abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 13:22 | IT novinky

Samsung oznámil, že program Linux on DeX končí. Android 10 už nebude podporován. Linux on DeX umožňuje spouštět linuxový desktop a aplikace z vybraných telefonů od Samsungu připojených pomocí Samsung DeX.

Ladislav Hagara | Komentářů: 4
včera 12:00 | Komunita

Ubuntu slaví 15 let od vydání první verze. Přesně před patnácti lety, 20. října 2004, byla vydána první verze 4.10 s kódovým názvem Warty Warthog.

Ladislav Hagara | Komentářů: 0
19.10. 20:20 | Pozvánky

Ve středu 23. října 2019 se od 16.00 koná akce na téma Oracle Labs - Live for the Code. Představí projekty Oracle Labs, na kterých se pracuje i v České republice: Oracle Labs Data Studio a GraalVM. Místo konání: budova Oracle v Praze–Jinonicích. Vstup po registraci zdarma. Občerstvení zajištěno.

Ladislav Dobiáš | Komentářů: 1
18.10. 09:44 | Upozornění

Byly zveřejněny videozáznamy přednášek z konference LinuxDays 2019, která proběhla 5. a 6. října v Praze. Odkazy na videa společně s prezentacemi naleznete v programu, případně můžete jít rovnou na stránku video. Záznamy pořizovalo Audiovizuální centrum SiliconHill.

Petr Krčmář | Komentářů: 18
17.10. 18:55 | Nová verze

Bylo vydáno OpenBSD 6.6. Opět bez oficiální písně. Z novinek lze zmínit například sysupgrade(8).

Ladislav Hagara | Komentářů: 5
17.10. 08:36 | Nová verze

Vyšla nová verze monitorovacího řešení Centreon 19.10.0. Novinek je spousta (realtime API, podpora JIRA, vylepšený systém notifikací...), ale těmi nejdůležitějšími je pro mnohé uživatele podpora nové verze rrdtool 1.7.x a php 7.2. Systém tak půjde bez problémů provozovat na jiných distribucích než CentOS 7. Kompletní přehled novinek v seznamu změn. Předpřipravená appliance i samotné části jsou k dispozici na oficiálních stránkách.

Max | Komentářů: 0
17.10. 01:00 | Komunita

Dnes vyjde Ubuntu 19.10 s kódovým názvem Eoan Ermine. Přehled novinek v poznámkách k vydání. Ubuntu 20.04 LTS bude Focal Fossa.

Ladislav Hagara | Komentářů: 14
16.10. 22:11 | Zajímavý projekt

Padesátiny Unixu lze oslavit také hrou The Unix Game aneb na unixové roury pomocí Scratche.

Ladislav Hagara | Komentářů: 2
16.10. 21:44 | Komunita

Vývojáři svobodného 3D softwaru Blender oznámili, že nejnovějším firemním sponzorem Blenderu je společnost Adidas. Jedná se o úroveň Corporate Silver, tj. 12 tisíc eur ročně.

Ladislav Hagara | Komentářů: 37
16.10. 18:22 | Komunita

V září proběhla každoroční konference Akademy komunity KDE. Nyní jsou záznamy přednášek dostupné online. Témata se dotýkají aplikací a knihoven KDE, jejich adaptaci pro různá speciální použití (vestavěná zařízení či rozšířená realita) i obecně vývoje a distribuce softwaru.

Fluttershy, yay! | Komentářů: 0
Kdy jste naposledy viděli počítač s připojeným běžícím CRT monitorem?
 (20%)
 (4%)
 (11%)
 (39%)
 (24%)
 (2%)
Celkem 437 hlasů
 Komentářů: 23, poslední včera 18:52
Rozcestník

Úschovna hesel

24.2.2015 13:29 | Přečteno: 1226× | Ostatní | poslední úprava: 25.2.2015 15:30

Dlouho jsem řešil způsob jak bezpečně schraňovat hesla a mít k nim přístup vždy a všude. Před pár lety jsem začal uvažovat nad způsobem, jak hesla šifrovat tak, aby byl systém odolný proti bruteforce útoku. Když přítulka dostala ve škole úkol vytvořit celou corporate identity vč. designu webu a reklamních předmětů, nabídl jsem jí, že udělám úschovnu hesel, ona ji nadesignuje a já tím zabiju dvě mouchy jednou ranou.
Je však můj způsob šifrování a ukládání hesel online bezpečný?

Celej systém je založenej na jednoduché substituční šifře, u které se klíč skládá z hlavního hesla uživatele a dalších prvků.
Hlavní heslo není v databázi uloženo, pracuje se s ním pouze na straně uživatele, nepřenáší se ani mezi klientem a serverem.
Přihlašování tedy není ověřováno, na server se odešle pouze uživ. jméno a na web se vrátí množina hesel uložených hesel, které se pak dešifrují podle vypočítaného klíče.

Z toho plyne, že ať už uživatel zádá při přihlášení libovolné heslo, vždy se mu vrátí stejný výsledek - stránka s hesly, ovšem dešifrovanými špatným klíčem.
Kvůli vyřazení přenosu dešifrovaných hesel po sítí je sice (de)šifrovací algoritmus dostupný online, ale teoreticky by neměl útočníkovi nijak pomoct.

Včera jsem koupil doménu, napsal celej systém, nadesignoval podle návrhu (nějakou dobu to musí zůstat se stávajícím designem, aspoň dokud nebude mít přítulka oznámkováno =D) a všechno zprovoznil, v prácí postupně zkoušíme různé způsoby jak systém zlomit, ale víc hlav víc ví, tak se obracím na vás.

https://www.uschovnahesel.cz/

vytvořil jsem účet "testovaci" do kterého jsem nasypal 20 hesel, ať si na testování nemusí každý zakládat svůj vlastní účet.

Pokud někdo budete mít jakýkoliv postřeh, radu nebo budete znát způsob jak systém zlomit, podělte se prosím =)





"F.A.Q." z komentářů
Způsob šifrování hesla
pozdějším studiem jsem zjistil, že jsem nevědomě vytvořil variantu symetrické polyalfabetické substituční šifry, přesněji Vigenèrovy šifry, jen oproti ní mám ještě 36 znaků navíc (malá písmena + číslice) a klíč šifry se mění s každým heslem stejně tak jako způsob, jakým se šifra používá (první znak hesla neznamená, že je zašifrován prvním znakem klíče). Délka šifry a hesla je shodná.

Co se týká jednoho z největších úskalí podobných šifer a to jejich zjevnému opakování, konkrétně ta moje se při šifrování opakujícího se řetězce (aaaaaaaa...) začne opakovat až po bezmála dvou tisících znacích (64*31), takže teoreticky při šifrování "nekonečně" náhodného hesla se možná začne opakovat až daleko v nekonečnu.

// Algoritmus upraven, momentálně nastane opakování až po 128 * 31 znacích
Ukládaná hesla
Všechna ukládaná hesla by měla (resp. kvůli bezpečnosti musí) být náhodná alfanumerická, protože šifrovací algoritmus používá pouze velká a malá písmena a číslice, tzn při použití špatného klíče vypadá výsledek na pohled stejně a při dostatečné náhodnosti hesel nelze bez znalosti jednoho z nich nebo možnosti jeho ověření zjistit, zda byl klíč zadán správně - aspoň mi to zatím nikdo nevyvrátil
HTTPS
ano, https je v plánu

// V provozu
MD5
md5 je použito jen jako prostředek, jak významně změnit klíč i při sebemenší změně hesla, její slabiny znám, ale defacto mi vzhledem ke způsobu použití nevadí, nebo si to aspoň myslím

// Globálně nahrazena za SHA256
Multifaktorová autentizace
HW klíče, scan rohovky atp nepřipadá v úvahu a ani nic podobného neplánuji, dříve jsem chtěl možnost upravit nebo smazat heslo podmínit klíčem zaslaným na email (proto se vyplňuje při registraci), teď už mám v plánu posílat na zadané (při registraci) tel. číslo ověřovací kód SMSkou a bez tohoto ověření zablokovat i přidávání nových hesel. Pokud uživatel nebude chtít vyplnit telefon, použije se emailová varianta

       

Hodnocení: 33 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

24.2.2015 13:38 Teyras
Rozbalit Rozbalit vše Re: Úschovna hesel
Takže celej (de-)šifrovací algoritmus je v javascriptu u klienta?
24.2.2015 13:44 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Bohužel ano, má to samozřejmě svoje nevýhody ale na druhou stranu to zase vyloučí možnost odchytit hesla na cestě mezi klientem a serverem.
Nejsem si úplně jistej jestli znalost šifrovacího algoritmu útočníkovi nějak pomůže, může mu to práci ulehčit ale zatím sem to udělal takhle...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Hans1024 avatar 24.2.2015 13:59 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Úschovna hesel
Odchyceni hesel po ceste lze zabranit i ciste pomoci HTTPS. Naopak v soucasne podobe ten system neni nijak chraneny proti MITM, takze by byl dobry napad stejne tam to HTTPS pridat.
Veni, vidi, copi
24.2.2015 14:07 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Bohužel, máme problémy s nastavením apache a nginxu tak, aby nebyl problém s více certifikáty na jednom IP (zejména win XP to nezkousnuly), ale na druhou stranu je taky pravda, že už se na to zase dlouho nikdo nedíval...
Co se týče MITM, jediné co teď útočník může udělat, je podvrhnutí jiného javascriptu, což sice stačí, ale získá tak data pouze od pár uživatelů, k prolomení celku mu to imo nepomůže
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Heron avatar 24.2.2015 15:19 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Úschovna hesel
Bohužel, máme problémy s nastavením apache a nginxu tak, aby nebyl problém s více certifikáty na jednom IP (zejména win XP to nezkousnuly), ale na druhou stranu je taky pravda, že už se na to zase dlouho nikdo nedíval...

Win XP už nepodporuje ani jeho výrobce, proč byste měl vy? Dále všechny aktuální protokoly TLS1 TLS1.1 TLS1.2 podporují SNI, takže se bez obav můžete pustit do konfigurace https na jedné ip :-)

Co se týče MITM, jediné co teď útočník může udělat, je podvrhnutí jiného javascriptu

Získá ale hesla daného uživatele (pakliže uživatel napíše správné primární heslo).

24.2.2015 15:34 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
WinXP mají (dle aktuálních dat z analytics) podíl pořád ještě víc než 10%, u eshopů si nemůžeme dovolit odstřihnout tolik uživatelů, pokud bych se nedíval na návštěvnost ale konverzi, je to ještě vyšší číslo...
Samozřejmě v tomto případě bych tyto lidi odstřihnout mohl...

Ano, získá hesla daného uživatele, ale celý systém neohrozí... je to alibismus ale zatím se zaměřuju spíše na bezpečnost systému jako takového, ke konkrétním uživatelům se dostanu pak
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Heron avatar 24.2.2015 18:49 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Úschovna hesel
S takovým přístupem chcete navrhovat něco "bezpečnostního"?

Jako chápu, že se zatím jedná o rychlo zbastlené cosi, jen proto, aby přítelkyně měla co nastylovat a odevzdat. Potud k tomu nic nemám, ale promiňte: Substituční šifra? MD5? Obfuskace kódu algoritmu? Používání prolomených algoritmů na webu?

Doporučuju vám kompletně změnit přístup k problému, protože tímto stylem si velice rychle můžete zadělat na problém ještě větší. Obzvláště, pokud stejným způsobem děláte i ty eshopy.
24.2.2015 23:14 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
S takovým přístupem chcete navrhovat něco "bezpečnostního"?
Ne to určitě ne, co se eshopu týká tak tam si dávám na bezpečnost majzla, tam už přestává legrace, navíc bezpečnostní prvky ve kterých by mohla být sebemenší díra se kontrolují (nejen já)
Co se týká poslední mojí věty o bezpečnosti jednotlivých uživatelů, tak tam se samozřejmě zapracuje taky, jen chci napřed co nejvíc zabezpečit systém jako takový, když někdo získá díky mitm hesla jednoho uživatele, není to zdaleka tak hrozný jako kdyby přišel na způsob jak získat všechny.
MD5
proč ne? md5 nepoužívám k zahashování hesla a ověrování s jiným atp, pouze jako prostředek, jak významně změnit klíč i při sebemenší změně hesla, její slabiny znám, ale defacto mi vzhledem ke způsobu použití nevadí, nebo se ošklivě pletu?
Substituční šifra?
ano, vlastně symetrická polyalfabetická substituční šifra, přesněji Vigenèrova šifra jak jsem se dočetl později (zarazilo mě, že jsem napsal víceméně to samý, bez její předchozí znalosti), jen oproti ní mám ještě 36 znaků navíc (malá písmena + číslice) a klíč šifry se mění s každým heslem stejně tak jako způsob, jakým se šifra používá (první znak hesla neznamená, že je zašifrován prvním znakem klíče). Vzhledem k tomu, že portál je určený k ukládání náhodných alfanumerických hesel a kromě znalosti jednoho z hesel nebo možnosti jeho vyzkoušení není (aspoň mi jej nikdo nezdělil) způsob jak rozhodnout zda je klíč správný, myslím, že je to dostatečné.
Obfuskace kódu algoritmu?
Proč ne? ano, vím že obfuskace se ani zdaleka nepodobá např. kompilaci a kód je s měnší či větší dávkou snahy stále čitelný a mohl jsem to nechat pro účely testování bez obfuskace, ale když to můžu udělat pro případného útočníka složitější, tak proč toho nevyužít.
Používání prolomených algoritmů na webu?
Co přesně je tím myšleno?
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Heron avatar 25.2.2015 06:19 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Úschovna hesel
nebo se ošklivě pletu

Nevím. Pokud nějakou funkci kryptologové označí jako prolomenou (a je mi jedno jak moc prolomenou) tak ji prostě přestanu používat. U MD5 k prolomení došlo před 19 lety, před 10 lety se hledaly kolize během sekund. Dneska už je beztak slabá, i kdyby nebyla prolomená. Za těchto okolností mi přijde poněkud zvláští si to obhajovat způsobem "na moje použití je ještě dobrá". Možná jo, nejsem kryptolog, ale právě proto, bych ji nepoužíval vůbec. Už jen proto, že se někdo může inspirovat a tu funkci použít v situaci, kam opravdu nepatří.

ale když to můžu udělat pro případného útočníka složitější

Zkušenější útočník si to jistě umí upravit do čitelné podoby, tomu obfuskace v ničem nezabrání. Security by obscurity prostě nefunguje.

Co přesně je tím myšleno?

Pokud potřebuje přístup pro WinXP, tak zřejmně musíte mít aktivovaný SSL. Z rodiny SSL už nezbyl jediný bezpečný protokol (SSLv1 nikdy nevyšelv platnost, SSLv2 byl pro chyby zrušen v roce 1996, SSLv3 potom v roce 2014). Pokud byste jej nemusel mít aktivní, tak klidně můžete použít SNI.

Bedňa avatar 25.2.2015 07:28 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úschovna hesel
Kto používa WinXP toho určite moc nenakupuje, kľudne ich odstrihni a nestratíš ani korunu na to dám krk.

To že kvôli ním vystavíš všetkých ostatných užívateľov nebezpečiu tomu dáva už len korunu.

PS: Šifrovanie v JavaScripte je samozrejme výborná vec dnes existujú na to aj kvalitné knižnice, len stále to treba schovať za HTTPS.
KERNEL ULTRAS video channel >>>
25.2.2015 08:57 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Pokud vezmu data (pouze z jednoho jediného eshopu) za posledního půl roku a vynásobím počet objednávek z WinXP s průměrnou cenou obj. za stejné období, dostávám se k cca k číslu 1.200.000,- Kč, myslím, že mít milion nebo nemít milion je k*rva velkej rozdíl ;)

To, že kvůli nim jsou ostatní vystaveni riziku jsem neřekl, pouze to, že už na stejném IP nemůžu mít druhou https doménu
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Nicky726 avatar 25.2.2015 09:28 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Úschovna hesel
Pokud vezmu data (pouze z jednoho jediného eshopu) za posledního půl roku a vynásobím počet objednávek z WinXP s průměrnou cenou obj. za stejné období, dostávám se k cca k číslu 1.200.000,- Kč, myslím, že mít milion nebo nemít milion je k*rva velkej rozdíl ;)
Když to postavíš takto, tak to vypadá tak, jak tvrdíš. Ovšem je také rozdíl přijít o 1 M z 10 M, z 50 M, ze 100 M… Navíc mluvíš o obratu, ne zisku, takže ono „nemít“ není úplně vhodné slovo. No a nakonec máš tam obdobnou chybu jako protipirátské organizace, když odhadují škodu. Opravdu zákazník půjde jinam, či nenakoupí, když to z XP nepůjde? Nebude to pro něj další pobídka k tomu, aby zvážil upgrade?
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
25.2.2015 09:46 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Ano, samozřejmě, že mluvím o obratu, a je to pořád ještě významná část obratu (cca 10%) takže tak... A ano, zákazník opravdu půjde jinam, může nakoupit jinde a jinde nakoupí pokud bude mít problém u nás, podobná situace - do teď lidi používají explorer, pobídek k tomu aby zvážili upgrade je tolik až to pěkný není, stejně to neudělají, bylo by to hezký, ale takhle to prostě nefunguje...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Bedňa avatar 25.2.2015 11:51 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úschovna hesel
To by ma zaujímalo ako spravia Xpečkári obrat jeden milión, to je eshop s obnoseným šatstvom? :-)
KERNEL ULTRAS video channel >>>
25.2.2015 18:38 R
Rozbalit Rozbalit vše Re: Úschovna hesel
XP ma priblizne rovnake zastupenie ako Windows 8. A stale je mnoho firemnych PC s XP...
Bedňa avatar 25.2.2015 19:06 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úschovna hesel
Tú firmu by som rád poznal, daj aspoň jednu.
KERNEL ULTRAS video channel >>>
Jendа avatar 25.2.2015 19:20 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
MFF UK, pokud ti nevadí, že to není firma.
Postavil si radar na kopci. Ale viděl na něm věci.
Bedňa avatar 25.2.2015 20:34 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úschovna hesel
To moc firma nieje a len to dokazuje kde niesu peniaze nieje biznis.
KERNEL ULTRAS video channel >>>
Nicky726 avatar 24.2.2015 15:32 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Úschovna hesel
Získá hesla od všech uživatelů, na které udělá MITM. Proč se s něčím lámat, když mi uživatel dá klíče? Ale předpokládám, že toto bude ve finální verzi vyřešené.

Jinak: Bezpečnost by neměla být postavená na tajném algoritmu, ale na tajné informaci, se kterou algoritmus pracuje... Jaký algoritmus je použit pro šifrování, nějaký již prověřený, nebo je potřeba dokázat jeho bezpečnost?
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
24.2.2015 15:41 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Použitý algoritmus jsem napsal v rychlosti, nechtělo se mi hledat silný algoritmus který by nepoužíval jiné znaky než [A-Za-z0-9], potřeboval jsem to udělat rychle aby to mohla přítulka nějak prezentovat. Ve finální verzi tam samozřejmě bude něco sofistikovanějšího
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Nicky726 avatar 24.2.2015 15:54 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Úschovna hesel
To by asi chtělo, algoritmus, zdá se, prozradí i délku uloženého hesla a pro podobná hlavní hesla dává, zřejmě, výsledky uloženému heslu podobné.

Není mi tedy úplně jasné, neprolomitelnost čeho chceš ověřit…
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
24.2.2015 16:00 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
pro podobná hlavní hesla dává, zřejmě, výsledky uloženému heslu podobné.
Hlavní heslo je prohnané přes md5tku právě z toho důvodu aby se klíč dostatečně lišil i při malé změně hesla, potom je ještě u každého hesla osoleno jiným stringem

A ověřit chci spíš ten nápad/myšlenku vrátit útočníkovi pokaždé stejný, zdánlivě správný výsledek
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Nicky726 avatar 24.2.2015 17:43 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Úschovna hesel
Možná úplně nerozumím tomu, jak ti to funguje, ale když dešifruje klient, tak musí uživatel i útočník dostat šifrovaná data, která pak může zkoušet louskat. To se ale neliší od normální kryptoanalýzy. A pokud jsou uložena náhodně generovaná hesla, což by u takovýhle úschoven mělo smysl, tak bude těžké odhalit, zda byla analýza úspěšná bez zkoušení výsledných hesel u původní služby. Pro ono zmatení útočníka by se naopak hodilo, kdyby dešifroval server, a útočník se dostal pouze k výsledku ne k šifrovaným datům. Včetně np. hlídání četnosti pokusů ke klíčence. Nebo mi něco uniklo a útočník původní šifrovaná data nedostane?
Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
24.2.2015 18:01 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Ano, funguje to přesně takhle. Kdyby dešifroval server, útočník nedostane původní zašifrovaná data, ale zase by se prenášelo hlavní heslo mezi klientem a serverem, tomu jsem se chtěl vyhnout. Navíc bych v případě šifrování na serveru musel posílat hesla od klienta v nezašifrované podobě, což se mi už vůbec nelíbí. Leda šifrovat u klienta a dešifrovat na serveru, nad tím sem ale moc nepřemýšlel, takže teď z patra nedokážu jestli by to nebylo z hlediska bezpečnosti ještě horší.

A myslím si, že rozhodnutí o úspěchu nebo neúspěchu je v případě náhodných alfanumerických hesel nemožné pokud ani jedno z hesel neznám a nemám je jak vyzkoušet, to i za předpokladu že mám neomezenou sadu šifrovaných řetězců... tedy ovšem pokud by v uložených náhodně generovaných heslech nebyl nějaký vzor nebo pravidlo.
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Jendа avatar 24.2.2015 18:21 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
A myslím si, že rozhodnutí o úspěchu nebo neúspěchu je v případě náhodných alfanumerických hesel nemožné pokud ani jedno z hesel neznám a nemám je jak vyzkoušet, to i za předpokladu že mám neomezenou sadu šifrovaných řetězců... tedy ovšem pokud by v uložených náhodně generovaných heslech nebyl nějaký vzor nebo pravidlo.
Nebo pokud tam nějakou pravidelnost nevnese tvůj nakoleně vyrobený šifrovací algoritmus (nejspíš vnese).
Postavil si radar na kopci. Ale viděl na něm věci.
Jendа avatar 24.2.2015 18:19 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
No supr, takže MD5 tam máš. I šifrování pomocí nepříliš kvalitní MD5 nejspíš bude lepší než nějaký tvůj algoritmus.
Postavil si radar na kopci. Ale viděl na něm věci.
24.2.2015 18:34 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
teď dost dobře nechápu jak to myslíš, jak chceš využít hashování k zašifrování textu?
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Jendа avatar 24.2.2015 18:46 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
Vygeneruješ pseudonáhodnou sekvenci MD5(key + 1 + iv) + MD5(key + 2 + iv) + MD5(key + 3 + iv)… (+ je spojování, ne sčítání) a text s ní přexoruješ.
Postavil si radar na kopci. Ale viděl na něm věci.
24.2.2015 18:58 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
ano, ale pokud to udělám, výsledek bude nějakej blivajz, stejně tak při dešifrování při zadání špatného klíče vyleze blivajz, a to nemá...
ale ten můj algoritmus funguje podobně, z několika md5 různých řetězců si vytvořím klíč a potom podle něj string (heslo) posunu o daný počet znaků tam či zpátky.
Víceméně Caesarova šifra, jen je každý jednotlivý znak posunutý jiným způsobem a u každého šifrovaného hesla se liší jak klíč, tak způsob jakým se klíč používá
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Jendа avatar 24.2.2015 18:18 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
Použitý algoritmus jsem napsal v rychlosti, nechtělo se mi hledat silný algoritmus který by nepoužíval jiné znaky než [A-Za-z0-9], potřeboval jsem to udělat rychle aby to mohla přítulka nějak prezentovat.
Tak to je 100% děravé, pokud nemáš IQ 250. Myslíš, že dokážeš „v rychlosti“ vymyslet silný algoritmus?

Co znamená nepoužíval jiné znaky než [A-Za-z0-9]? Ty píšeš bezpečnostní aplikaci a neumíš výstup šifry protáhnout base64?
Postavil si radar na kopci. Ale viděl na něm věci.
24.2.2015 14:13 Teyras
Rozbalit Rozbalit vše Re: Úschovna hesel
No, záleží jak dobrej ten alg. je :) Teoreticky může existovat způsob, jak ze zašifrovanejch hesel dopočítat klíč a podobně. A pokud by na tohle útočník přišel, ohrozí všechny hesla (a ty buď zahodíš uživatelům jejich hesla, nebo je necháš ukrást). Navíc když si kdokoliv to šifrování může zkopírovat k sobě, budeš se jen těžko bránit brute-force útokům.
24.2.2015 14:23 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Algoritmus je fakt jednoduchej, zatím jenom pro testovací účely, postupně bude nahraznej lepším, teď tam ale stačí ten primitivní co tam je...
Pokud útočník dopočítá klíč (což jde imo pouze za předpokladu, že jedno z hesel zná), tak ano, ví všechna ostatní hesla, ale nijak mu to nepomůže při získání hesla jiného uživatele.
To, že si útočník může algoritmus stáhnout a používat lokálně je jasný, ale pořád (bez znalosti jednoho z hesel) nemůže poznat jestli uspěl, nebo ne
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
24.2.2015 14:35 Teyras
Rozbalit Rozbalit vše Re: Úschovna hesel
Může např. poznat, jestli se v nějakým výsledku objevilo něco podobnýho českýmu slovu... Což se sice nemá dělat, ale spousta lidí to tak má :) A když změníš šifrovací alg, tak můžeš rovnou zahodit hesla co máš uložený, ne? Pokud teda nechceš podporovat víc verzí.
24.2.2015 14:48 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Ano, právě proto jsem hned na hlavní stránku toto napsal jako slabinu systému, ale pokud člověk používá jen náhodný alfanumerický hesla, tak je to bez problému.
Kvůli podobnýmu důvodu jsem systém omezil jen na písmena a číslice, pokud by někomu v 99% případů vypadly hesla typu "x@b./0%*-:#])|", tak je může rovnou vyloučit. (pokud nejde o hesla extrémně paranoidního člověka =D)
Ano, při změně algoritmu jsou uložený hesla k ničemu, ale celej portál je zatím ve fázi beta testování, takže mě to nijak moc netrápí
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
24.2.2015 15:20 Teyras
Rozbalit Rozbalit vše Re: Úschovna hesel
No, myslel jsem spíš když ti to někdo hypoteticky prolomí - to asi budeš chtít taky změnit alg.
Jendа avatar 24.2.2015 18:15 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
Nejsem si úplně jistej jestli znalost šifrovacího algoritmu útočníkovi nějak pomůže, může mu to práci ulehčit ale zatím sem to udělal takhle...
Security by obscurity nefunguje.

Proč se vlastně snažím implementovat nějaký vlastní algoritmus a nepoužiješ nějaký, který vyvinul tým lidí, kteří tomu rozumí (nic proti, já si taky netroufnu vyvíjet vlastní šifru), a jehož bezpečnost už deset let prověřují odborníci z celého světa?
Postavil si radar na kopci. Ale viděl na něm věci.
24.2.2015 18:29 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
jak jsem psal v jiným komentu, hlavní myšlenka je ta, ža pokud se budou ukládat náhodná alfanumerická hesla a při zadání libovolného hlavního hesla dostane uživatel opět alfanumerické heslo, nebude schopen rozhodnout jestli je správně nebo ne. Nechtěl jsem zdlouhavě hledat šifrovací algoritmus, který by pracoval pouze se znaky [A-Za-z0-9], tak jsem rychle napsal svůj s tím, že ho vyměním až najdu vhodný. Všechny "spolehlivé" šifrovací algoritmy které znám, využívají v zašifrovaném textu spoustu jiných znaků, navíc při dešifrování špatným klíčem dochází k rozbití celého řetězce, takže útočník snadno pozná že nemá správný klíč.
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Jendа avatar 24.2.2015 18:49 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
Všechny "spolehlivé" šifrovací algoritmy které znám, využívají v zašifrovaném textu spoustu jiných znaků
Cokoli (AES, Blowfish…) + base64.
navíc při dešifrování špatným klíčem dochází k rozbití celého řetězce, takže útočník snadno pozná že nemá správný klíč
base64 „špatným“ směrem.
Postavil si radar na kopci. Ale viděl na něm věci.
24.2.2015 19:03 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Cokoli (AES, Blowfish…) + base64.
Ale i base64 používá jiné znaky než číslice a písmena
base64 „špatným“ směrem.
to je ale problém, já nevím kdy uživatel zadal heslo správně a kdy dobře, takže o tom jestli se ma enkodóvat nebo dekodóvat nedokážu rozhodnout
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
24.2.2015 19:54 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Úschovna hesel
Ale i base64 používá jiné znaky než číslice a písmena
Plus, lomeno a rovná se. To by neměl být takový problém :) Navíc v heslu by stejně měly být i jiné, než alfanumerické znaky.
25.2.2015 19:36 ET
Rozbalit Rozbalit vše Re: Úschovna hesel
base32 ? popr si to ohni, aby ti to vyhovovalo ;)
24.2.2015 20:28 johniez | skóre: 17 | blog: xyz | Praha
Rozbalit Rozbalit vše Re: Úschovna hesel
Neschopnost rozhodnout, zda se desifrovani podarilo je sice hezka myslenka, ale je opodstatnena? Podle me to neni potreba resit, kdyz se spolehnes na dostatecnou silu sifry. AES a spousty dalsich uz implementaci v javascriptu maj (crytpo-js, forge a asi spousta dalsich), tak proc delat nejakou vlastni?
Bedňa avatar 25.2.2015 07:38 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Úschovna hesel
Spôsob šifrovanie dešifrovanie na strane klienta sám používam a pokladám ho za dostatočne bezpečný v použití s HTTPS.

Pokiaľ nechceš vymýšľať koleso odznovu, použi hotové riešenie. Pár mesiacov som s tým zabil a môžem doporučiť úplne najrýchlejšiu knižnicu https://github.com/vibornoff/asmcrypto.js. Skúšal som ich desiatky a ani jedna sa na ňu nechytá. Môžeš kľudne zabudnúť aj na tie vyhlásené každá na niečom kolabuje, či už dĺžke, alebo type dát, táto jediná nemá problém s gigabajtami dát hocijakého typu.

Bože a MD5 už nevyťahujte z hrobu a nechajte ju spať :)
KERNEL ULTRAS video channel >>>
24.2.2015 13:52 Michal
Rozbalit Rozbalit vše Re: Úschovna hesel
Co treba LastPass? Princip fungovani je stejny - k desifrovani dochazi az na klientovi.
24.2.2015 14:08 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
LastPass funguje pouze s konkrétní apkou, to je právě to co jsem nechtěl...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
24.2.2015 17:42 Dušan
Rozbalit Rozbalit vše Re: Úschovna hesel
LastPass už nemá webovou verzi?
24.2.2015 15:04 Petr
Rozbalit Rozbalit vše Re: Úschovna hesel
ja je mam nalepene zlutym papirkem na monitoru :) muj skrabopis je dostatecne silny proti jakemukoliv prolomeni
24.2.2015 16:50 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Úschovna hesel
Však on si s tím nějaký captcha solver poradí :-D
24.2.2015 16:23 Jiří Veselský | skóre: 30 | blog: Jirkovo | Ostrava
Rozbalit Rozbalit vše Re: Úschovna hesel

Ne že by to bylo nějak extrémně podstatné, ale v té hlavní nabídce nahoře je "Registace" místo "Registrace" :)

24.2.2015 17:13 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
hmmm, to mi nevyhazovalo žádný errory tak sem si toho nevšiml =D díky =D
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Jendа avatar 24.2.2015 18:12 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Úschovna hesel
Těžko ti můžeme říct, jestli je to bezpečné, když je taková pakárna to analyzovat (co to kurva je?!). Obecně když se někde píše něco jako Celej systém je založenej na jednoduché substituční šifře nebo „vymysleli jsme za odpoledne vlastní šifrovací algoritmus, který normálně trvá týmu matematiků vyvinout pět let“, tak to bezpečné nebývá.
Postavil si radar na kopci. Ale viděl na něm věci.
24.2.2015 20:26 Jardík
Rozbalit Rozbalit vše Re: Úschovna hesel
Je to rozbitý, nefunguje to. Po zadání jména a hesla to vykydne skoro prázdnou stránku s Uživatelské jméno, Poslední přihlášení, Poslední IP adresa a tlačidlem k odhlášení. U položek není nic napsáno. Používám Firefox 36 s vypnutým javascriptem a s vypnutým špehováním (sušenky). Za web, který nefunguje bez sušenek, bych dal známku 'F', jako fail.
24.2.2015 20:52 manasekp | skóre: 29 | blog: manasekp | Brno
Rozbalit Rozbalit vše Re: Úschovna hesel
U aplikace ktera je udajne cela napsana v javascriptu bude ten javascript asi celkem dulezity.
BIOKOMP | Cas od casu se pokousim nekoho srazit k zemi abych se tam nevalel sam.
24.2.2015 21:50 Jardík
Rozbalit Rozbalit vše Re: Úschovna hesel
I když ho povolím, tak to nejde bez sušenek. Nevím proč. Stačilo by hesla prostě odeslat na základě POSTu z formuláře, cookies jsou tam k ničemu.
24.2.2015 22:39 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Jak se ti žije napříč internetem bez js a cookies? nemá to bejt rejpanec, fakt by mě to zajímalo =D

Co se úschovny týká, beru připomínku, opraveno =)
Bohužel ale bez cookies odpadá možnost přidávat hesla, minimálně do té doby než vymyslím kompromis mezi bezpečností, jednoduchostí a prasárnou...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
25.2.2015 06:57 manasekp | skóre: 29 | blog: manasekp | Brno
Rozbalit Rozbalit vše Re: Úschovna hesel
Jardik bude casem vyzadovat funkcnost i bez monitoru a klavesnice(co kdyby si k tomu sedl hekr) a vypnutym pocitacem odpojenym od vsech siti(NSA).
BIOKOMP | Cas od casu se pokousim nekoho srazit k zemi abych se tam nevalel sam.
25.2.2015 20:01 Pepa
Rozbalit Rozbalit vše Re: Úschovna hesel
pocitacem odpojenym od vsech siti

vcetne elektricke

ale to ostatni dava smysl kvuli utoku postrannim kanalem

24.2.2015 22:38 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Úschovna hesel
Je to jedno řešení, ale já raději dva klíče (tunel na bránu a v něm tunel na stroj), pak jedno heslo na EncFS (ležící na LUKS) a další heslo ke klíčence a taky to mám dostupné všude :-).
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
24.2.2015 22:43 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
No... to právě úplně nevystihuje vyriantu "dostupné všude", minimálně potřebuješ terminál, žádnou online službu samozřejmě nepoužiješ, přece bys nějakýmu webu nedal username, hostname, klíčenku a heslo najednou, to by udělal jenom hodně velkej blázen nebo totální idiot =D
Ano, tady sice potřebuješ internet a prohlížeč (chystám se na optimalizaci pro links =D), ale to už většinou máš, když to heslo potřebuješ...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
25.2.2015 07:39 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Úschovna hesel

Vždy něco potřebuješ. Ty taky svěříš heslo prohlížeči…

Já jsem měl podobnu aplikaci udělanou asi pře deseti rokama - možná ji ještě někde mám (v PHP), měl jsem to na https, DB MySql všechny informace v DB šifrované aplikačním heslem (uloženém mimo DB), username a heslo pak šifrované SHA1 z části přihlašovacím hesla a soli, a nakonec se ke klientovy dostala blok dat o velikosti násobků 256znaků (myslím minimálně 1/2 dat musela být random), kde bylo heslo + kontrolní kód někde vložen a symetricky zašifrován a v JS se to decryptovalo na klientské straně dalším heslem. Ale je to naprd. pokud chceš přistoupit z nesvého HW, tak si stejně v háji, takže standardní způsob, otevření vzdálené ověřené klíčenky přes ssh tunel má mnohem vyšší úroveň…

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
24.2.2015 22:48 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Úschovna hesel
Hodnotila bych F, je to příšené, ale na veřejné vysoké škole to možná projde.
24.2.2015 23:06 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
co přesně je hodnoceno, nápad, provedení (podotýkám, že čistě testovací a tento blog je tu právě kvůli tomu aby se to zlepšilo =) ), design nebo celek? =D
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
25.2.2015 19:13 Miriam | skóre: 3 | blog: zivot
Rozbalit Rozbalit vše Re: Úschovna hesel
viz nebo to tu máš milionkrát v diskuzi. Ty jsi typicky příklad toho technicky myslícího génia, udělá složitou píčovinu, která je k ničemu a přesně tohle na veřejných vysokých školách učí. To je ten rozdíl mezi vámi a námi hackery.
25.2.2015 19:56 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
nj, já věděl proč na vejšku nechodit =D
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
24.2.2015 23:11 SkákalPřesOheňAžSiPropálilMokasíny | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Úschovna hesel
Je však můj způsob šifrování a ukládání hesel online bezpečný?
Ne.

1. Tvůj algoritmus není bezpečný. Párkrát jsem si taky zkusil nějaké schéma týkající se bezpečnosti navrhnout. Je to dobrý jako cvičení, když člověk pochopí, v čem to má díry. Ale prakticky to na 99.999..% k ničemu není.

2. Jestliže nedůvěřuješ HTTPS a hostingu, že přenesou a zpracují uživatelovo heslo bezpečně, nemůžeš věřit ani tomu, že doručí tvou JavaScriptovou aplikaci uživateli nenarušenou. Tzn. JS crypto nepřidává žádnou bezpečnost.
24.2.2015 23:19 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
není to v nedůvěře v HTTPS a hosting, jen máme momentálně zabrané všechny přidělené IP adresy, takže nemám kam šoupnout certifikát aby s tím neměly WinXp a podobné systémy problém. Samozřejmě se můžu na uživatele s WinXp apod. z vysoka tamto a asi to taky udělám, jen mě to nenapadlo hned, protože jsem měl zafixovaný že další https doménu neudělám.
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
24.2.2015 23:11 ivir | skóre: 7 | Barrandov
Rozbalit Rozbalit vše Re: Úschovna hesel
Člověk by měl jít s dobou.

Myslím si, že by přišlo vhod použít alespoň pro přenos Diffie-Hellman a s tím spojené opětovné zašifrování zašifrovaných hesel ať si dá útočník trošku více práce. Alespoň bez toho při znalosti dešifrování mám surová data a stačí mi tak získat od uživatele heslo skrze jiné kanály a mám je všechna k dispozici. Z průzkumů je patrné, že lidé stále používají hlavně jednoduše zjistitelná hesla.

Technika MITM ve v současnosti už běžně nasazuje ve firemním prostředí pro možnost filtrace dat směřující do ze společnosti a zlý admin by tak měl k dispozici surová data a zároveň z ostatních systémů je většinou schopen zjistit používaná hesla.

Pak by přišla vhod implementace vícefaktorové autentizace pomocí standardu U2F.

Jak už bylo dříve zmíněno, tak slabiny v systému jsou
  • přenosový kanál
  • možnost dolování dat bez penalizace
  • možnost přidání položky (i stejného názvu) i neautorizovanou osobou (aneb vygeneruji původní seznam a nadřazený schovám) -> jsem schopen získat více hesel neb uživatel bude vzpomínat
  • ve většině případů jsem schopen poznat, zda je heslo dekódováno či ne vzhledem k délce "hashe".
+ zdá se, že uřezává moc dlouhá hesla, kdy z 2146 znaků zobrazil pouze cca 100, ale je možné, že je někde ještě zobrazuje, ale vybrat nejde.
24.2.2015 23:27 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
použít alespoň pro přenos Diffie-Hellman
To by se mi moc líbilo, ale jak zaručit bezpečnou výměnu klíčů?
možnost přidání položky (i stejného názvu)
Je to psaný fakt na rychlo, i kontrolu duplicity emailové adresy a uživ. jména při registraci jsem dělal až dodatečně...
ve většině případů jsem schopen poznat, zda je heslo dekódováno či ne vzhledem k délce "hashe"
Délka "hashe" se právě nemění, stejně tak jako se v něm neobjevují jiné znaky než [A-Za-z0-9], takže pokud mi něco neuniklo, takto to poznat nejde

A ano, v databázi jsem asi dal varchar(100), nepředpokládal jsem, že by někdo chtěl ukládat něco takového, moje nejdelší heslo má 64 znaků...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
25.2.2015 00:27 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Úschovna hesel
Je to psaný fakt na rychlo, i kontrolu duplicity emailové adresy a uživ. jména při registraci jsem dělal až dodatečně...
A o unikatnich klicich jste uz v mysql slysel?
Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".
25.2.2015 00:38 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
ano =D ikdyž zrovna nad stringama dělám unique klíče nerad kvůli rychlosti
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Jakub Lucký avatar 25.2.2015 13:22 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Úschovna hesel
Premature optimization is root of all evil.
If you understand, things are just as they are; if you do not understand, things are just as they are. (Zen P.) Blogísek
25.2.2015 18:42 R
Rozbalit Rozbalit vše Re: Úschovna hesel
Kolko ludi sa tam bude registrovat za sekundu, ze s tym ma byt problem?
xkucf03 avatar 25.2.2015 01:39 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Úschovna hesel
Je však můj způsob šifrování a ukládání hesel online bezpečný?

Problém nebude až tak v šifrách a ukládání hesel, ale v tom, že je to webová aplikace – z toho pramení ta nebezpečnost/nedůvěryhodnost. Provozovatel webu nebo MITM útočník po cestě (není tam ani HTTPS) může kdykoli poslat uživateli upravený JavaScript, který ukradne jeho heslo/klíč. To je princip webových aplikací – neinstalují se a nemají z pohledu uživatele žádnou jasně definovanou verzi, kterou by si mohl zkontrolovat a zafixovat, zůstat u ní. I když si něco zkontroluje, stejně se mu nainstaluje a spustí jiný kód, kdykoli ho provozovatel umístí na server (nebo ho za letu změní útočník mezi nimi).

Chápu, že jsi to myslel dobře a aplikace vypadá přívětivě (jednoduchá, přehledná, použitelná), ale z pohledu bezpečnosti je to tragédie …tak jak je to postavené teď.

Jestli to nemá být jen školní cvičení a chceš to uvést do praxe, tak to předělej na intranetovou aplikaci pro firmy – dodávej to včetně zdrojových kódů pod svobodnou licencí, přidej k tomu možnosti auditování (kdo a kdy si jaká hesla četl), v další verzi i řízení práv, ať nevidí všichni všechno. Tím, že si to bude firma provozovat sama na své bezpečné síti, tak to začne mít smysl. Využití si to najde – zdaleka ne všude se používají asymetrické klíče, zdaleka ne všude má každý svůj osobní účet → firmy potřebují sdílené účty k různým systémům. Potřebují dát svým zaměstnancům přístup k těm heslům, aby mohli pracovat, ale zároveň to nemůže být texťák na sdíleném disku – je potřeba řídit práva k jednotlivým heslům a evidovat, kdo, co a kdy četl případně zapsal.

(ano, sdílené účty jsou špatné, klíče nebo důvěryhodná třetí strana a SSO jsou dobré… ale než se situace zlepší, dá se to překlenout nějakou takovou aplikací – lepší než mít v těch heslech bordel a posílat si je e-mailem nebo je mít volně hozená na sdíleném disku)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Bystroushaak avatar 25.2.2015 13:35 Bystroushaak | skóre: 35 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Úschovna hesel
Ať to vezmu jak chci, tak mi celý nápad přijde jako opravdová bezpečnostní tragédie, a to i kdyby byl na intranetu. Být utočník v takové síti, tak se popadám smíchem za břicho a roním slzy štěstí. Všechny hesla centrálně, vždyť co víc si přát, stačí mi přepsat jen jeden soubor s javascriptem..
xkucf03 avatar 25.2.2015 19:59 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: Úschovna hesel
Ať to vezmu jak chci, tak mi celý nápad přijde jako opravdová bezpečnostní tragédie, a to i kdyby byl na intranetu.

Záleží, s čím to porovnáváš – pokud byl výchozí stav to, že se hesla válí na volně přístupných síťových discích, „Google Sheetech“, nešifrovaných discích zaměstnaneckých notebooků a posílají se nešifrovaným e-mailem kde komu… tak zavedení takovéto aplikace představuje zlepšení.

Být utočník v takové síti, tak se popadám smíchem za břicho a roním slzy štěstí. Všechny hesla centrálně, vždyť co víc si přát, stačí mi přepsat jen jeden soubor s javascriptem..

Servery a síťovou infrastrukturu ve firmě má pod palcem pár lidí, kteří kdyby chtěli, tak napáchají mnohem větší škody.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
25.2.2015 20:25 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
konečně někdo =D ano, výchozí stav je docela přesný, napřed se mi hesla válely všude možně, pak jsem začal používat klíčenky a nakonec jsem se dostal k aplikacím které ovšem byly pouze lokální což ne vždy stačilo. Hromada lidí co znám používá na ukládání hesel texťák na disku, dropboxu, google disku atp. Díky nechci. Kdyby přítule nepotřebovala nějakej nápad na školní projekt, skončilo by to někde na doméně třetího řádu, takhle jsem jí ale mohl pomoct a aspoň to konečně rozhejbat. Od vytvoření zápisku jsem dost posílil šifrovací algoritmus, přidal ssl, dodělal lepší server-side i client-side skripty... vlatně to nikomu nenutím, mě to stačí a nebojím se to používat, klidně tam dám heslo od bankovního účtu... nebudu se bát dokud nedostanu důkaz, že ten systém není bezpečný pokud se budou šifrovat jen náhodná alfanumerická hesla...
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
25.2.2015 23:09 mimi.vx | skóre: 37 | blog: Mimi.VX | Praha
Rozbalit Rozbalit vše Re: Úschovna hesel

jj, textak na dropboxu ale napred protahnuty gpg .., ah vlastne jinak : http://www.passwordstore.org/

USE="-gnome -kde";turris
Bystroushaak avatar 25.2.2015 23:19 Bystroushaak | skóre: 35 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Úschovna hesel
konečně někdo =D ano, výchozí stav je docela přesný, napřed se mi hesla válely všude možně, pak jsem začal používat klíčenky a nakonec jsem se dostal k aplikacím které ovšem byly pouze lokální což ne vždy stačilo.
Tohle není taková chyba, protože to jsou jen tvoje hesla, která když ti vyhackuji počítač stejně odsniffuji (případně si dám hooky přímo do aplikací, takže ti nepomůže ani kopírování), tudíž vůbec nezáleží, kam si je uložíš, nebo jestli si je pamatuješ. Když vyhackuji ten server, tak mám rázem přístup ke všem uživatelům, jako kdybych se dostal někam na radius/active directory server.

Nechci tvrdit, že řešení je technicky špatně - není. Jen vytváří bod potenciálního selhání, který pokud ti někdo hackne hosting ohrozí spousty uživatelů.
Heron avatar 26.2.2015 08:37 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Úschovna hesel
mě to stačí

Ale mě ne. https://www.ssllabs.com/ssltest/analyze.html?d=uschovnahesel.cz

Kromě celkem očekávaných chyb (SSLv3, RC4, což se dá snadno napravit) mě zarazilo to, že ti StartSSL dává certifikáty od autority s SHA1. Dělal jsem u nich 5 crt tento týden a všechny mají root a intermediate SHA256. U tvých ne.

26.2.2015 11:10 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
Tak po dvou hodinách práce už to konečně vypadá líp, po desítkách reloadů apache jsem asi vyčerpal svoje možnosti a dospěl do stavu kdy je hodnocení relativně ok a neodstřihu starší browsery (tím je myšleno třeba i IE8-10 na Win7, Android < 4.4 apod...)
Každopádně velký dík, tohle mi hodně pomohlo, člověk se pořád účí...

Zdá se ti to už ok, nebo z té analýzy pořád vyčteš něco závadnýho?
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
Heron avatar 26.2.2015 11:30 Heron | skóre: 52 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Úschovna hesel
Jo, tohle je už dobrý. :-)

Co bylo tomu předchozímu intermediate crt?
26.2.2015 11:37 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: Úschovna hesel
byl rozbitej [čti: neaktuální] =D
Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.
25.2.2015 22:15 nobody
Rozbalit Rozbalit vše Re: Úschovna hesel
...ať už zadá Vaše hlavní heslo správně či dobře, výsledek bude vypadat pořád stejně...
tak jeste aby to vypadalo jinak ;)

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.