SORU
2 ŞUBAT 2010, Salı


Nasıl şifreler için benim giriş içine tuz uygulamak?

Giriş sistemimin içine tuz uygulamak istiyorum ama biraz bu işin nasıl yapılacağına dair karıştı. Olayın mantığını anlayamıyorum. Md5 tek yönlü bir algoritma olduğunu biliyorum Ve ben rastlamak sahip olduğu tüm fonksiyonları her şeyi birlikte karma gibi görünüyor. Eğer durum buysa, nasıl bir şifre tekrar dışarı karşılaştırma için? Benim en büyük soru, nasıl bir kullanıcı tuzlama' şifre sadece şifre? karma daha güvenli Eğer bir veritabanı hiç tehlikeye olsaydı, tuz ile birlikte karma veritabanında. Bir hacker gerekir hepsi bu değil mi?

Ben de başka bir geliştirici dedi o YÜZDEN başka bir yazı burada bulabilirsiniz :

"Tuzu temin ve algoritması vardır saklıayrı ayrıveritabanı"

Veritabanındaki tuz saklamak istiyorum. Bu gerçekten eğer yaparsam sorun olur mu?

Bu nasıl çalışır ve aynı zamanda en iyi uygulama ne olabileceğini anlamak için biraz yardım arıyorum. Herhangi bir yardım büyük beğeni topluyor.


EDİT: Cevaplar ve fikirler için herkese teşekkür etmek istiyorum. Daha fazla karıştı şimdi olsam da, kesinlikle benim için bir öğrenme deneyimi olmuştur. Tekrar teşekkürler çocuklar.

CEVAP
2 ŞUBAT 2010, Salı


Bu noktada bir tuz önlemek için saldırganların parasını çıkaran maliyetinin bir kaba kuvvet saldırı karşısında siteler (ya da daha iyisi, kullanırken farklı bir tuz için her kullanıcı tüm kullanıcıların bir site) üzerinden önceden hesaplanan rainbow tables.

Normal karma, bir saldırganın böyle bir tablo bir zamanlar (çok uzun, pahalı bir işlem) hesaplamak ve hızlı bir şekilde herhangi bir site için şifreleri bulmak için kullanın. Bir site bir sabit tuz kullanır, saldırgan yeni bir tablo özellikle bu site için hesaplamak için vardır. Bir sitede her kullanıcı için farklı bir tuz kullanır, saldırgan gökkuşağı tabloları - kaba kuvvet her bir ayrı şifre gerekiyor ile rahatsız etme.

Ayrı ayrı tuzları saklamak gerekli bu avantajı elde etmek için değil. Teoride sözlük ya da kısa şifreler zayıflığı nötralize çünkü daha güvenli olurdu. Uygulamada, günün sonunda, tuzlar erişimi gerekir, çünkü rahatsız etmeye değmezbir yereşifreleri kontrol etmek için. Ayrıca, onları ayırmaya çalışmanın daha karmaşık sistemler yol açacak ve daha karmaşık bir sistemi, güvenlik açıkları için daha fazla fırsat var.

Düzenleme:Somut öneriler:

  • Her kullanıcı için uzun rastgele tuz oluşturmak ve DB saklayın
  • Bcrypt tabanlı bir karma kullanın
  • ideal olarak, bunu kendiniz uygulamak değil, existing library Bir yerine kullanın

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Howard Pinsky

    Howard Pinsk

    6 AĞUSTOS 2006
  • We've moved!

    We've moved!

    7 Ocak 2008
  • SamsTech

    SamsTech

    4 NİSAN 2014