V rámci zabezpečenia sa bavíme o kryptografických hashovacích funkciách. To base64 určite nie je.

BX napísal: Soliť (salt) netreba (nie je to nutnosť) Robí sa to len pre posílenie šifry (umelé predĺženie, či iná transformácia hesla). Útočníkovi tým ešte viac znepríjemňuješ prácu.

Nieje pravdou ,že sa to robí len pre posilnenie šifri. Vezmi do úvahy prípad kedy máš niekoľko užívateľov s rovnakým heslom tz. aj s rovnakým hashom.

A tým šifru posilníš a útočníkovi ešte viac znepríjemníš prácu

BX napísal:V rámci zabezpečenia sa bavíme o kryptografických hashovacích funkciách. To base64 určite nie je.

Ani tato tema nie je o zabezpeceni ved pouziva subory a pochybne ctrl-c-ctrl-v kody

S-player, neviem na co narazas. Salt sa pouziva aby sa nedali pouzit rainbow tables, cize kvoli vyssej bezpecnosti. Rovnaky hash nie je problem, ten budes mat aj so saltom rovnaky za podmienok ako si stanovil /ze bude salt vzdy rovnaky/.

audiotrack napísal: S-player, neviem na co narazas. Salt sa pouziva aby sa nedali pouzit rainbow tables, cize kvoli vyssej bezpecnosti. Rovnaky hash nie je problem, ten budes mat aj so saltom rovnaky za podmienok ako si stanovil /ze bude salt vzdy rovnaky/.

1. Ak niekto používa rovnaký salt pre kompletne všetky hesla tak ten salt je tam potom vlastne nanič. Stačí zistiť jeden salt a všetky heslá sú v riti.
2. Rovnaký hash je problém. Predstav si ,že ti niekto ukradne tabuľku s heslami užívateľov. Pokiaľ máš 10 užívateľov s rovnakým heslom & rovnakým hashom stačí ti rozlusknúť len ten jeden hash a máš heslá od všetkých desiatich užívateľov. Pokiaľ bude ,ale každý hash jedinečný je nutné prejsť heslá všetkých desiatich užívateľov.

* Už keď sme pri hashovaní tak človek by sa mal vyhnúť pravdepodobne všetkým vyššie uvedeným metódam a používať bcrypt. Jednak to pridáva k heslu automaticky náhodný salt + je možne nastaviť počet iterácii tz. že hashovanie môžeme urobiť pomalým čo je veľkou výhodou. Aktuálny projekt ,na ktorom pracujem hashuje jedno heslo cca. 300ms. Užívateľ si tento rozdiel vôbec nevšimne a heslo je nereálne prelomiť... teda aspoň s aktuálnym HW.

1. Nie je tam nanic, lebo kompletne vyluci utoky pomocou rainbow tables a obmedzi to len na utoky hrubou silou. Takze heslo bude tak silne, ako si ho uzivatel zvoli /co napriek iluzii obecne neplati keby sa salt nepouzije/. Navyse to ze zistis salt nie je ziadna vyhra. Kludne ti ho aj poviem. Je to len polovica uspechu. Este stale nevies ako je pouzity /ci iba ako suffix, alebo prefix, ci viacnasobny suffix alebo prefix, ci oboje, ci pripojenie nasledne hash znova pripojenie a znova hash..../
2. S tym suhlasim iba ciastocne. Ak je salt rozny, musi byt sucast hashu a teda si protirecis s tym ze ho niekto zisti a som v riti. Zisti ho kazdy lebo je tam napisany. Jedina vyhoda je rozne hashe. Ale stale staci rozlusknut jeden, a potom ostatne ucty iba overit na zhodu toho riesenia. Ak su rovnake, nemusim hadat kazdy hash. Samozrejme neviem rovno ci su rovnake, ale kontrola na zhodu je zalezitost mikrosekund pre tisice uctov.

1. Pochopiteľne ,že ak mám salt tak to neznamená ,že mám prístup ihneď aj ku všetkým heslám avšak je to omnoho jednoduchšie kedže heslá už nič nebráni. Áno keď mi ho povieš tak to nezistím (Resp. zistim ak nejde o nejaký sofistikovaný štýl),ak si však rozoberiem hash v tvare "heslo" + "salt" tak kde je problém? Všetky ostatné budú rovnaké čiže už len generujem dané heslo... nemyslím si ,že ide o nejakú zdlhavú akciu keď sa rozprávame o dajme tomu MD5ke a schopnom PC, za sekundu je možne vygenerovať stovky MB hashov.

2. Tu si protirečís trochu aj ty... Ak sa opäť rozprávame o nejakej MD5ke tak s tebou súhlasim ,že to nemusí byť až taký problém pokiaľ pôjde ,ale o nejaký bcrypt (Pekne dlhý) tak s tým veľa nenarobíš tak či onak.

po 1. ja som sa opytal ako jednoducho zabespecit hesla... ja nekopirujem kody ctrl+c a ctrl+v dobre...
To že sa opytam ako sa nejaká funkcia robi cez aky prikaz atd. to neznamena ze vsetko kopirujem...
Ja sa snazim precitat, pochopit script ktory najdem na php*net alebo na inej stranke... neskopirujem ho a nevlozim ho tak ako je do svojuch kodov... snazim sa to pochopit ako som uz pisal skusam mozne veci vynecham par veci zmenim a cakam aku chybu mi vyhodi web...
Ja si myslim ak sa niekto opyta na chybu alebo nieco podobne neznamena to ze nechape tomu ale hlada chybu ktora a aka tam je...
Ja som toho nazoru ak nieco existuje a ja si spravim to iste neznamena to ze som skopiroval kody... Tak isto niekto predava mlieko ma to pod svojou znackou to neznamena ze aj ja nemozem predavat mlieko... Som trochu ozraty a dufam ze to pochopite vsetci mamrdkovia (vacsina zvas tu na hojko.com) Ďakujem za informacie audio nieco stoho pouzijem popripade vyskusam