Autor | Zpráva | ||
---|---|---|---|
radvis Profil * |
#1 · Zasláno: 4. 3. 2010, 15:05:55
Ahoj, zajímalo by mně, jakej je nejbezpečnější "hasher" na hesla a také by mně zajímalo, zda se dá rozkódovat md5 hash. Díky.
|
||
blaaablaaa Profil |
#2 · Zasláno: 4. 3. 2010, 15:10:30
Dost lidi posledni dobou pouziva sha-1, v kombinaci se soli.
Md5 hash se, pokud vim, rozlustit nejde. Pri louskani hesel se pouziva brute force (zkousi se vsechny kombinace znaku) nebo slovnikovy utok (zkousi se slova ze znameho slovniku - napr. http://1stclick.co.uk/tools/md5.html), popr. jejich kombinace. |
||
ShiraNai7 Profil |
#3 · Zasláno: 4. 3. 2010, 15:21:56
Já používám toto:
hash('sha256', 'heslo') Mám omezení počtu neplatných pokusů o přihlášení za určitou dobu z dané IP adresy, takže slovníkového útoku se nebojím, brute force už vůbec. |
||
radvis Profil * |
#4 · Zasláno: 4. 3. 2010, 16:00:38
Mužu se zeptat jak bych udělal to omezeni pokusu? Moc mě nenapadá jak na to. Díky.
|
||
Taps Profil |
#5 · Zasláno: 4. 3. 2010, 16:18:49
radvis:
„Mužu se zeptat jak bych udělal to omezeni pokusu?“ pomocí session nebo cookies |
||
radvis Profil * |
#6 · Zasláno: 4. 3. 2010, 16:30:42
No jasně, ale jak ošetřit kolikrat se to pokusil odeslat?
|
||
ShiraNai7 Profil |
#7 · Zasláno: 4. 3. 2010, 16:41:38
Omezení pokusů přes cookie nebo sessions ne!! To stačí vymazat cookies a můžete znovu. Ukládám pokusy pro danou akci (pokus o přihlášení) do databáze (vázane na IP). Při neplatném pokusu se navýší čítač, který se kontroluje na začátku skriptu pro přihlašování. Mám to nastaveno na 10 pokusů za 10 minut.
|
||
v6ak Profil |
#8 · Zasláno: 4. 3. 2010, 17:06:20
Ještě je potřeba ošetřit CSRF, aby nešlo udělat lokální DoS na jednoho uživatele.
|
||
Jack06 Profil |
#9 · Zasláno: 4. 3. 2010, 17:11:23 · Upravil/a: Jack06
Osobně saltuji SHA1
//Jinak ohledně MD5, tak ta moc chráněná není řekl bych že je už spíše nebezpečná dá se poměrně rychle rozlousknout když je chytrý hacker.. Viz mám dojem, že jsem o tom viděl i zmíňku v televizi před nějakou dobou |
||
Michal Kolesa Profil |
#10 · Zasláno: 4. 3. 2010, 17:46:48
Trochu OT:
Co je v současnosti nejbezpečnější ? |
||
Jack06 Profil |
#11 · Zasláno: 4. 3. 2010, 17:48:14
Podle mě pokud se jedná o hash hesel tak saltovat SHA1.
|
||
Joker Profil |
#12 · Zasláno: 4. 3. 2010, 18:13:36
Michal Kolesa:
„Co je v současnosti nejbezpečnější ?“ To nejde takhle říct, algoritmů je nekonečné množství, vždycky je nejbezpečnější z nějaké množiny. Třeba v PHP je těch algoritmů k dispozici zhruba 30-40 (podle verze). Ale podle mého vcelku zběžného průzkumu je momentálně snad bezpečná SHA-256. MD5 ani SHA-1 nejsou považované za bezpečné. |
||
Michal Kolesa Profil |
#13 · Zasláno: 4. 3. 2010, 18:15:03
Joker:
„Ale podle mého vcelku zběžného průzkumu je momentálně snad bezpečná SHA-256.“ Může sem někdo o tom algoritmu něco napsat ? Není problém si to najít na google, ale problém je v tom, že nemám jistotu, že ten kdo psal článek je "fundovaný" a nenapsal nějaké nesmysly. |
||
Nox Profil |
#14 · Zasláno: 4. 3. 2010, 18:23:24
ale notak ;)
http://cs.wikipedia.org/wiki/SHA |
||
Jack06 Profil |
#15 · Zasláno: 4. 3. 2010, 18:30:39
Joker:
A co třeba saltování? Podle mě to rapidně zvyšuje bezpečnost |
||
Joker Profil |
#16 · Zasláno: 4. 3. 2010, 19:27:24
Jack06:
„A co třeba saltování? Podle mě to rapidně zvyšuje bezpečnost“ Jistě, solení je dobrý nápad u všech zatím zmíněných algoritmů. |
||
radvis Profil * |
#17 · Zasláno: 5. 3. 2010, 12:24:49
To používám, tak snad je má aplikace aspon trochu bezpečná :D.
|
||
AM_ Profil |
#18 · Zasláno: 5. 3. 2010, 19:23:36
Nedávno se to tu řešilo. MD5 je dávno prolomené a SHA1 teď nevím jestli teoreticky nebo i prakticky, nicméně se to týká razítkování důvěrných souborů, nikoli hashování hesel. Algoritmus pro rozlousknutí MD5 stále není, existuje pouze algoritmus, který, pokud zná originální data, dokáže vygenerovat/doplnit data na stejný hash. Nicméně stejně bych použil alespoň saltovaný SHA1, přecejen je o něco silnější.
|
||
Časová prodleva: 14 let
|
0