Szerző Téma: Jelszó titkosítás (Megtekintve 4610 alkalommal)

tomimester · « **Dátum:** 2018. szeptember 23. - 14:30:16 »

Hali, most a úgy vannak tárolva a jelszavak, hogy még kliens oldalon használom a felhasználónévre és jelszóra a hash(\"sha512\", felhasználónév/jelszó) függvényt, és így küldöm szerver oldalra, amikor a regisztrációs gombra nyom. Mondták, hogy ez nem elég biztonságos, mit tehetnék még?

AlexSwamp

Szerver oldalt hashelj. Illetve érdemes még valamilyen kulcsot is használni az egész mellé. Például: valami+jelszó+valami2. Majd az ebből kapott verziót hashelni egyszer vagy akár kétszer. Kicsit olvass utána a témában, kismillió opció létezik, kinek mi jött be stb stb... Kliens oldalról triggerrel átdobod a kívánt jelszót/beírt jelszót. Azt tartsd észben, hogy a kliens oldalt esetleg tudja modifikálni a játékos, így ha ott akarsz hashelni abból akár gond is lehet (persze ettől még szerver oldalon is lehet, tehát például érdemes a speciális karaktereket letiltani vagy esetleg az egész jelszóra egy \"filtert\" készíteni).

tomimester

Idézetet írta: AlexSwamp date=1538051846

      Szerver oldalt hashelj. Illetve érdemes még valamilyen kulcsot is használni az egész mellé. Például: valami+jelszó+valami2. Majd az ebből kapott verziót hashelni egyszer vagy akár kétszer. Kicsit olvass utána a témában, kismillió opció létezik, kinek mi jött be stb stb... Kliens oldalról triggerrel átdobod a kívánt jelszót/beírt jelszót. Azt tartsd észben, hogy a kliens oldalt esetleg tudja modifikálni a játékos, így ha ott akarsz hashelni abból akár gond is lehet (persze ettől még szerver oldalon is lehet, tehát például érdemes a speciális karaktereket letiltani vagy esetleg az egész jelszóra egy \"filtert\" készíteni).

köszi, a salt-ra, gondolsz ugye? és milyen függvénnyel rakjam a jelszó elejéhez meg a végéhez a salt-ot?
és az megoldható lenne hogy a salt-ot ne derítsék ki?

AlexSwamp

simán azzal hogy valahol deffiniálod vagy a hashelésben akár. pl.:


local new_pass = ikszde..password..ikszde
hash(\"sha512\", new_pass)

Vagy


hash(\"sha512\", ikszde..password..ikszde)

Saltot csak akkor tudják meg, ha mondjuk a szerver oldali filehoz hozzáfér (elvileg...). Nem fontos az elejéhez és a végéhez, akárhogy saltozhatod, az rád van bízva hányszor és hogyan.

tomimester

de ha visszafordítják a jelszót, akkor ki tudják venni melyik a salt, nem?

úgy értem fel fog tűnni annak aki megszerezné az adatbázist, hogy mindenkinek ugyan az a szó van az elején és a végén...

AnthonyGates

dik azt hogy forditjak vissza meg miert ferne hozza barki az adatbazishoz dyly

Elég egyszer hashelni, egy korrekt eljárással.

tomimester

mert pl. valahogyan sikerül feltörni az adatbázist, vagy nem tudom.... tényleg fontos lenne az adatbázis biztonsága, nem szeretném ha bárki felhasználóját azért lopnák el mert gyenge a biztonság nálam....

AnthonyGates

Adj meg egy erős jelszót az SQL szerveren, és egyébként mindenhol (min 16 karakter, spec. karakterek), tiltsd le a távoli SQL elérést, állíts be logolást, akár email értesítést, és úgy nem kell félned.

Az SHA256 pl pont nem azok közé tartozik, amit csak úgy visszafordítanak. Viszont továbbra is elég egyszer hashelni.

Nem lesz kicsi a biztonság!

AlexSwamp

Idézetet írta: AnthonyGates date=1538207166

      Adj meg egy erős jelszót az SQL szerveren, és egyébként mindenhol (min 16 karakter, spec. karakterek), tiltsd le a távoli SQL elérést, állíts be logolást, akár email értesítést, és úgy nem kell félned.


      Az SHA256 pl pont nem azok közé tartozik, amit csak úgy visszafordítanak. Viszont továbbra is elég egyszer hashelni.


      Nem lesz kicsi a biztonság!

Általában nem is a hashelés és a saltozás a gond, hanem hogy mindenkinek adnak hozzáférést mindenhez, meg root jogokon futtatnak mindent. Szóval hiába a biztonságos hashelés ha közben maga a szerver alap úgy ahogy van hibás.

tomimester

sha 512-re gondoltam, szerintem az biztonságosabb illetve az okés, hogy kliens és szerver oldalon is van hash? vagy tényleg elég egyszer?

AlexSwamp

Teljesen elég egyszer szerver oldalon hashelni. Igazából SHA256 is bőven elég, nem azon fog múlni az egész. Inkább amit említettek, hogy az sql hozzáféréseket limitáld illetve igyekezz ne root usert használni etc.

tomimester

debian 9-et használok, sajnos root felhasználót alapból nem tudok használni, és amúgy se szoktam..

találtam 1 másik függvényt, azt hallottam ez biztonságosabb lenne, vélemények?https://wiki.multitheftauto.com/wiki/PasswordHash

tomimester

ez milyen lenne?


hash(\"sha512\", hash(\"sha512\", salt_1) .. hash(\"sha512\", password) .. hash(\"sha512\", salt_2))

és a salt mi legyen? random számok, vagy mit adjak meg salt-ként? értem, hogy elég lenne egyszer hashelni, de azért kíváncsi lennék így milyen lenne. illetve a felhasználóneveket hogy tároljam? azt is salt-olva, és sha512 -vel titkosítva?

AlexSwamp · « **Válasz #13 Dátum:** 2018. október 01. - 15:15:55 »

Szerintem teljesen felesleges ennyi hash. Ennyivel bőven elég vagy már:


local salt = \"$o98123Ghasd#.dfrWQ\"
hash(\"sha256\",salt..password)

Felhasználókat nem kell hashelni, szerintem felesleges. De igazából hashelheted mint az email címeket is, de szerintem ezek már talán a túlzás fokát is elérik.

tomimester · « **Válasz #14 Dátum:** 2018. október 01. - 15:18:58 »

Idézetet írta: AlexSwamp date=1538399755

      Szerintem teljesen felesleges ennyi hash. Ennyivel bőven elég vagy már:
local salt = \"$o98123Ghasd#.dfrWQ\"
hash(\"sha256\",salt..password) 
      Felhasználókat nem kell hashelni, szerintem felesleges. De igazából hashelheted mint az email címeket is, de szerintem ezek már talán a túlzás fokát is elérik.

ismerős a neved, ha jól tudom te fejlesztettél egy MTA szerót, már nem emlékszem melyiket. ott is hasonló védelem volt? csak mert szerintem a biztonságnak nincs határa

, és még ha ki is kerülne tényleg nem akarom semmiféle képpen hogy vissza hash-eljék.