Portál AbcLinuxu, 17. května 2024 14:53


Dotaz: Proces ověřování uživatelů imap

4.11.2009 11:55 intIger
Proces ověřování uživatelů imap
Přečteno: 142×
Odpovědět | Admin
Ahoj, chtěl bych si jenom ověřit jestli jsem správně pochopil metodu autentizace uživatelů oproti imap serveru: pokud mám v databázi uloženo heslo jako md5, tak musím použít jen plaintext metodu, protože klient pošle nešifrované heslo které se ověřuje oproti md5 v databázi, naopak pokud mám v db heslo v plaintextu, tak mohu použít třeba cram-md5 mechanismus, který pošle hash který se ověřuje oproti plainu v databázi. V případě ssl je bezpečné posílat heslo v plaintextu protože se posílá šifrovaně a v db mohu tudíš mít md5 hash, proto je tato metoda asi nejlepší. Je to tak?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

4.11.2009 13:03 NN
Rozbalit Rozbalit vše Re: Proces ověřování uživatelů imap
Odpovědět | | Sbalit | Link | Blokovat | Admin
Myslim, ze uchovavat hesla v bd v plainu je security leak ,protoze to bude tak ze prijde MD5 hash a porovna se s hasi v databazi. Kdyz posles plain, vygeneruje se hash a ten se znovu porovna. Kdyz podles hash a v databazi je plain, tak se vygeneruje hash obe se porovnaji. Takze pokud chces max security tak pouzivat MD5 jak v databazi tak pri transportu a he sla defakto nebudou nikde v plainu coz chceme.

NN
4.11.2009 13:20 Ivan
Rozbalit Rozbalit vše Re: Proces ověřování uživatelů imap
hmm tohle ale nejde :(. cram-md5 funguje tak, ze si server hodi nahodnym generatorem a to co mu padne ti posle a rekne - "priplacni to ke svymu heslu, udelej md5 a posli mi co ti vyslo". server provede ten samy vypocet a porovna vysledky. Takovyhle postup vyzaduje aby bylo heslo na serveru ulozeno plaintextu anebo aby bylo sifrovano nejakou obosmernou sifrou.

to co navrhujete bylo kdysi implementovano ve windows. misto hesla se posilal hash, ten byl ale pokazde stejny. takze odposlechnuty hash sel pouzit jen z internetu pro lokalni prihlaseni pouzit nesel.

cram-md5 na vyhodu ze heslo nikdy nejde po siti v plaintextu, a ani se nikdy po siti neposila stejny hash. Pokud byste chtel dosahnout toho aby heslo neslo v plaintextu po siti, by se pokazde poslal jiny hash hesla a aby se nikde neuchovaval plaintext hesla, tak na to byste postreboval opie-keys. Ty maji vsechny pozadovane vlasnosti, ale zase vyzaduji pravidelnou zmenu hesla. Po x prihlasenich si uzivatel musi zmenit heslo.
4.11.2009 13:48 intIger
Rozbalit Rozbalit vše Re: Proces ověřování uživatelů imap
Odpovědět | | Sbalit | Link | Blokovat | Admin
A co kdybych na serveru povolil jen ssl a plain prenos hesla, protoze stejne jiny pouzit nemuzu kdyz mam v db md5. Pujde heslo sifrovane nebo se nejprve overi ucet a az potom se navaze sifrovane spojeni?
4.11.2009 13:55 Ivan
Rozbalit Rozbalit vše Re: Proces ověřování uživatelů imap
ssl resi vsechno.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.