UPC nepoužívá hash pro ukládání hesel. (diskuse)

AbcLinuxu:/ Blogy / blog / UPC nepoužívá hash pro ukládání hesel. / UPC nepoužívá hash pro ukládání hesel. (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (2) ?

25.9.2011 13:12 Bluebear | skóre: 30 | blog: Bluebearův samožerblog | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Hashes? We need no stinkin' hashes. :-D

To mi připomíná, jak jsem si pořídil květináč, že v něm budu mít květinu. Opravdu tam byla, ale potom být přestala...

25.9.2011 13:24 Petr
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Neni nadto kdyz si uzivatel zalozi blog, aby mohl napsat jeden zapisek. Zeby jedna pani povidala... ?

Priste poprosim o fakty podlozene argumenty. Dekuji.

25.9.2011 13:53 asdfghj
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Overeni je v tomto pripade snadne. Kdokoliv z uzivatelu UPC si to muze vyzkouset osobne sam.

25.9.2011 14:39 Petr
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Uchovat hash hesla neni jedina metoda jak heslo v databazi ulozit. I v pripade ze nekdo ukradne celou databazi hashovanych hesel budou pozdeji administratorem vsechna hesla zmenena...

Pokud narazite na situaci kdy nekdo ukradne databazi hesel v textove podobe a nahodou budou fungovat loginy a hesla i do ostatnich sluzeb (napr. gmail, facebook,...) pak takovy uzivatel je blazen a muze si za to sam.

25.9.2011 15:04 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Pokud narazite na situaci kdy nekdo ukradne databazi hesel v textove podobe a nahodou budou fungovat loginy a hesla i do ostatnich sluzeb (napr. gmail, facebook,...) pak takovy uzivatel je blazen a muze si za to sam.

Což ale nijak neospravedlňuje ISP, který hesla nehashuje. To je základní bezpečnostní požadavek; hashovat hesla, a to s dostatečně dlouhou a dostatečně unikátní/náhodnou solí.

SPD vůbec není proruská

25.9.2011 16:08 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

To je základní bezpečnostní požadavek

Citation needed, woe :). Základní požadavek čí? Tvůj? Zákazníků?

Hádám, že kdybysis udělal statistiku, že většina lidí víc ocení to, že si můžu nechat poslat heslo, než že v databázi provozovatele služby je heslo zahešováno.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.9.2011 17:37 asdfghj
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Tohle mi uniká. Vetsina lidi oceni, ze si muze nechat poslat puvodni heslo, kdyz si stejne pote muzou nastavit heslo jake chteji? :-D

25.9.2011 17:54 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Přesně tak.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.9.2011 09:20 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Většina lidí by ocenila, kdyby mohla mít heslo "123" a taky jim admini nepovolují...

multicult.fm | monokultura je zlo | welcome refugees!

26.9.2011 12:06 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Velmi často jim to ani nezakazují :), nebo jim povolují velmi podobné věci.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.9.2011 12:31 SPM | skóre: 28
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

A ti co jim to nepovolí, jsou potom často terčem nadávek a dotěrnejch dotazů :)

26.9.2011 15:37 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

A pak to podle toho vypadá :-)

multicult.fm | monokultura je zlo | welcome refugees!

26.9.2011 23:37 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Což jde ale úplně mimo původní téma, které jsem komentoval.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

27.9.2011 16:29 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Nikoliv. Jde to přímo k jádru věci (a sice, že to, že si uživatelé přejí, není argumentem, proč blbě zabezpečovat...).

multicult.fm | monokultura je zlo | welcome refugees!

27.9.2011 17:22 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

V tom případě se obávám, že máš jiné jádro než já. Ale když jsi tak dobrý v té tvorbě souvislostí, tak bys mohl na původní otázku odpovědět:

Základní požadavek čí? Tvůj? Zákazníků?

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.9.2011 13:30 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Cekali byste takovy pristup u ISP?

Samozřejmě. A nevidím v tom žádný problém.

Existují asi tak tři možnosti, jak nakládat s autentizací pomocí hesla...

1) PSK, tedy klasické heslo uložené v databázi, jako to má UPC. U mnoha protokolů včetně HTTP (ale bohužel se používají spíše webové formuláře) je pak možnost vůbec neposílat heslo po síti.

2) Hashované heslo (bez soli, se solí, ...), čímž se automaticky odsoudíte k tomu, že se heslo musí posílat po síti, což způsobuje problém při porušení autenticity stroje, kam se přihlašujete.

3) Zkombinovat výhody obou postupů nějakým šikovným kryptografickým mechanismem (Hledej: SCRAM). K tomu je potřeba podpora serverového i klientského software a tato podpora jaksi chybí.

4) Nepoužívat ji (používat mechanismus založený na něčem jiném). Nevýhody jsou zřejmé.

Každá možnost má své výhody a nevýhody, tudíž lze naprosto chápat, že se v mnoha případech použije PSK.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.9.2011 13:55 asdfghj
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Ad 1) Takže když se někdo nabourá do databáze hesel u ISP, získá všechna hesla všech uživatel. To je podle vás OK?

25.9.2011 14:50 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Ano, je to přesně tak, získá hesla všech uživatelů. A nejen to, v té databázi bude spousta dalších zajímavých údajů.

Nevidím důvod, proč se navážet v tomhle ohledu zrovna do UPC. Není v tom ani zdaleka samo. A obecne by se mnozí divili, kdyby zjistili, co všechno se dá zařídit bez hesla jenom s víceméně veřejnými údaji jako rodné číslo, případně různými čísly smluv, které nejsou zdaleka jen v té databázi.

Co si myslím já osobně? Já si myslím, že celý okolní svět je špatně, zvlášť z hlediska bezpečnosti :).

Ale co si budeme povídat, to, o čem se píše tady v tom blogu, JE v kontextu okolního světa naprosto v pořádku. Takhle se to běžně dělá a je to de facto standard, stejně jako je de facto standard nestarat se o zabezpečení pokud to není nezbytně nutné. Důležité je o něčem prohlásit, že je to bezpečné tak, aby tomu dotyční věřili, ne to zabezpečit.

Jestli a jak moc je to špatně, to už ať posoudí každý sám.

P.S.: My jsme si taky pořídili dobrý zámek až když nás vykradli.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.9.2011 15:59 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Souhlasím. Na (ne)hashování hesla to nestojí.

Je s podivem, že autora blogu daleko více nezaráží zasílání hesla v plaintext emailu, který si může někdo bez problémů přečíst. Tuto praktiku osobně považuji za větší problém, než je způsob uložení hesel.

Heron

25.9.2011 16:19 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

jj, je to dost velký průšvih (a bohužel se to týká skoro všech služeb), ale co s tím?

Když bys ten e-mail chtěl poslat zašifrovaný, tak to předpokládá, že uživatel má osobní certifikát – tudíž ani nepotřebuje hesla a může se na webu přihlašovat tím certifikátem. Případně může mít GPG… Nebo ta hesla posílat SMSkou, ale to zase něco stojí.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2011 17:37 loki
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Davat hesla pri podpisu smlouvy a nasledne je sdelovat||resetovat pouze pri osobnim styku proti prukazu totoznosti. ;-)

25.9.2011 17:39 loki
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Vim, je to dosti krkolomne.. Ale je v tom alespon urcity lidsky prvek, ktery neni na skodu. Pri vyzvedani hesla muzete klienty rovnou upomenout na nesplnene zavazky, nabidnout nove sluzby, atd.

25.9.2011 17:41 asdfghj
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

zaslání hesla v plaintextu má sice svá rizika, ale jsou minimalizována v případě, že uživatel zaslané heslo následně změní. Což se pravděpodobně nestane, je -li mu zasláno původní heslo.

25.9.2011 14:56 chrono
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Pre rozumného (a teda takého, čo nepoužíva jedno heslo) je väčší problém, že sa dostanú k jeho emailu (teda ak mu tam začnú posielať ďalší spam).

25.9.2011 14:00 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Stejně jako ty nesdílím názor že „hashované heslo v DB je jediná správná cesta a kdo to dělá jinak, ten by měl být zastřelen“ :-)

Ale přesto pár poznámek:

Mít původní heslo v DB ti sice umožní neposílat heslo po síti, jenže pokud se použije formulářová autentizace, tak heslo hashuješ JavaScriptem na straně klienta. A pokud se nepoužívá HTTPS, může útočník podvrhnout HTML/JS tak, aby se heslo nezahashovalo a poslalo jen tak a uživatel nic nepozná – stránka vypadá úplně stejně. Pokud se použije HTTP digest autentizace (opět bez SSL), tak zase útočník může komunikaci upravit/přeložit a směrem ke klientovi to poslat jako HTTP Basic autentizaci (tady už si toho uživatel může všimnout, protože www prohlížeč by mu měl v dialogovém okně pro zadání hesla napsat, jaká metoda se používá – ale kolik uživatelů si toho všimne?)

I když se podaří uchránit heslo, není (při použití nešifrovaného HTTP) chráněn samotný obsah – lze podvrhovat vlastní, číst komunikaci nebo provádět akce za uživatele (posílat e-maily, měnit konfiguraci služeb atd.).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2011 14:55 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

jenže pokud se použije formulářová autentizace

Ano, formulářová autentizace je díra sama o sobě, proto jsem psal o síťových protokolech a jejich autentizačních prostředcích s povzdechem nad implementací i oblibou HTTP autentizace a případných dalších, které mají alespoň malou šanci fungovat.

Ono by bylo asi dobré všechny tyhle mechanismy chránít alespoň „z druhé strany“, tzn třeba přes chráněné DNS.

Nikde jsem netvrdil, že postavit to zabezpečení správně je něco jednoduchého.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.9.2011 14:24 AsciiWolf | skóre: 41 | blog: Blog
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

>UPC nepoužívá hash pro ukládání hesel.

Ábíčko taky ne. :-P

25.9.2011 15:19 Mercuriuz | skóre: 16 | blog: Mercuriuz | V hospodě =)
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Nevím jak ostatní, ale já to vidím jako bezpečnostní průser, hashovat je prostě základ, zvlášť u tak velké společnosti která má v DB stovky hesel, u menších projektů, webů apod bych to neřešil, ale zrovna ISP by hashovat měl....

Linux users everywhere, raise your keyboards into the air, we´re warriors, warriors of the world.

25.9.2011 16:20 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

A já si zase myslím, že při zabezpečení je důležitější používat hlavu než poučky. A když už poučky, tak jejich ucelené systémy, ale to věta „hashovat je prostě základ“ rozhodně nevystihuje.

Já osobně bych si jako základ představoval mnohem víc. Takový SCRAM pro registraci i autentizaci mi přijde jako jediná možnost, která má aspoň základní bezpečnostní vlastnosti.

Mimochodem, už jsem aplikaci tvojí poučky viděl implementovanou na hodně místech pro mě původně docela kuriózním způsobem. Heslo se zahashuje a uloží do db zahashované (tím se splní tvůj základní požadavek). Ale, protože zahashovaná podoba nemusí za všech okolností stačit (třeba se po letech zavádní autentizace připojených zařízení přes PSK), pro jistotu se do stejné tabulky do jiného sloupce dá ještě nezahashovaná podoba.

Poprvé jsem to viděl na plátně při hodině vedené jedním učitelem na Gymnáziu Arabská, kde jsme na to my žáci čuměli jak na zjevení. Jo... a pak nás ten člověk strašně zjebal za to, že tomu říkáme heš, když je to šifra. A mě pak řekl, že hešové tabulky existovaly dřív než se narodil můj otec a že mě to na ČVUT naučí (nevím kde vzal zrovna ČVUT, ani jestli znal ještě nějakou jinou vysokou školu).

S hloupýma univerzálníma poučkama je spousta legrace :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

25.9.2011 17:40 loki
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

26.9.2011 08:44 danysek
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Treba s takovou (hojne rozsirenou) MD5 to je jiste vyhra... :)

26.9.2011 12:07 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Taky jsem četl hromadu fám :). Zdá se mi, že není výhra ani hodnotit věci podle řečí těch, co o tom nic nevědí.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.9.2011 19:10 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Co proti tej md5ce vsichni najednou mate? AFAIK ten utok neni tak uplne vypocetne trivialni a vysledek neni puvodni plaintext ale jen kolize. Coz je sice hezky rekneme na uneseni ssl sezeni, ale k zalogovani se nekam kde je stejny plaintext s jinou soli na pikacu. Nebo je nejakej novej utok na md5 ktery mi unikl?

"2^24 comments ought to be enough for anyone" -- CmdrTaco

27.9.2011 16:32 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Řekl bych, že ti nic neuniklo - na druhou stranu, myslím, že jistější je přejít na něco lepčího - má-li člověk možnost volby...

multicult.fm | monokultura je zlo | welcome refugees!

25.9.2011 17:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Flameee!!

25.9.2011 17:27 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

No, podle mě ani tak nejde o heslo v plaintextu v DB (přece jen by mělo platit jedno heslo ~ jedna služba), ale spíš o to že to heslo v klidu pošlou plaintextovým mailem :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

25.9.2011 17:40 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Ale když ti pošlou kód pro reset hesla, tak to vyjde skoro nastejno (akorát si uživatel všimne, že se heslo změnilo, protože to jeho přestalo fungovat). Ale prostě často nemáš jinou možnost, než to nezašifrovaným e-mailem poslat – uživatel by ti musel mít GPG nebo x509 klíč/certifikát nebo ti říct třeba telefonní číslo, abys to mohl poslat smskou (ne že by se mobilním operátorům dalo věřit, ale když se pošle samotné heslo bez dalších údajů, tak to nějaké zlepšení bezpečnosti znamená).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

25.9.2011 17:42 loki
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Presne tak, to se mi nelibi vice. Ale zase jakym zpusobem to heslo (treba i nove vygenerovane) dostat bezpecne ke klientovi? Myslim tim bezpecne a tak, aby to prumerny a podprumerny uzivatel pochopil a byl schopen pouzit..

26.9.2011 00:17 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

SMS?

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

26.9.2011 00:38 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

GSM také není zrovna bezpečné.

26.9.2011 09:25 loki
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

To neni o moc lepsi nez email a jak zde nekdo psal, tak to vyzaduje urcite naklady...

26.9.2011 09:26 loki
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Nehlede na to, ze muze nastat i situace, ze uzivatel proste nema telefon. Par takovych pripadu znam i dnes.

26.9.2011 12:08 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Nebo může nastat situace, že uživatel už nemá telefon, a má ho někdo jiný.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.9.2011 11:12 SAM: | skóre: 23 | blog: marsark_linux
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Máme relativně dost drahý redakční systém od jedné nejmenované české softwarové firmy, který byla nedávno koupena v podstatě Aukrem. Tento systém má v DB uložena hesla uživatelů v otevřeném textu. Firma se netváří, že by to byl nějaký bezpečnostní problém. Tvrzení, že je to bug a nedostatek systému odmítají.

26.9.2011 19:03 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Jasne, protoze pokud se vam tam nekdo vlame, je to vas problem a ne jejich :-P Staci hackount jejich vlastni systemy, ukrast jejich vlastni hesla a pak to bude jejich problem. A opraveny to bude do vecera :-)

"2^24 comments ought to be enough for anyone" -- CmdrTaco

26.9.2011 12:10 User682 | skóre: 38 | blog: aqarium | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

zdravim,

ono je dneska jedno, zda ukladat heslo do database jako plaintext nebo jako nejaky hash. Vykon stroju je dneska velmi levny.

Rozdil je jenom v tom, ze kdyz uz se nekdo k te databasi dostane, tak ty hashe (idealne na vykonnejsim stroji nebo v graficke karte nebo v cloudu za par kacek) prevede zpet na cista hesla.

Pokud chcete vyssi bezpecnost, za kterou vetsinou nezaplatite, tak chipova karta + klientske certifikaty. Anebo heslo bezi pres https + nejake opsani kodu z telefonu, jako to delaji banky.

26.9.2011 12:30 SPM | skóre: 28
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Převést zahashované (ne něčím ala MD5) a dobře osolené heslo zpět na čistý formát až taková brnkačka nebude... minimálně to bude zkoušet mnohem menší množství útočníků, než ty, co to heslo dostanou rovnou a půjdou ho zkoušet.

26.9.2011 12:53 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Chci vidět, jak louskáš to osolené MD5 :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.9.2011 17:45 SPM | skóre: 28
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Sůl bys znát asi měl, takže louskat to půjde... na lusknutí prstu to asi nebude, ale viděl bych ty šance výrazně větší, než u SHA-256 a podobně :) nicméně pořád lepší MD5 než vůbec nic :)

26.9.2011 23:39 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Asi tak nějak, mě se zdálo, že tady pár lidí vychází z lidových historek jako že md5 je prolomené, takže je zbytečné ho používat, což je za současných okolností pokud vím nesmysl.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

26.9.2011 12:52 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Rozdil je jenom v tom, ze kdyz uz se nekdo k te databasi dostane, tak ty hashe (idealne na vykonnejsim stroji nebo v graficke karte nebo v cloudu za par kacek) prevede zpet na cista hesla.

Prosím o získání původního hesla z tohoto hashe:

58f2e11fc238419be2bd6923a599640915806f71284d8ca89e93f3d9198f5b9e56999ff79b00676c435ce67e520e6ec549f014981f19665a6a34b506ec9246b3

Sůl je "231564256" (každý uživatel má jinou). A algoritmus je SHA 512.

echo "231564256;tadyJeToHesloKteréHledáme" | sha512sum

Je to značně zjednodušené – heslo je tvořené samými malými písmeny a mezerami.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

26.9.2011 13:45 User682 | skóre: 38 | blog: aqarium | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

zdravim,

kdyz uz nekdo ziskat databasi s pristupy s hashi, tak uz to je jedno, jak bude heslo chraneno. Vetsinou si dany utocnik ulozi do database nejaky udaj, ktery zna. No a pak se to da hrubou silou zlomit. Pregeneruji si hesla ze slovniku (ci jina) do shaXXX a pak to porovnavam s databazi hesel zakodovanych v nejakem sha-XXX. U vetsich databasi to pujde rychleji. Navic pokud pujde o webovou aplikace, tak velmi rychle zjistim, ktery uzivatelsky ucet v tabulce hesle patri me.

Asi nema smysl tady delat vlastni implementaci. Na webu to bude nekde urcite popsano.

Co by mozna bylo zajimave ohledne bezpecnosti je zasifrovat data pomoci nejakeho klice, ktery nezna stroj s databasi [predpoklad je, ze aplikace a database bezi na jinych strojich].

Pokud se nekdo dostane k databasi pristupu a neni to jisteno jeste dalsi autentizacni metodou, tak je vetsinou konec. Tady zustava uz jen zajimava otazka, jak rychle se daji dane hashe louskat (pocet hashu za vterinu na danem HW).

26.9.2011 17:50 SPM | skóre: 28
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Jedno to není - pořád má dost problém získat čistou podobu těch hesel a případně zkoušet kde jinde pro toho uživatele to heslo dále pasuje... ten vlastní account mu tam je k prdu - uvidí vlastní zahashované heslo a co? Jaký typ hashe to je se dá víceméně poznat už podle délky (dá se předpokládat, že tam většinou bude sha nebo něco známého...). Šifrování klíčem, který db server nezná, je také docela zajímavé, nicméně pokud útočník hackne i ten přístupový server, tak je to celkem k prdu - tedy to hashování hesla se hodí pořád, protože za těhlech dvou podmínek ty hesla stále nejsou jen tak naservírované.

26.9.2011 18:58 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Pokud je heslo aspon trochu pricetny, se slovnikem se utocnik daleko nedostane. Uplna duhova tabule uz je velikostne nekde trochu jinde a s delkou hesla nam krasne exponencialne roste. Pokud jsem trouba s heslem "12345", je to skutecne muj problem. Pokud heslo chrani neco co je pro me natolik dulezite ze si dam praci s rekneme dvacetiznakovym heslem (ktery se do zadny duhovy tabule nevejde jeste nejmin par desitek let), asi by me dost nasralo ze je to k nicemu kvuli nejakymu debilovi kterej se vysral na zakladni bezpecnostni opatreni.

Krome toho, i kdyz je hash prolomitelny tak je velky rozdil jestli to od utocnika vyzaduje nezanedbatelny cas a usili nebo dostane vsechno na zlatym taliri. Jinak receno - jestli posilam mail "mame tu skodnou, zmente si do vecera heslo" nebo "mame tu skodnou, ale ted uz je to vlastne jedno".

"2^24 comments ought to be enough for anyone" -- CmdrTaco

26.9.2011 18:18 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

echo "231564256;tadyJeToHesloKteréHledáme" | sha512sum

I ty newline jeden! (hint: echo -n)

27.9.2011 00:43 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

hint: echo -n

<rejp>

Standard [man 1p echo] říká: "Implementations shall not support any options. "

Standardu odpovídající by bylo printf. Toto je mimochodem jedna z mála situací, kdy standard imho dává lepší smysl než gnu tweak.

</rejp>

SPD vůbec není proruská

27.9.2011 00:48 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

jj, je tam konec řádky navíc. Všem, kdo celou dobu zbytečně žhavili procesory lámáním tohoto hashe se omlouvám, správný hash je:

53d35cd1893a27a8e89b5cf0c7d2032f8a40dcf242e5bcce902917cac1a6abf1a285f542b0ecb340b5104d2361d290eb061e9d9b26aa63f8e67bfb38e9046b2c

Většinou si na to při počítání hashů hesel dávám pozor, ale tady mi to uniklo.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

27.9.2011 17:05 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

To UPC je bezpečnosť sama a ešte im to beží na Widle servery LOL, teda pokiaľ to nieje len fake proti útokom. Súhlas sú kreténi, pretože tým škodia sami sebe, na zákazníka nasr.. :-)

KERNEL ULTRAS video channel >>>

28.9.2011 14:42 Patrik Šíma | blog: patriksima | Hlučín
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

Náhodný salt, bcrypt a samozřejmě všechny změny skrze SSL, žádný plaintext v mailu. Něco o heslech třeba na Zdrojáku http://zdrojak.root.cz/clanky/nekolik-poznamek-k-heslum/

Continuous improvement is better than delayed perfection. ~ Mark Twain

28.9.2011 15:01 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

žádný plaintext v mailu

To se lehko řekne ;-)

Vzhledem k tomu, že elektronický podpis nezvládá ani většina firem, které posílají nějaké faktury – případně banky, které posílají nešifrované výpisy z účtů…

Ty ostatní věci jsou samozřejmost (hashování hesel, solení, SSL), jsou dosažitelné a skoro nic nestojí, ale výkřiky typu „žádný plaintext v mailu“ jsou opravdu jen výkřiky, když neřekneš, jak toho dosáhnout – předpokladem je dokopat lidi k tomu, aby si vygenerovali pár klíčů (je celkem jedno jestli GPG nebo x509 nebo něco jiného) a pak jim tedy můžeš poslat heslo zašifrovaným e-mailem (jenže to už rovnou můžou použít ten osobní certifikát pro přihlášení na webu). Jenže půlka BFU nebude vědět, jak na to a druhá půlka ten soukromý klíč časem ztratí (např. při havárii disku nebo přeinstalaci počítače – nezálohování je samozřejmost) a když budou chtít obnovit heslo, tak klíč nebudou mít a tobě stejně nezbude, než jim to poslat nešifrovaným mailem nebo je odepsat a říct, ať si založí nový účet (protože jiný způsob, jak je identifikovat nemáš).

Tohle je běh na dlouhou trať – ale nejdřív se musí změnit (vzdělat) uživatelé, až pak můžou provozovatelé služeb zavést pravidla typu „žádné citlivé informace v nešifrovaných e-mailech“.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

1.10.2011 23:52 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

případně banky, které posílají nešifrované výpisy z účtů…

A to včetně těch, které celou PKI mají a provozují, protože ji používají k autentizaci...

oVirt | SPICE

28.9.2011 15:23 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Soľ nemusí byť vôbec náhodná, dokonca môže byť aj známa, pretože aj tak sa nedajú použiť rainbow tables. Neviem načo vypočítavať náhodnú soľ ako sa píše v odkazovanom článku, keď užívateľ má login. Bezpečnosť je aj tak niekde inde, prvotné nadviazanie vzťahu, pokiaľ neprebehne fyzicky z ruky do ruky vymenením tisíciek časovo obmedzených PGP kľúčov na USBéčku, tak ťa vždy má možnosť niekto odchytiť. Ovšem ani to nezabezpečí, že ti ich s toho USB niekto neskopíruje.

KERNEL ULTRAS video channel >>>

28.9.2011 17:11 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Používat login jako jedinou sůl je (drobná) chyba. V databázích hesel pak jde daná dvojice uživate-heslo triviálně vyhledávat (testovat, jestli uživatel používá stejné heslo). Pokud se použije různá (nejjednodušeji náhodná) sůl, má to trochu lepší vlastnosti.

Za určitých okolností může mít smysl hashovat s heslem různé skupiny údajů, čímž se zajistí nepřenositelnost hesla třeba mezi doménami. Ale tím spíš vynutíš dodržování nějakých místních politik, než že bys u obyčejného hesla nějak zvýšil bezpečnost jeho neprozrazení.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

28.9.2011 17:58 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

K loginu stačí pridať pár znakov ktoré podľa mňa nemusia byť vôbec náhodné, ale pevne zadrôtované v kóde a spája sa heslo+login+pevnýReťazec. Tá náhodná soľ sa musí ukladať, tak neviem či to moc prispeje k bezpečnosti, podľa môjho názoru nie, možno sa mýlim.

Hash Bedňa (sha1) 76456c6dcc4462fccb25a7088d14f62cc2537966

Hash Bedňa2 (sha1) 786016b1fa6220cada624aa9ed74ab7697e9f601

Stačí pridať jeden znak a v hashi zostali na pôvodnej pozicií len dva znaky.

MD5 je na tom približne rovnako.

KERNEL ULTRAS video channel >>>

28.9.2011 22:31 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

K loginu stačí pridať pár znakov ktoré podľa mňa nemusia byť vôbec náhodné, ale pevne zadrôtované v kóde a spája sa heslo+login+pevnýReťazec. Tá náhodná soľ sa musí ukladať, tak neviem či to moc prispeje k bezpečnosti, podľa môjho názoru nie, možno sa mýlim.

Mírně přispěje právě tím, že je různá, že nejde předgenerovávat bez znalosti dat. O nic jiného nejde. Počet znaků soli se nějakým způsobem volí, zatím jsem neřešil jak.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

8.10.2011 09:13 Kroko | skóre: 22
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Odpovědět | Sbalit | Link | Blokovat | Admin

V době kdy máme zákon na ochranu osobních údajů kdy například finanční úřad si nemůže vytáhnout pomalu ani adresu z živnostenského a následně na justice.cz apod. webech se člověk dozví rodné číslo a cokoliv o skoro komkoliv a DIČ u živnostníků je rodné číslo, si myslím, že nějaké blbé heslo u nějakého ISP kde mam jen to jak se jmenuju a jakou mam rychlost internetu mě vážně netrápí.

Nechápu tyhle stěžovatele na nešifrovaná hesla. Když chce být někdo tak bezpečný, tak preventivně používá jiná hesla. Lidi co nepoužívaj jiná hesla si s největší pravděpodobností stejně dají heslo typu moje datum narození které najdu skoro všude.

A když už teda by někdo ukradl tu databázi, určitě tam najde daleko "lepší" údaje. Navíc jak už tu někdo psal. V době kdy se dá změnit spousta věcí bez nějakého dalšího ověření, teď mě nic nenapadá, ale kolikrát stačí někam zavolat a něco změnit, nebo zrušit poskytování nějaké služby prakticky komukoliv aniž by si poskytovatel nějak ověřil že to požaduje oprávněná osoba (jinak než zeptáním na jméno a adresu.

http://kroko.evesnight.net

8.10.2011 17:49 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: UPC nepoužívá hash pro ukládání hesel.

Tady rodné číslo nevidím...

A když už teda by někdo ukradl tu databázi, určitě tam najde daleko "lepší" údaje.

To rozhodně.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Založit nové vlákno • Nahoru

Tiskni Sdílej: