Szerző Téma: Jelszó titkosítás  (Megtekintve 4018 alkalommal)

Jelszó titkosítás
« Dátum: 2018. Szeptember 23. - 14:30:16 »
0
Hali, most a úgy vannak tárolva a jelszavak, hogy még kliens oldalon használom a felhasználónévre és jelszóra a hash(\"sha512\", felhasználónév/jelszó) függvényt, és így küldöm szerver oldalra, amikor a regisztrációs gombra nyom. Mondták, hogy ez nem elég biztonságos, mit tehetnék még?

Jelszó titkosítás
« Válasz #1 Dátum: 2018. Szeptember 27. - 14:37:26 »
0
Szerver oldalt hashelj. Illetve érdemes még valamilyen kulcsot is használni az egész mellé. Például: valami+jelszó+valami2. Majd az ebből kapott verziót hashelni egyszer vagy akár kétszer. Kicsit olvass utána a témában, kismillió opció létezik, kinek mi jött be stb stb... Kliens oldalról triggerrel átdobod a kívánt jelszót/beírt jelszót. Azt tartsd észben, hogy a kliens oldalt esetleg tudja modifikálni a játékos, így ha ott akarsz hashelni abból akár gond is lehet (persze ettől még szerver oldalon is lehet, tehát például érdemes a speciális karaktereket letiltani vagy esetleg az egész jelszóra egy \"filtert\" készíteni).

Jelszó titkosítás
« Válasz #2 Dátum: 2018. Szeptember 27. - 15:27:59 »
0
Idézetet írta: AlexSwamp date=1538051846


   
      Szerver oldalt hashelj. Illetve érdemes még valamilyen kulcsot is használni az egész mellé. Például: valami+jelszó+valami2. Majd az ebből kapott verziót hashelni egyszer vagy akár kétszer. Kicsit olvass utána a témában, kismillió opció létezik, kinek mi jött be stb stb... Kliens oldalról triggerrel átdobod a kívánt jelszót/beírt jelszót. Azt tartsd észben, hogy a kliens oldalt esetleg tudja modifikálni a játékos, így ha ott akarsz hashelni abból akár gond is lehet (persze ettől még szerver oldalon is lehet, tehát például érdemes a speciális karaktereket letiltani vagy esetleg az egész jelszóra egy \"filtert\" készíteni).
   


köszi, a salt-ra, gondolsz ugye? és milyen függvénnyel rakjam a jelszó elejéhez meg a végéhez a salt-ot?
és az megoldható lenne hogy a salt-ot ne derítsék ki?
« Utoljára szerkesztve: 2018. Szeptember 27. - 15:32:03 írta tomimester »

Jelszó titkosítás
« Válasz #3 Dátum: 2018. Szeptember 28. - 14:27:06 »
0
simán azzal hogy valahol deffiniálod  vagy a hashelésben akár. pl.:
 

local new_pass = ikszde..password..ikszde
hash(\"sha512\", new_pass)

 
Vagy 
 

hash(\"sha512\", ikszde..password..ikszde)

 
Saltot csak akkor tudják meg, ha mondjuk a szerver oldali filehoz hozzáfér (elvileg...). Nem fontos az elejéhez és a végéhez, akárhogy saltozhatod, az rád van bízva hányszor és hogyan.

Jelszó titkosítás
« Válasz #4 Dátum: 2018. Szeptember 28. - 15:30:18 »
0
de ha visszafordítják a jelszót, akkor ki tudják venni melyik a salt, nem?
 
úgy értem fel fog tűnni annak aki megszerezné az adatbázist, hogy mindenkinek ugyan az a szó van az elején és a végén...
« Utoljára szerkesztve: 2018. Szeptember 28. - 15:37:19 írta tomimester »

Nem elérhető AnthonyGates

  • 546
  • AnthonyGates
    • Profil megtekintése
Jelszó titkosítás
« Válasz #5 Dátum: 2018. Szeptember 28. - 21:47:40 »
0
dik azt hogy forditjak vissza meg miert ferne hozza barki az adatbazishoz dyly
 
 
 
Elég egyszer hashelni, egy korrekt eljárással.

Jelszó titkosítás
« Válasz #6 Dátum: 2018. Szeptember 28. - 22:39:19 »
0
mert pl. valahogyan sikerül feltörni az adatbázist, vagy nem tudom.... tényleg fontos lenne az adatbázis biztonsága, nem szeretném ha bárki felhasználóját azért lopnák el mert gyenge a biztonság nálam....

Nem elérhető AnthonyGates

  • 546
  • AnthonyGates
    • Profil megtekintése
Jelszó titkosítás
« Válasz #7 Dátum: 2018. Szeptember 29. - 09:46:06 »
+1
Adj meg egy erős jelszót az SQL szerveren, és egyébként mindenhol (min 16 karakter, spec. karakterek), tiltsd le a távoli SQL elérést, állíts be logolást, akár email értesítést, és úgy nem kell félned.
 
Az SHA256 pl pont nem azok közé tartozik, amit csak úgy visszafordítanak. Viszont továbbra is elég egyszer hashelni.
 
Nem lesz kicsi a biztonság!

Jelszó titkosítás
« Válasz #8 Dátum: 2018. Szeptember 29. - 12:03:55 »
0
Idézetet írta: AnthonyGates date=1538207166


   
      Adj meg egy erős jelszót az SQL szerveren, és egyébként mindenhol (min 16 karakter, spec. karakterek), tiltsd le a távoli SQL elérést, állíts be logolást, akár email értesítést, és úgy nem kell félned.
   
   
      Az SHA256 pl pont nem azok közé tartozik, amit csak úgy visszafordítanak. Viszont továbbra is elég egyszer hashelni.
   
   
      Nem lesz kicsi a biztonság!
   


Általában nem is a hashelés és a saltozás a gond, hanem hogy mindenkinek adnak hozzáférést mindenhez, meg root jogokon futtatnak mindent. Szóval hiába a biztonságos hashelés ha közben maga a szerver alap úgy ahogy van hibás. 

Jelszó titkosítás
« Válasz #9 Dátum: 2018. Szeptember 29. - 18:32:50 »
0
sha 512-re gondoltam, szerintem az biztonságosabb illetve az okés, hogy kliens és szerver oldalon is van hash? vagy tényleg elég egyszer?
« Utoljára szerkesztve: 2018. Szeptember 29. - 19:47:30 írta tomimester »

Jelszó titkosítás
« Válasz #10 Dátum: 2018. Szeptember 30. - 11:48:41 »
0
Teljesen elég egyszer szerver oldalon hashelni. Igazából SHA256 is bőven elég, nem azon fog múlni az egész. Inkább amit említettek, hogy az sql hozzáféréseket limitáld illetve igyekezz ne root usert használni etc. 

Jelszó titkosítás
« Válasz #11 Dátum: 2018. Szeptember 30. - 12:23:11 »
0
debian 9-et használok, sajnos root felhasználót alapból nem tudok használni, és amúgy se szoktam.. :D
találtam 1 másik függvényt, azt hallottam ez biztonságosabb lenne, vélemények?https://wiki.multitheftauto.com/wiki/PasswordHash
« Utoljára szerkesztve: 2018. Szeptember 30. - 13:40:08 írta tomimester »

Jelszó titkosítás
« Válasz #12 Dátum: 2018. Szeptember 30. - 16:28:37 »
0
ez milyen lenne?
 
 

hash(\"sha512\", hash(\"sha512\", salt_1) .. hash(\"sha512\", password) .. hash(\"sha512\", salt_2))

 
és a salt mi legyen? random számok, vagy mit adjak meg salt-ként? értem, hogy elég lenne egyszer hashelni, de azért kíváncsi lennék így milyen lenne. illetve a felhasználóneveket hogy tároljam? azt is salt-olva, és sha512 -vel titkosítva?
« Utoljára szerkesztve: 2018. Szeptember 30. - 18:19:38 írta tomimester »

Jelszó titkosítás
« Válasz #13 Dátum: 2018. Október 01. - 15:15:55 »
0
Szerintem teljesen felesleges ennyi hash. Ennyivel bőven elég vagy már:
 

local salt = \"$o98123Ghasd#.dfrWQ\"
hash(\"sha256\",salt..password)

 
Felhasználókat nem kell hashelni, szerintem felesleges. De igazából hashelheted mint az email címeket is, de szerintem ezek már talán a túlzás fokát is elérik.

Jelszó titkosítás
« Válasz #14 Dátum: 2018. Október 01. - 15:18:58 »
0
Idézetet írta: AlexSwamp date=1538399755


   
      Szerintem teljesen felesleges ennyi hash. Ennyivel bőven elég vagy már:
   
   

local salt = \"$o98123Ghasd#.dfrWQ\"
hash(\"sha256\",salt..password)

   
      Felhasználókat nem kell hashelni, szerintem felesleges. De igazából hashelheted mint az email címeket is, de szerintem ezek már talán a túlzás fokát is elérik.
   


ismerős a neved, ha jól tudom te fejlesztettél egy MTA szerót, már nem emlékszem melyiket. ott is hasonló védelem volt? csak mert szerintem a biztonságnak nincs határa :D, és még ha ki is kerülne tényleg nem akarom semmiféle képpen hogy vissza hash-eljék.

 

SimplePortal 2.3.7 © 2008-2024, SimplePortal