fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Weblapkészítés » Mennyire számít szakszerűtlenn...

Mennyire számít szakszerűtlennek ha hash használata nélkül tárolok jelszót adatbázisban?

Figyelt kérdés
Ugyanis nem egy ilyen oldallal találkoztam már.

#biztonság #jelszó #SQL
2016. okt. 3. 23:45
1 2 3 4 5
 11/41 anonim ***** válasza:

Utolsó, végülis ez is igaz, erre még nem gondoltam :D

Mostanában ismerkedtem a bcrypttel, olvasgattam utána >.>

2016. okt. 5. 12:31
Hasznos számodra ez a válasz?
 12/41 A kérdező kommentje:
#10 Arra azért vannak módszerek, hogy változás esetén a tárolt hash-ek automatikusan változzanak.
2016. okt. 5. 14:51
 13/41 A kérdező kommentje:
A kérdés igazából azért foganatosodott meg benne, mert mikor valamelyik nap rákerestem valamiért az email címemre, pastebinen megtaláltam egy 3 éve fent lévő regisztrációs adatbázis másolatát email címekkel, és jelszavakkal. A felhasználó 5 ilyet is feltöltött különböző oldalakról. Meg az egyik webáruházban most kértem jelszó emlékeztetőt, és simán kiküldte a régi jelszavamat. (mondjuk nem is tudom mit vártam, hiszen a nevében is benne van hogy mi fog történni. :D ). Persze a másik véglet sem jó, amikor az utolsó 5 jelszót nem engedi beállítani, az újat meg persze mindig elfelejti az ember. :D
2016. okt. 5. 14:55
 14/41 anonim ***** válasza:

"amikor az utolsó 5 jelszót nem engedi beállítani"

ez mi?

2016. okt. 5. 15:30
Hasznos számodra ez a válasz?
 15/41 anonim ***** válasza:
Vannak rendszerek, amikhez nekem is mindig új jelszót kell kérnem, mert olyan a policy, hogy nem tudom használni a begyakorolt sémáimat. Pl. legyen benne kis és nagybetű, de speciális karaktert már nem tehetek bele. Vagy nem tetszik neki, ha két szám van egymás után a jelszóban...
2016. okt. 5. 15:33
Hasznos számodra ez a válasz?
 16/41 anonim ***** válasza:

Ahogy már írták ugye ugyan azt a jelszót használni több oldalon is veszélyes!

Sajnos rengeteg weboldal van ami kakil a biztonságra amíg annak a tartalmát egy hacker csoport le nem cseréli, pl. valami iszlám szövegű kezdőlapra.

De hogy szemléltessem bemutatom egy már többször negatív példának hozott weboldalt: [link]

Itt sima text -be van a jelszó, amit számtalan hibán keresztül ellehet érni...

Hogy utána mire használják, az már csak a felhasználón múlik, hogy mennyire használt egyedi jelszavakat.

2016. okt. 5. 16:00
Hasznos számodra ez a válasz?
 17/41 A kérdező kommentje:

Citromost


Legalább 1 olyan oldalról tudok, ahol ha elfelejted a jelszavadat, és újat kérsz, akkor ha sajátot akarsz beállítani, akkor nem használhatod az utolsó 5 általad beállított jelszót.

2016. okt. 5. 16:53
 18/41 anonim ***** válasza:
0%

Jééé volt, aki majdnem egyetértett velem, ez már haladás... :-) Nekem akkor is ez a véleményem, amit leírtam.


Ha meg annyira le akartok védeni valamit, akkor én tuti nem md5-öznék meg hash-elgetnék, hanem kitalálnék egy "saját" algoritmust, hogy milyen módon titkosítom a szöveget.


Pl. Caesar és legyen 3x eltolású a magyar ÁBC-n, ezután AND-eld be karakterenként 0xDE-vel, és még cseréld fel a páros és a páratlan karaktereket, és még ragozhatnám... (pl. legyen még egy kulcsszó is, ami X karakter hosszú és annak karaktereivel OR-oljuk a titkosítandó szöveget) :-) ...aztán a visszafejtéshez ennek az ellentetjét... ...némelyik fontosabbnak hitt programomban eljátszadoztam már hasonlókkal, de hogy őszinte legyek, le se szarták, de nekem plussz feladat volt, hálistennek szeretem amit csinálok, szóval ez nem panaszkodás... :-)


...és ezt nem fogják 1-2 óra alatt feltörni! :-) (mert nem egy ismert md5 vagy SH, vagy bármi amiről van egy kokrét leírás)

2016. okt. 5. 21:03
Hasznos számodra ez a válasz?
 19/41 A kérdező kommentje:
#18 Ez mind szép és jó, de ha hozzáfértek az adatbázisodhoz, akkor valószínűleg az algoritmusod is meg lesz nekik, az alapján pedig visszatudják fejteni a titkosított adatokat. Bár szerintem ilyen szintű titkosításnál az eredeti algoritmus sem biztos hogy kell. De én most nem is 2 irányú titkosításról beszélek, hanem egyirányúról.
2016. okt. 5. 21:51
 20/41 anonim ***** válasza:
0%

Már ne haragudj meg, de ha az adatbázishoz hozzáférnek, miért tudnák meg az algoritmust, hiszen azt nem ott tároljuk...


Vagy attól félsz hogy a weboldalad teljes tartalmát elérik így az algoritmusod is meglesz? Milyen weboldalt üzemeltetsz te, hogy arra valaki is felfigyelne??? :-)


Mellesleg a forráskódodat is értelmezhetetlenül kuszává teheted, máramit feltöltesz a weboldalra, pl nem kell azt a nevet adni az algoritmusnak, hogy "PasswordDecoder"... :-) ...hanem legyen "c"... ...és abból legyen még 25 másik (c2, c3, stb. és az egyik hívja meg a másikat), ami látszólag csinál valamit... ...az isten nem fogja keresgetni a helyeset... :-)

2016. okt. 5. 22:12
Hasznos számodra ez a válasz?
1 2 3 4 5

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Weblapkészítés kategória kérdései »



Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!