-
GAMEPOD.hu
Az összefoglalóban igyekeztünk az alapelveket összeszedni mindkét témakörben.
Új hozzászólás Aktív témák
-
sztanozs
veterán
A szervernek is tudnia kell melyik userhez melyik só tartozik, tehát, ha az adatbázist megszerzi a támadó, akkor nagy valószínűséggel a hash-só korreláció is megfejthető - még ha nem is egy táblában vannak tárolva. Persze általában egy táblában azonos rekordon vannak, vagy hash mellett, vagy külön mezőben.
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
inf3rno
Topikgazda
Tegyük fel, hogy egy szótárt használnak a törésre mondjuk 30.000 szóval és van 10.000 usered. Ha mindegyikhez ugyanaz a só, akkor elég 30.000-szer lefuttatni az algoritmust, hogy a gyakori jelszavakra legyen hash-ük, ha mindenkinél eltérő a só, akkor 10.000*30.000 = 300.000.000 alkalommal kell lefuttatni, hogy a gyakori jelszavakat minden usernél ellenőrizzék. Ilyen szempontból nem jelent nagy különbséget, hogy melyik adatbázisba vagy melyik táblába teszed a sót, esetleg annyit számít, hogy hátha nem a teljes adatbázist rántják le, csak a user táblát, mert úgy osztod fel a felhasználókat, hogy az egyik csak a user táblához férjen hozzá, de pl a salts táblához nem. És csak az auth nevű adatbázis felhasználó férjen hozzá a sókhoz is. Így talán lehet értelme. Esetleg még lehet kulccsal titkosítani a hasht és a sót is, és a kulcsot konfig fájlban tartani vagy a kódba égetve, nem adatbázisban, hátha nem szerzik meg (bár a kódban lévő kulcs anti pattern, mert akkor az összes fejlesztő tud róla, nem csak aki fellövi az éles szervert). Szóval ilyen téren talán lehet valamelyest nehezíteni a dolgukat, de nem tudom mennyit érsz vele.
[ Szerkesztve ]
Buliban hasznos! =]
-
Új hozzászólás Aktív témák
- ThinkPad (NEM IdeaPad)
- Az USA vizsgálja a RISC-V kínai terjedésének kockázatát
- Politika
- Opel topik
- Kormányok / autós szimulátorok topicja
- Napelem
- A legtöbb amerikai szerint a TikTok egy őket befolyásoló eszköz
- Milyen TV-t vegyek?
- Redmi Note 12 Pro - nem tolták túl
- Futás, futópályák
- További aktív témák...