Kezdőoldal » Számítástechnika » Weblapkészítés » Mennyire számít szakszerűtlenn...

Mennyire számít szakszerűtlennek ha hash használata nélkül tárolok jelszót adatbázisban?

Figyelt kérdés
Ugyanis nem egy ilyen oldallal találkoztam már.

2016. okt. 3. 23:45
1 2 3 4 5
 1/41 anonim ***** válasza:
27%
Nem kötöszködésnek szánom, hanem inkább tapasztalatból mondom, hogy senki le sem szarja, hogy hogyan tárolod, a lényeg, hogy te értsd mit miért csinálsz...
2016. okt. 3. 23:48
Hasznos számodra ez a válasz?
 2/41 anonim ***** válasza:
100%
Csak el kell képzelni a szituációt: egy rosszakaró bejut az adatbázisba és exportálja, publikálja a felhasználók tábla tartalmát. Mi a jobb: ha plain text-ben vannak a jelszavak, vagy hash-elve?
2016. okt. 4. 00:47
Hasznos számodra ez a válasz?
 3/41 anonim ***** válasza:
15%
Ha valami alap, közismert hashfüggvénnyel vannak hashelve, akkor szinte mindegy, azokat elég szépen vissza tudják fejteni :D
2016. okt. 4. 01:46
Hasznos számodra ez a válasz?
 4/41 anonim ***** válasza:
79%

#1 -el részben egyet értek, amíg nem tudják, nem kerülnek ki a jelszavak, a kutya se foglalkozik vele.

lásd pl. prog.hu és pcforum.hu -t, ott sima szövegként tárolják.

DE! Ha valaki feltöri, és kikerülnek a jelszavak, az már csúnya dolog.

Még alap md5() esetén is, csak idő kérdése mire vissza fejtik, és nem évszázadok, csak pár óra alatt meg van.


Én azt mondom, hogy minimum md5(), és mindent adjunk meg a biztonság érdekében!

2016. okt. 4. 07:46
Hasznos számodra ez a válasz?
 5/41 anonim ***** válasza:
100%

Az a legbiztonságosabb ha meg is sózod a hash-t, tehát a szőveg után még raksz valami random generált adatot amit eltárolsz (és hogy ugyanaz legyen a hash mindig utána rakod később) hogy kivédd a szivárvány táblás támadásokat.

A hashelés nem bonyolult, bőven megéri az extra biztonságért cserébe, (legálisan) támadóként többször is gyűlt már meg velük a bajom. Tehát ebben ne vegyél példát a nemhashelőktől

2016. okt. 4. 08:36
Hasznos számodra ez a válasz?
 6/41 anonim ***** válasza:
100%

#3 Ha normális jelszót használ a user, annak a hash-ből rainbow attack-el sem tudják visszafejteni a jelszavát. Egy abc123 persze pillanatok alatt megvan.


#4 A "Security by obscurity" sosem jó megoldás. Hiába nem tudják, hogy plain textben tárolod a jelszavakat, az nem biztonságos.


Kérdező:

Plain textben tárolni a jelszavakat olyan, mint a lakáskulcsot a lábtörlő alá tenni. Csak idő kérdése, mikor tör be valaki és akkor mindent visz. Manapság a jelszavakat illik salted hash-ben tárolni, a salt pedig legyen userenként eltérő és minden jelszóváltáskor generálj új saltot. MD5 helyett pedig érdemesebb valami erősebb függvényt használni, de egy salted MD5 is sokkal jobb, mint a plain text.

2016. okt. 4. 08:47
Hasznos számodra ez a válasz?
 7/41 anonim ***** válasza:
93%

Elképesztően amatőr.

Megmondom őszintén én törvényileg börtönnel büntetném azt, aki ilyen oldalt csinál, mert hatalmas nagy gondatlanság és károkozás.

Ma meg már a saltnak is alapnak kéne lennie, nemhogy a hashnek.


HazugMondó barátunk pedig ismét bebizonyította, hogy mekkora elképesztő kontár.

2016. okt. 4. 08:51
Hasznos számodra ez a válasz?
 8/41 anonim ***** válasza:
100%
Már nem azért, de az oldal üzemeltetője igen egyszerűen meg tudja nézni a jelszavakat és ha ehhez hozzávesszük, hogy az emberek nagy része ugyanazokat a jelszavakat használja mindenhova, akkor nem csak hogy szakszerűtlen, de én jogilag is szankcionálnám a dolgot.
2016. okt. 4. 10:01
Hasznos számodra ez a válasz?
 9/41 anonim ***** válasza:

Az alap manapság (ami eléggé elterjedt) - legalábbis úgy olvastam - máig az md5 és a SHA1, pedig ezek a leggyengébbek. Bár ezek inkább titkosítások, mintsem hashelés.

De igen, amatőr dolog, ahogy a többiek is írták. Ha betörne valaki az adatbázisba, ilyen érzékeny adatokat pillanatok alatt ellopna.

Használj bcryptet vagy egyszerűen a php password_hash függvényénél a PASSWORD_DEFAULT-at. Az mindig az éppen legerősebb algoritmust/hashelést használja, magyarul ha jön egy bcryptnél erősebb, azt (jelenleg a bcryptet).

2016. okt. 5. 02:08
Hasznos számodra ez a válasz?
 10/41 anonim ***** válasza:

Utolsó válaszoló:

Az, hogy az aktuális legfrissebbet használja, vissza is üthet. Mert ugye felépítesz egy adatbázist most, szépen bcrypt-tel lesznek hashelve a jelszavak. Jön egy PHP frissítés, amiben már egy új eljárás a default és hopp: senki sem tud belépni a rendszerbe, mert nem fognak egyezni a hash-ek.

Jobb módszer, ha eltároljuk a hash típusát is és akkor egy frissítésnél a régi usereket még a régi hash-el lehet ellenőrízni, az újak pedig már a frissebb eljárással lesznek hash-elve.

2016. okt. 5. 08:29
Hasznos számodra ez a válasz?
1 2 3 4 5

Kapcsolódó kérdések:




Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!