Kom ihåg mig?

kryptering av av användares lösenord

 
Ämnesverktyg Visningsalternativ
Oläst 2009-07-06, 20:46 #11
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
Sha1 + dubbla salt (ett statiskt och ett "unikt") + max antal inloggningsförsök

Sha1 räcker alldeles utmärkt för en webbplats.
__________________
Full-stack developer, free for smaller assignments
tartareandesire är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-06, 21:40 #12
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Clarence Clarence är inte uppkopplad
Administratör
 
Reg.datum: Jan 2003
Inlägg: 1 974
Citat:
Originally posted by KristianE@Jul 6 2009, 18:23
SHA1 har visat sig "ganska svag" i nya tester som
gjorts och därför rekommenderas starkare versioner
av SHA som t.ex. SHA512 för mer kritiska tillämpningar.
Finns det något av dess "tester" som är någorlunda relevant om SHA1 används för just lösenordshashar? Mig veterligen är de "nya" svagheterna endast av relevans om det används i kryptografisk kommunikation?

Den största svagheten hos de flesta inloggningar med någorlunda säkerhetstänk är väl annars att lösenorden skickas i klartext från klient till server - vilket inte alltför sällan sker över öppna trådlösa nät eller skumma proxies.
Clarence är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-06, 22:18 #13
SimonPs avatar
SimonP SimonP är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2006
Inlägg: 832
SimonP SimonP är inte uppkopplad
Mycket flitig postare
SimonPs avatar
 
Reg.datum: May 2006
Inlägg: 832
Citat:
Originally posted by Clarence@Jul 6 2009, 19:40
Finns det något av dess "tester" som är någorlunda relevant om SHA1 används för just lösenordshashar? Mig veterligen är de "nya" svagheterna endast av relevans om det används i kryptografisk kommunikation?

Den största svagheten hos de flesta inloggningar med någorlunda säkerhetstänk är väl annars att lösenorden skickas i klartext från klient till server - vilket inte alltför sällan sker över öppna trådlösa nät eller skumma proxies.
Precis, svagheterna påverkar inte SHA1 användningen i lösenordssystem
(http://www.webmasternetwork.se/f4t36655.html)

Dom gånger jag gjort egna inloggningsystem använder jag mig alltid av Java eller Javascript för hashningen + en engångskod, så hashen som lämnar klienten är bara giltig en gång.
SimonP är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-07, 21:43 #14
BjörnJ BjörnJ är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2009
Inlägg: 971
BjörnJ BjörnJ är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2009
Inlägg: 971
Hur stort (hur många bitar) bör det unika saltet vara? Ju större desto bättre förstås, men vad är tillräckligt? Det tar ju plats i databasen också.
BjörnJ är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-07, 22:35 #15
SimonPs avatar
SimonP SimonP är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2006
Inlägg: 832
SimonP SimonP är inte uppkopplad
Mycket flitig postare
SimonPs avatar
 
Reg.datum: May 2006
Inlägg: 832
Citat:
Originally posted by BjörnJ@Jul 7 2009, 19:43
Hur stort (hur många bitar) bör det unika saltet vara? Ju större desto bättre förstås, men vad är tillräckligt? Det tar ju plats i databasen också.
Jag skulle rekommendera från 32 bits och upp till hashalgoritmens "styrka" (t.ex 128 bits för MD5), man behöver inte ha längre än hashens egna styrka om man bara är ute efter att salta lösenordet.
SimonP är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-07, 23:39 #16
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
tartareandesire tartareandesire är inte uppkopplad
Supermoderator
 
Reg.datum: Jan 2004
Inlägg: 11 585
Citat:
Originally posted by BjörnJ@Jul 7 2009, 20:43
Hur stort (hur många bitar) bör det unika saltet vara? Ju större desto bättre förstås, men vad är tillräckligt? Det tar ju plats i databasen också.
Utrymmet är nog knappast ett problem idag.
__________________
Full-stack developer, free for smaller assignments
tartareandesire är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-09, 01:06 #17
BjörnJ BjörnJ är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2009
Inlägg: 971
BjörnJ BjörnJ är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2009
Inlägg: 971
Är det säkert att salta med user id (löpnr, unikt per användare) plus ett globalt salt (>=128 bitar) som är gemensamt för alla användare (och inte ha något "dedikerat" salt per användare)?
BjörnJ är inte uppkopplad   Svara med citatSvara med citat
Oläst 2009-07-09, 01:11 #18
SimonPs avatar
SimonP SimonP är inte uppkopplad
Mycket flitig postare
 
Reg.datum: May 2006
Inlägg: 832
SimonP SimonP är inte uppkopplad
Mycket flitig postare
SimonPs avatar
 
Reg.datum: May 2006
Inlägg: 832
Citat:
Originally posted by BjörnJ@Jul 8 2009, 23:06
Är det säkert att salta med user id (löpnr, unikt per användare) plus ett globalt salt (>=128 bitar) som är gemensamt för alla användare (och inte ha något "dedikerat" salt per användare)?
Ja i ditt fall (som även har en statiskt salt) räcker det bra, userid blir ju som ett dynamiskt salt som gör att två olika användare som råkar ha samma lösenord ändå kommer att få olika hashsummor, vilket är ett av huvudmålen med dynamiska salter.
SimonP är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 
Ämnesverktyg
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 16:05.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017