Sök  
 
Skribent Inlägget Löst
Google
 
     

  Forum » Off topic » "Salts Will Not Help You"  
 
Skriven av: MacTommy | den 21 november 2011 Kl 12:45
"Salts Will Not Help You"
Har senaste veckorna börja kolla runt lite på nätet ang. kryptering m.m. av lösenord och hur man kan säkra upp det hela så långt man kan komma. Sprang på en hemsida i morse "How To Safely Store A Password". Med dagens krypteringsalgoritmer med MD5, SHA1, SHA256, SHA512 och SHA-3 så hjälper inte SALT om någon hackar en databas och kommer över det sparade innehållet.

"If you're willing to spend about 2,000 USD and a week or two picking up CUDA, you can put together your own little supercomputer cluster which will let you try around 700,000,000 passwords a second. And that rate you'll be cracking those passwords at the rate of more than one per second.".

Vill man säkra upp lösenord i en databas så bör man släppa de "vanliga" algoritmerna och titta efter varianter som "Bcrypt". Kör man ASP.NET MVC 3 och C# så visar man litet exempel på Bcrypt här... http://www.giantflyingsaucer.com/blog/?p=2189

Antal svar 5




Skriven av: vimpyboy | den 21 november 2011 Kl 13:15
Eftersom grafikkorten är ruskigt bra på parallelism (och då med hjälp av t.ex. CUDA) så lämpar de sig bra för att knäcka lösenord. Genom att salta lösenorden och se till att blanda olika typer av tecken och annat så säkrar man upp det rejält, men självklart går det alltid att  skriva något program som testar mängder av kombinationer. Ingen metod är 100% säker, och oavsett vad man använder så bör man salta lösenordet för att undvika att en rainbow table används för att knäcka lösenordet.

Att använda bcrypt som i exemplet på sidan du länkade till är busenkelt att göra (vilket är lätt att förstå när man ser exemplen i bloggen), och känner man att man vill använda bcrypt så kan man absolut göra det. Vill man använda någon annan metod så kan man göra det.

Det enda som man absolut INTE ska göra är att spara lösenorden i klartext, utan ALLTID salta och hasha dem om man nu verkligen behöver lagra användaruppgifterna själv.
Skriven av: MacTommy | den 21 november 2011 Kl 13:41
Om jag har förstått alla artiklar som jag läst den senaste perioden är just att man fäster för stor tilltro till att använda en "klassisk" algoritm och med SALT att tro att informationen är säker. Det var det för ett tag sedan... nu är det snart 2012 och datorerna blir snabbare och klassikerna är inte så avancerade...

Efter att ha läst runt så är A-O att skydda sig så att man inte kommer åt databasen via XSS eller SQL-injection eller att man  använt ett för svagt lösenord in på FTP/DB. Sen kan man ta en extra bonus att hasha lösenord med SALT. Men man har även möjlighet som jag tidigare nämnt att man kan hasha redan på clienten.

Än så länge har jag inte hittat någon artikel där man undersökt hur ser det ut om man hashar ett lösenord på clienten med t.ex. SHA256, sen när man sparar ner det i databasen så utnyttjar man även SHA512. Svångrem, hängslen och tejp. Hur lång tid tar det t.ex. att hitta en SHA256 eller MD5 i en SHA512 och sen få ut det i klartext?
Skriven av: vimpyboy | den 21 november 2011 Kl 14:04
Eftersom det är en hash och inte kryptering så får du inte ut det i klartext, speciellt inte om du har saltat. Självklart ska man skydda sig mot SQL Injections och XSS, men bara för att man skyddar sig mot det så kan man inte strunta i att hasha lösenorden.
Skriven av: MacTommy | den 21 november 2011 Kl 15:46
Som rubriken lyder... "Salts Will Not Help You"... även om du använder MD5, SHA1, SHA256, SHA512 och SHA-3... ;)

Har inte sagt att man inte ska hasha och salta... men att det finns viktigare saker att prioritera på en sida istället för att vara nöjd att "lösenorden" är skyddade...

Tanken var lite att väcka upp och visa på alternativ till klassiska algrotimerna, att när 2012 börjar närma sig så kanske man får börja köra med tyngre arteleri, typ Bcrypt.


Skriven av: vimpyboy | den 23 november 2011 Kl 10:53
Att salta hjälper delvis och används även med Bcrypt för att man inte ska kunna slå upp vanliga ord rakt av.
 
     

  Svara på inlägg  
 
Du måste vara medlem på ASPsidan för att kunna skriva i forumet.
För att bli medlem klicka här.
 
     

  » Logga in  
 
Användarnamn

Lösenord

 
     

  » Bli medlem  
  Bli medlem på ASPsidan!  
     

     
  Microsoft  
     

  » Partners  
  Comsolvia  
     
  » ANNONS  
  ingen annons än  
     

  » Senast online  
  Endast för inloggade  
  Antal inloggade: 1  
     

Copyright © 2007 www.ASPsidan.se
ingen sponsrar längre ASPsidan med Dedikerad Server
ASPsidan RSS
   
 XHTML / CSS
Det tog 0,2188 sekunder att ladda sidan