som hör till användaren, typ id eller login. Det här är det bästa jag har lyckats komma på, så om någon har några invändingar eller tips så är det bara att skriva.

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

sha1+salt