abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Superpočítač El Capitan zůstává nejvýkonnějším superpočítačem na světě (TOP500 11/2025)
    dnes 17:44 | IT novinky

    Byl aktualizován seznam 500 nejvýkonnějších superpočítačů na světě TOP500. Nejvýkonnějším superpočítačem zůstává El Capitan od HPE (Cray) s výkonem 1,809 exaFLOPS. Druhý Frontier má výkon 1,353 exaFLOPS. Třetí Aurora má výkon 1,012 exaFLOPS. Nejvýkonnější superpočítač v Evropě JUPITER Booster s výkonem 1,000 exaFLOPS je na čtvrtém místě. Nejvýkonnější český superpočítač C24 klesl na 192. místo. Karolina, GPU partition klesla na 224. místo a Karolina, CPU partition na 450. místo. Další přehledy a statistiky na stránkách projektu.

    Ladislav Hagara | Komentářů: 0
    Azure Cobalt 200
    dnes 17:22 | IT novinky

    Microsoft představil Azure Cobalt 200, tj. svůj vlastní SoC (System-on-Chip) postavený na ARM a optimalizovaný pro cloud.

    Ladislav Hagara | Komentářů: 0
    Výpadek Cloudflare nebyl způsoben kybernetickým útokem
    dnes 12:00 | IT novinky

    Co způsobilo včerejší nejhorší výpadek Cloudflare od roku 2019? Nebyl to kybernetický útok. Vše začalo změnou oprávnění v jednom z databázových systémů a pokračovalo vygenerováním problém způsobujícího konfiguračního souboru a jeho distribucí na všechny počítače Cloudflare. Podrobně v příspěvku na blogu Cloudflare.

    Ladislav Hagara | Komentářů: 5
    GIMP 3.2 RC1
    včera 23:44 | Nová verze

    Byla vydána (Mastodon, 𝕏) první RC verze GIMPu 3.2. Přehled novinek v oznámení o vydání. Podrobně v souboru NEWS na GitLabu.

    Ladislav Hagara | Komentářů: 1
    Eugen Rochko převádí Mastodon na neziskovku Mastodon
    včera 23:22 | Komunita

    Eugen Rochko, zakladatel Mastodonu, tj. sociální sítě, která není na prodej, oznámil, že po téměř 10 letech odstupuje z pozice CEO a převádí vlastnictví ochranné známky a dalších aktiv na neziskovou organizaci Mastodon.

    Ladislav Hagara | Komentářů: 0
    Blender 5.0
    včera 19:44 | Nová verze

    Byla vydána nová major verze 5.0 svobodného 3D softwaru Blender. Přehled novinek i s náhledy a videi v obsáhlých poznámkách k vydání. Videopředstavení na YouTube.

    Ladislav Hagara | Komentářů: 0
    Výpadek Cloudflare
    včera 14:00 | Upozornění

    Cloudflare, tj. společnost poskytující "cloudové služby, které zajišťují bezpečnost, výkon a spolehlivost internetových aplikací", má výpadek.

    Ladislav Hagara | Komentářů: 10
    Kasiopea, soutěž v programování (primárně) pro středoškoláky
    včera 04:22 | Pozvánky

    Letos se uskuteční již 11. ročník soutěže v programování Kasiopea. Tato soutěž, (primárně) pro středoškoláky, nabízí skvělou příležitost procvičit logické myšlení a dozvědět se něco nového ze světa algoritmů – a to nejen pro zkušené programátory, ale i pro úplné začátečníky. Domácí kolo proběhne online od 22. 11. do 7. 12. 2025 a skládá se z 9 zajímavých úloh různé obtížnosti. Na výběru programovacího jazyka přitom nezáleží – úlohy jsou

    … více »
    SoutezKasiopea | Komentářů: 1
    Git 2.52.0
    včera 04:11 | Nová verze

    Byla vydána nová verze 2.52.0 distribuovaného systému správy verzí Git. Přispělo 94 vývojářů, z toho 33 nových. Přehled novinek v příspěvku na blogu GitHubu a v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    VKD3D-Proton 3.0
    17.11. 18:00 | Nová verze

    VKD3D-Proton byl vydán ve verzi 3.0. Jedná se fork knihovny vkd3d z projektu Wine pro Proton. Knihovna slouží pro překlad volání Direct3D 12 na Vulkan. V přehledu novinek je vypíchnuta podpora AMD FSR 4 (AMD FidelityFX Super Resolution 4).

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (35%)
     (46%)
     (19%)
     (18%)
     (23%)
     (15%)
     (23%)
     (15%)
     (17%)
    Celkem 369 hlasů
     Komentářů: 16, poslední 12.11. 18:21
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Význam, použití, bezpečnost saltů u hashů
    Štítky: bezpečnost, články, hesla, heslo, řetězec, textové editory, Vim

    Dotaz: Význam, použití, bezpečnost saltů u hashů

    8.8.2010 03:54 vasek
    Význam, použití, bezpečnost saltů u hashů
    Přečteno: 451×
    Tak jsem začal pročítat různá fóra a články a mám pocit že teď vím o solení hesel ještě míň než před tím. Někdo tvrdí, že se dá salt z hesla oddělit a pak je vlastně zbytečný, někde se píše že je to blbost, někde že musí být salt utajen, jinde že salt může být klidně veřejný ... Jak to tedy je? Prosím vysvětlete mi to od píky nebo mě odkažte na nějaký článek, ve kterém píšou pravdu :-). Je mi jasný, že si heslo mohu osolit "po svěm" tím, že za něj prostě připojím nějaký řetězec, který bude znát jen daná aplikace: heslo+retezec. Nerozumím ale moc principům těch funkcí, které solí hesla, co s tím vlastně udělají apod. Např. moc nechápu co přesně provede s heslem třeba funkce v PHPčku crypt('heslo', '$6$sul$'). Jasně, vytvoří to sha512 osolený druhým parametrem, ale co se rozumí tím solením - přidání řetězce na začátek hesla nebo zašifrování hesla tím saltem... ?
    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    8.8.2010 08:25 Ash | skóre: 53
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    Výhoda solení je, pokud máte hesel víc. Stejná hesla pak díky soli mají různý hash, takže nemá význam třídit hashe a hádat podle četnosti které heslo asi je nbusr123.
    8.8.2010 09:36 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    To se má tak. Proč se hesla hashují? Aby z jejich uložené podoby (v souboru, v databázi, ...) nebylo to heslo hned zřejmé. Když někdo znásilní takovou databázi, aby neměl hned hesla všech uživatelů (které můžou používat i k jiným účelům).

    Jenže. Hashovací funkce je udělaná tak, aby na stejný vstup dávala stejný výstup (proto máme sha součty u stažených souborů atd.) Takže když někdo bude vědět že hashem hesla "franta" je hodnota 1234, tak mu stačí najít 1234 v databázi a bude vědět, že daný uživatel má heslo "franta". Tomuhle útoku kde máme předpočítanou tabulku hashů se říká rainbow tables attack.

    A tady do hry vstupuje ta sůl. To je prostě několik náhodně vygenerovaných znaků navíc - např. "asdf". Hashuje se pak řetězec který vznikne spojením hesla a soli, tedy "asdffrata". Dejme tomu, že ten hash je 4567. V databázi pak máme hash a sůl, tedy "asdf|4567". Znamená to "zeptej se uživatele na heslo a k tomu co ti řekl přilep asdf, zahashuj, a pokud ti vyjde 4567 tak je zadané heslo správné".

    S tímto přístupem už nelze mít předpočítanou tabulku hashů, protože sůl může být u každého hesla "franta" jiná a tudíž i hash bude jiný. Velikost soli se obvykle volí tak, aby nebylo praktické mít předpočítané všechny soli. Jedinou možností je teď útok hrubou silou, kde zkoušíme k soli z databáze přilepit různá hesla, hashujeme a díváme se, jestli nevyšel ten správný hash. To je ale výpočetně nesrovnatelně více náročné než ta rainbow tabulka.

    V tomto schematu není sůl o nic víc tajná než její náležící heslo-hash. Jinak určitě může existovat ještě 150 dalších krypto schemat, kde má sůl úplně jinou roli.
    In Ada the typical infinite loop would normally be terminated by detonation.
    8.8.2010 10:58 koso
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    Mozeme pouzit jednoduchy priklad:

    Predstavte si, ze ste utocnik a nejakym sposobom sa vam podarilo ziskat hash hesla konkretneho uzivatela z DB a nech je to hash1 = ab24a...............34cd.

    Kedze absolutna vacsina uzivatelov su laici a volia hesla tak aby si ich pamatali, a nie tak aby boli bezpecne -> skusite pri hladani hesla vyuzit slovnik, resp. databazu najpouzivanejsich hesiel. Ku kazdemu heslu zo zoznamu vypocitate hash (alebo najdeme uz predpocitane na internete), a porovnate ho s hash1. Pripadne mozete generovat vsetky hesla do urcitej dlzky pozostavajuce z pismen a cislic, ale to uz je komplikovanejsie. Ak mate dostatok stastia, tak hladane heslo bolo zmysluplne a bolo v slovniku = vyhrali ste.

    Teraz si ale predstavte, ze je pouzita sol. Ta svojim sposobom modifikuje zadane heslo pred vypoctom hashu. Zvolme sol tak, ze osolene heslo uz nebude pozostavat len z abecedy a cislic. Je silne nepravdepodobne, ze by takto modifikovane heslo bolo zmysluplne, alebo ze by sa nachadzalo v nejakom slovniku najpravdepodobnejsich hesiel, a tak sa utok vyrazne komplikuje. Ak by sme aj chceli generovat vsetky mozne hesla, mame 2 zasadne problemy ... nevieme dlzku (nestaci odpozorovat pocet stlacenych klaves) a kazdy bajt hesla moze mat 256 moznych hodnot .. co je vyrazne viac, ako keby heslo pozostavalo len z pismen a cislic. Ak je sol, resp. postup modifikacie hesla pred hashovanim, kvalitne navrhnuty, tak pri utoku sa stracaju vsetky vyhody predosleho pripadu a utok zacina byt ekvivalentny s hladanim "first preimage".
    8.8.2010 11:04 koso
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    Este dodatok k druhemu pripadu:

    Ak sa vam aj nejakou nahodou podari najst retazec, ktory dava hash1, ziskate tak len heslo PO osoleni. Za predpokladu, ze sol zostava utajena a nie je trivialna, by bolo viacmenej nerealne ziskat povodne heslo.
    8.8.2010 13:23 fraxinus | skóre: 20 | blog: fraxinus
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    MD5 hash slova "secret" je "dd02c7c2232759874e1c205587017bed". Ak utocnik ziska md5 nesolene hashe tak staci polozit dotaz do googlu a hned vie ze heslo je "secret". Velke mnozstvo beznych vyrazov sa takto da cez google najst bez nutnosti pouzit brute force. Ak pouzijes salt tak aj ked sa utocnik dozvie ten salt tak cez google dane hashe nenajde lebo nikdo nebude davat na web md5 sucty osolene vsetkymi moznymi solami. Proste solenie mierne zvysuje bezpecnost.
    8.8.2010 16:18 vasek
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    Zde je příklad z php.net k fci crypt: 
    crypt('rasmuslerdorf', '$1$rasmusle$') = $1$rasmusle$rISCgZzpwk3UhDidwXvin0
    Řetězec za "$1$rasmusle$" je zaheslované heslo s pomocí saltu. rasmusle je v hesle jako celý plaintext proč? Třeba u SHA-512 je tam jen kus toho plaintextu viz. http://php.net/manual/en/function.crypt.php.
    8.8.2010 16:59 fraxinus | skóre: 20 | blog: fraxinus
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    lebo crypt je blba funkcia. Ja solim takto: 
      $password = 'secret';
  $salt = 'jablko';
  $s = sha1($password.$salt);   
  echo $s;                      // vypise 176b05b6e83a3669639eef184f33d651d48e3eb4
    9.8.2010 10:23 dzim
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    Cimz v podstate vytvarite novou (obskurovanou) hashovasci funkci na misto saltovani.
    8.8.2010 17:44 koso
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    U SHA-512 je to orezane, pretoze podla specifikacie funkcie crypt (ten isty link) je ako salt pozadovany vstup 16 znakov ... tie zvysne su pravpodobne ignorovane pri samotnom vypocte, ale to si mozete velmi jednoducho vyskusat.
    8.8.2010 19:03 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: Význam, použití, bezpečnost saltů u hashů
    rasmusle je v hesle jako celý plaintext proč?

    Sůl musí být dodána plain jinak byste při kontrole hesla nevěděl co k heslu přidat.
    In Ada the typical infinite loop would normally be terminated by detonation.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.