fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Programozás » Hol tárolnátok a sót?

Hol tárolnátok a sót?

Figyelt kérdés
Alkalmazás esetében, regisztrációnál és bejelentkezésnél a jelszót ugyebár valamilyen módon titkosítjuk, de előtte a jelszót sózzuk és sózva lesz titkosítva. Ez a titkosított már megsózott jelszó kerül az adatbázisba. No a sót, nem lehet az adatbázisba rakni a jelszó mellé, mert az egy informatika biztonsági hiba lenne. Esetlegesen szerveren lehetne a sókat tárolni, viszont ha nincs szerve csak egy alkalmazás és az adatbázisba akkor vajon milyen úton lehet ezt megcsinálni? Ötletek?
2020. szept. 9. 22:45
1 2
 1/15 anonim ***** válasza:
10%
Az alkalmazásba, szintén sózott hashelve, ami meg nincs meg sehol, csak neked, már ha nem kell jelszót generálnia az alkalmazásnak, hanem előre beletáplálod.
2020. szept. 9. 22:52
Hasznos számodra ez a válasz?
 2/15 anonim ***** válasza:
96%
Mi a gond azzal, ha só ott van a jelszó mellett? A só csak arra való, hogy az azonos jelszavak hash-e különböző legyen.
2020. szept. 9. 23:30
Hasznos számodra ez a válasz?
 3/15 anonim ***** válasza:
54%
A só mehet a jelszó mellé. A sótól nem lesz különösebben biztonságosabb a jelszó (dictionary attack ellen hatásos, egy rainbow table-nek ellenben teljesen mindegy), a só szerepe pusztán annyi, hogy a rendszeredben ne szerepeljen két azonos jelszó+só páros, így ha feltörnek egy jelszót, az csak egy jelszó lesz, nem a felhasználóbázis méretétől függően több tucat, száz, vagy akár ezer azonos jelszó. Megoldhatod, hogy a sót valahol máshol tárolod (amíg az felhasználónként egyedi), de minimális akadályt állítasz ezzel a támadó elé, a só puszta megléte mellett elhanyagolhatót.
2020. szept. 9. 23:53
Hasznos számodra ez a válasz?
 4/15 anonim ***** válasza:
94%

"No a sót, nem lehet az adatbázisba rakni a jelszó mellé, mert az egy informatika biztonsági hiba lenne"


Miért lenne biztonsági hiba? Tudod egyáltalán mi a salt célja?

2020. szept. 10. 06:16
Hasznos számodra ez a válasz?
 5/15 anonim ***** válasza:
0%
Olyan helyen tárold a sót, ahol nem éri nedvesség. Tehát pl. a konyhaasztal is jó, amíg apád fel nem dönti a pálinkát... :-)
2020. szept. 10. 16:20
Hasznos számodra ez a válasz?
 6/15 anonim ***** válasza:

"..dictionary attack ellen hatásos, egy rainbow table-nek ellenben teljesen mindegy.."


Nem igazán. A dictionary attack ellen egyáltalán nem hatásos, csak egy kicsit meglassítja, ellenben a rainbow table támadást kivitelezhetetlenné teszti. Mivel főként az utóbbi a valós fenyegetés, ezért érdemes alkalmazni.

2020. szept. 10. 16:56
Hasznos számodra ez a válasz?
 7/15 anonim ***** válasza:

"No a sót, nem lehet az adatbázisba rakni a jelszó mellé, mert az egy informatika biztonsági hiba lenne."

A só általában egy generált szó. Hol máshol tárolnád ezt, mint az általa sózott hash mellett?


Persze lehet statikus sót is alkalmazni és elhelyezni azt egy konfigurációs fájlban, csak ennek pont nincsen értelme ebben a szituációban, mert a statikus só brute force-al kideríthető.

2020. szept. 10. 17:07
Hasznos számodra ez a válasz?
 8/15 anonim ***** válasza:
58%

"Persze lehet statikus sót is alkalmazni és elhelyezni azt egy konfigurációs fájlban, csak ennek pont nincsen értelme ebben a szituációban, mert a statikus só brute force-al kideríthető."


Ezt mér peppernek hivjak.


általánosságban ugy szoás, hogg:-

jelszo hash = hash(jelszó + salt + pepper)


Ahol a salt egyedi minden userhez és az adatbázisban van a jelszó hash mellett.


A pepper pedig ugyanaz mindenkinek és a konfigurációban (vagy esetleg a kódban) van.

2020. szept. 10. 18:49
Hasznos számodra ez a válasz?
 9/15 anonim ***** válasza:
#8: Statikus salt az, amikor konfigurációban megadod a programnak, hogy milyen saltot használjon a saját jelszavához. Nagyjából ez az egyetlen jó opció, ahol van értelme statikusan beállítani.
2020. szept. 10. 19:23
Hasznos számodra ez a válasz?
 10/15 anonim ***** válasza:

#9.. hívhatod statiskus salt-nak, de ez a pepper.

A saltnak egyedinek kéne lennie minden jelszóhoz.


[link]


tehát ez leginkább az sql injection ellen vagy az ellen véd, ha megszerzik valahogy az adatbázist, de az alkalmazást (/annak a konfigurációs fájlját) nem.


Az általad statiskus salt-nak hívott dologgal csak annyit érsz el, hogy nem fognak tudni az interneten rákeresni a hashre, de ugyanugy épithetnek rainbow táblát.

2020. szept. 10. 19:59
Hasznos számodra ez a válasz?
1 2

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Programozás kategória kérdései »



Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!