X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> насколько криптостойко?
MetSerp
MetSerp
Topic Starter сообщение 16.1.2009, 15:39; Ответить: MetSerp
Сообщение #1


после регистрации генерируется случайный пароль из 10 цифер (или цифры плюс буквы) и записывается в соленом виде в бд . на адрес указанный при регистрации присылается сгенерированный пароль без соли, потом пользователь логинится и сам меняет пароль на что нравится
Теперь как это выглядит со стороны движка
после клика на субмит производятся соответсвующие записи в бд а сгенерированный пароль солиться вот таким макаром:[php]алгоритм переработанн пока что нехочецо показывать (код больно страшный)
[/php]и передается в бд а при логине данные введенные пользователем соляться точно по этому же алгоритму и сравниваются со значением полученным из базы.
Легко ли можно обойти такой препон взломщику?
ps скрипт не совсем мой, я как то очень давно читал статью про соление паролей и запомнил общий алгоритм сейчас попробовал воспроизвести вроде работает :rolleyes:
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
MetSerp
MetSerp
Topic Starter сообщение 16.1.2009, 17:52; Ответить: MetSerp
Сообщение #2


поставлю вопрос иначе
cde9779949c1c44e4d20c985f1c82054 здесь алгоритм зашифровал 1 значное число от 0 до 9
за сколько сможете подобрать значение
если несможете значит надежно :goodpost:
если нет то буем работать :bye2:
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Ворон
Ворон
сообщение 16.1.2009, 18:55; Ответить: Ворон
Сообщение #3


MetSerp, вы немного некорректно ставите сам вопрос.

обычно заранее известно по какому принципу шифруется пароль. к примеру, для ipb это md5(md5() . md5()). злоумыленник, узнав хеш пароля и соль, пытается перебором найти какой-нить другой пароль, который с солью даст тот же самый хэш.

существуют разные методы взлома и перебора (от брута, до радуги, может есть что-то новое). но все упирается в длину пароля и необходимости получить соль. кстати, соль обычно тоже генерят, а не зашивают, как вы в своем примере ;)

приведенный код в примере, вполне себе нормальный (за исключением соли, на мой взгляд). в остальном, если юзер введт пароль 1, то вам практически ничего не поможет.

зы. не дурите голову поэтому, берите что-нить типа указанного выше и все будет ок. только смотрите, чтобы из дыр соль не торчала
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
MetSerp
MetSerp
Topic Starter сообщение 16.1.2009, 19:02; Ответить: MetSerp
Сообщение #4


файл этот будет под зендом (оин единственный во всем cms) не пройдет генерация соли думаю по причине того что через эти функции проходит и рега и авторизация.
По примеру:
тут зашифрованна 6
но как бы не брутить или подбирать 6 из cde9779949c1c44e4d20c985f1c82054 никогда неполучите даже зная соль попричине того что алгоритм довольно сложный получился и вто же время элементарный
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Ворон
Ворон
сообщение 16.1.2009, 19:11; Ответить: Ворон
Сообщение #5


хех...

насчет авторизации вообще ничего не понял.

брутом ломать уже восьмизначный пароль на одной машине не имеет смысла. а если неизвестна соль, неизвестен алгоритм генережки, то кроме брута мало что остается (что-то должно быть, но я не в курсе).

зы. криптография - наука, со своими теоремами и законами. не пойму я чего вы хотите: подтвердить что вы придумали криптостойкую схему? так нет - это сакс и не более того, будет ли она работать на вашем сайте - да.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
MetSerp
MetSerp
Topic Starter сообщение 16.1.2009, 19:16; Ответить: MetSerp
Сообщение #6


не некриптостойкую схему потому что я брал ее из готовой мне для сайта .
Про авторизацию все просто
если соль генерируется то при регистрации она даст 1 значение (которое и запишется в бд как верный пароль) на выходе а при введение пароля для входа на сайт другое в итоге значение не совпадет с тем что в базе и пользователю в доступе будет отказанно

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Насколько плохо влияют падения хостинга на позиции сайта?
20 Lifelove 3419 29.1.2024, 23:12
автор: Liudmila
Горячая тема (нет новых ответов) Сайты пролежали несколько месяцев, насколько реально восстановить трафик?
108 metvekot 21169 27.1.2024, 22:39
автор: Vmir
Открытая тема (нет новых ответов) Насколько будет интересна партнерка?
1 Dexterus 1115 21.7.2014, 18:14
автор: Golland
Открытая тема (нет новых ответов) Насколько хорошо надо разбираться в товаре, который рекламируешь?
4 jentlmen 1245 17.3.2012, 19:51
автор: nick777_mw
Открытая тема (нет новых ответов) Насколько крутой дизайн можно сделать для спортивного сайта?
5 SportPortal 5591 13.1.2009, 13:28
автор: -MickG-


 



RSS Текстовая версия Сейчас: 28.3.2024, 14:12
Дизайн