igigi vyčíňa...

Bezpečnosť na internet a všetko okolo nej....

igigi je ten...

...dobrý
43
91%
...zlý
4
9%
 
Celkom hlasov: 47

Užívateľov profilový obrázok
Scorp
Jánoš Bravo z Brna
Jánoš Bravo z Brna
Príspevky: 2838
Dátum registrácie: So 09. Apr, 2005, 20:00
Bydlisko: Krankenhaus
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Scorp » Št 07. Jan, 2010, 21:40

Snake napísal:
Scorp napísal:Síce nejsom nejaký programátor, ale ono by stačilo zopakovať inputnuté heslo nejak 4-5x a žiadny strašný salt vymýšlať nepotrebujem
máš pravdu, nie si programátor ;)
Ale aj tak by som to tak urobil :) Keď mi dá user pass 12345 a ja si savenem heš stringu 1234512345123451234512345, bude to niekomu k niečomu?
Me like Pentium

Užívateľov profilový obrázok
galen
Používateľ
Používateľ
Príspevky: 2355
Dátum registrácie: Št 01. Jún, 2006, 02:00
Bydlisko: Zilina
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa galen » Št 07. Jan, 2010, 21:55

Snake napísal:
Scorp napísal:Síce nejsom nejaký programátor, ale ono by stačilo zopakovať inputnuté heslo nejak 4-5x a žiadny strašný salt vymýšlať nepotrebujem
máš pravdu, nie si programátor ;)
heslo: 4-12 znakov, malokto ide nad 15
budme idealisti: alfanumericke znaky + specialne znaky, cca 50 znakov ...
zlozitost takeho hesla (moznych kombinacii): 50^4 - 50^12, idealne 50^15
nemas ako prinutit uzivatela, aby mal 12 miestne heslo, bezne je cca 8 znakov, a aj to ine alfanumerickych, nieto este s velkymi a malymi pismenkami, a specialnymi znakmi
ak by si 8znakove napisal 4x zasebou, si na 32 znakoch, kazdy z cca 50 moznosti, woohoo, 50^32 ... jeba ...
iked, ak by ktosi vedel, ze robis 4x to iste, tak zlozitost je stale ta ista, lebo skusi pattern o dlzke 8 znakov, da ho napisat 4x za sebou (lebo ine hesla byt nemozu) a hotovo ... takze si znova na tej 50^8, co je malo

ak pouzijes obycajnu MD5, ktora cokolvek zasifruje do 32 znakov, 0-9, A-F, teda 16 moznosti, mas "iba" 16^32 kombinacii...
samozrejme, pokial pouzijes opatovne zakryptovanie vygenerovaneho md5 stringu, zlozitost je zhruba stale taka ista (dvojnasobna), ako ked breakujes jedenkrat zasifrovany kluc, iba to zbehnes 2x ...
ak by si to uz prekryptoval 1000x, nuuuz ... to by uz teoreticky trvalo 1000x dlhsie ...
a samozrejme, za predpokladu, ze ten co to breakuje vie, ze to treba 1000x v loope prekryptovat ...
lava, prava, lava, prava ...

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Snake » Št 07. Jan, 2010, 22:08

nemá to logiku, stále by to bolo md5, zober si to takto scorp, ľudia sú tupci, dá si niekto heslo 12345, dobre, zopakuješ ho [(pass) ^4 ], lúsknu ti to, a majú presný postup čo ako rozkódovať (aj skúšať 4x po sebe sa opakujúce sa stringy).

Pri soľi by si mal tú istotu, že ak ti niekto dumpne DB, tak nemôže ani využiť Bruteforce (ani Rainbow Tables) kým nepozná soľ, a hádať soľ, to neni také jednoduché.

Nehovoriac o spätnej autentifikácii (ale to sa dá považovať za zvyšovanie loadu, závisi od mašiny)
#rollerman

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Snake » Št 07. Jan, 2010, 22:23

Úplne najideálnejšie je takéto
- vyňať kompletne slovníkové slová (povedzme si zoberieš tie z OO)
- minimálne 6-8 znakov, max nelimitovať (načo)
- zakázať podobnosť s emailom
- nutné alfanumerické znaky (je už jedno či túto skutočnosť bude útočník vedieť, tak či tak mu to sťaží robotu)
- použiť soľ

toto máš najrýchlejšie a najspolahlivejšie riešenie, že keď ti aj niekto dumpne db, nerozkóduje ju, prípadne ešte zakázať opakovanie stringov a si za vodou (mišomišo, zabazaba atp).
#rollerman

Užívateľov profilový obrázok
Scorp
Jánoš Bravo z Brna
Jánoš Bravo z Brna
Príspevky: 2838
Dátum registrácie: So 09. Apr, 2005, 20:00
Bydlisko: Krankenhaus
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Scorp » Št 07. Jan, 2010, 22:33

Aspoň som to vymyslel lepšie jak azet :))
Inak nikde som nenašiel, ako riadne zabezpečiť klasický lamp, za predpokladu, že mám všetko aktuálne... ja sa samozrejme v unixoch nevyznám :)
Me like Pentium

Užívateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 864
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: igigi vyčíňa...

Príspevok od užívateľa pEpinko » Št 07. Jan, 2010, 22:58

Snake napísal:Pri soľi by si mal tú istotu, že ak ti niekto dumpne DB, tak nemôže ani využiť Bruteforce (ani Rainbow Tables) kým nepozná soľ, a hádať soľ, to neni také jednoduché.
Ja som salt zvykol vzdy davat do DB, preto si myslim, ze ak niekto ziska data z DB, tak ma pristup aj k saltu.

Užívateľov profilový obrázok
galen
Používateľ
Používateľ
Príspevky: 2355
Dátum registrácie: Št 01. Jún, 2006, 02:00
Bydlisko: Zilina
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa galen » Št 07. Jan, 2010, 23:14

pEpinko napísal: Ja som salt zvykol vzdy davat do DB, preto si myslim, ze ak niekto ziska data z DB, tak ma pristup aj k saltu.
nemusi byt pravda
lebo ak sa dostane cez injection/backdoor do DB, nemusi mat pristup ku fileSystemu, teda k saltu
lava, prava, lava, prava ...

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Snake » Št 07. Jan, 2010, 23:17

ak je v /etc/shadow (a tam má prístup iba privilegovaný process) tak sa na viditeľnom fs ani nemusí nachádzať.
#rollerman

Užívateľov profilový obrázok
galen
Používateľ
Používateľ
Príspevky: 2355
Dátum registrácie: Št 01. Jún, 2006, 02:00
Bydlisko: Zilina
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa galen » Št 07. Jan, 2010, 23:30

Snake napísal:ak je v /etc/shadow (a tam má prístup iba privilegovaný process) tak sa na viditeľnom fs ani nemusí nachádzať.
asi budem megaUberLama
ako chces pristupovat z aplikacneho servera, pripadne aplikacie beziacej na OS do /etc/shadow subor, po nejaky string, ktory pouzijes ako salt ?
lava, prava, lava, prava ...

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Snake » Št 07. Jan, 2010, 23:38

to máš to isté ako overovanie voči .htpasswd

Ale nie som odbordník, viem že sa to tak robí. Ako, neviem, Unix nie je mojou primárnou doménou.
#rollerman

Užívateľov profilový obrázok
pEpinko
Používateľ
Používateľ
Príspevky: 864
Dátum registrácie: Po 19. Máj, 2008, 09:31
Bydlisko: BA/NR

Re: igigi vyčíňa...

Príspevok od užívateľa pEpinko » Št 07. Jan, 2010, 23:48

Nechcem moc OTckovat (asi by sme si mali zalozit inu diskusiu :)), ale tak este sa spytam. Do unixu sa nevyznam velmi, ale zda sa mi ze vase riesenia pouzivaju jeden salt pre vsetky hesla, nie je to horsie ako ked vygenerujem ku kazdemu heslu vlastny salt? Alebo to chapem zle? (doteraz som ani nevedel ze nieco ako /etc/shadow existuje ;) )

Užívateľov profilový obrázok
galen
Používateľ
Používateľ
Príspevky: 2355
Dátum registrácie: Št 01. Jún, 2006, 02:00
Bydlisko: Zilina
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa galen » Pi 08. Jan, 2010, 00:19

pEpinko napísal:Nechcem moc OTckovat (asi by sme si mali zalozit inu diskusiu :)), ale tak este sa spytam. Do unixu sa nevyznam velmi, ale zda sa mi ze vase riesenia pouzivaju jeden salt pre vsetky hesla, nie je to horsie ako ked vygenerujem ku kazdemu heslu vlastny salt? Alebo to chapem zle? (doteraz som ani nevedel ze nieco ako /etc/shadow existuje ;) )
ako v principe mas jedno, ci pouzijes ten isty salt pre vsetky hesla, alebo pre kazde heslo pouzijes salt vygenerovany na zaklade toho hesla
zvysis tym zlozitost hesla z cca 26pismen+10 cifier+26 velkych, dlzky 8, teda 62^8 na 16^32 (teraz dobra otazka ci krat, alebo plus) * 62^8
co je radovo ina zlozitost

samozrjeme, ak sa ktosi dostane k algoritmu, ako generujes heslo, tak sa za kazdych okolnosti bavime o tom, ze sa hada 62^8, co bolo povodne heslo
lava, prava, lava, prava ...

Užívateľov profilový obrázok
Scorp
Jánoš Bravo z Brna
Jánoš Bravo z Brna
Príspevky: 2838
Dátum registrácie: So 09. Apr, 2005, 20:00
Bydlisko: Krankenhaus
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Scorp » Pi 08. Jan, 2010, 00:29

pEpinko napísal:Nechcem moc OTckovat (asi by sme si mali zalozit inu diskusiu :)), ale tak este sa spytam. Do unixu sa nevyznam velmi, ale zda sa mi ze vase riesenia pouzivaju jeden salt pre vsetky hesla, nie je to horsie ako ked vygenerujem ku kazdemu heslu vlastny salt? Alebo to chapem zle? (doteraz som ani nevedel ze nieco ako /etc/shadow existuje ;) )
Je to jedno, len si musíš vyriešiť spätné overenie... ono ty môžeš mať salt čokoľvek, aj hash hashu nejakého stringu s heslom + loginom, ktorý pripojíš k hashu hesla, keď tam dáš sha, bude to awesome a stále sú nároky na server nula nula nič... md5 ti vždy vráti 32 znakov, môžeš sa vybaviť aj podľa toho... ono aj keď zopakujem string 12345 aj stokrát, stále to nebude nijak super náročné a ak na začiatok pridám mega tajný reťazec "a", kto nemá zdrojáky, je v prdeli... netreba to komplikovať nejakými slovníkmi a buzerovania userov, že nesmieš mať heslo bratislava, max. bude povinné mať v hesle aj číslo

Dať priamo apačom prístup k shadow je blbosť, dá sa to cez sambu, ale to sú strašné prcačky s tým

a fakt...ako zabezpečiť bežný server, nech tam igino neleze? Bo strašne ľúbim tie pakistanské IP, čo mi lezú na fresh install a potom sú z toho prusery
Me like Pentium

faugusztin
Moderátor
Moderátor
Príspevky: 15169
Dátum registrácie: Ut 26. Feb, 2008, 14:00
Bydlisko: Bratislava/Štúrovo

Re: igigi vyčíňa...

Príspevok od užívateľa faugusztin » Pi 08. Jan, 2010, 00:55

pEpinko napísal:Trochu som sa nudil a presiel som celu tuto diskusiu. Prijde mi zvlastna jedna vec. Preco vsetci ukladaju hesla bud do plaintexu, alebo ked uz sa pouzije hashovacia funkcia, tak zasadne iba MD5 a bez saltu? To su skoro vsetci web developeri uplne kusy debilov? Alebo mne unika preco sa to tak ma robit?
Casto ide o "dedicstvo"...

Užívateľov profilový obrázok
Snake
Administrátor
Administrátor
Príspevky: 12898
Dátum registrácie: Ne 23. Júl, 2006, 02:00
Bydlisko: Bratislava/Galanta
Kontaktovať užívateľa:

Re: igigi vyčíňa...

Príspevok od užívateľa Snake » Po 11. Jan, 2010, 17:50

igigi skončil (resp. zrušil svoj blog) - berie si teda príklad z rumuna UNU-ho
#rollerman

Napísať odpoveď

Návrat na "Security"