pak je to tu off topic.Stanislav.Stipl píše:Muj posledni prispevek byl o tom, ze pulka hesel v systemu (skoro 3000 uzivatelu) pouziva hash, ktery na lori netrva pul sekundy, ale nejakych 100 mikrosekund (a jinde pod 1 mikrosekundu). To uz neni hloupost uzivatelu.
Změna hashovacího algoritmu - bcrypt
Moderátor: Technický odbor
- Lukas.Novy
- Příznivec Pirátů – Jihomoravský kraj
- Příspěvky: 21720
- Registrován: 02 črc 2009, 22:45
- Profese: auditor počítačové bezpečnosti
- Bydliště: Brno
- Dal poděkování: 5234 poděkování
- Dostal poděkování: 12565 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
Demokracie je diskuse.
| ‒ | – | — | ― | … | „ | “ | ‚ | ‘ | » | « | ½ | ¼ | ¾ | × | ‰ | ® | © | ™ | Tel: 777-5-KRTEK
- Lukas.Novy
- Příznivec Pirátů – Jihomoravský kraj
- Příspěvky: 21720
- Registrován: 02 črc 2009, 22:45
- Profese: auditor počítačové bezpečnosti
- Bydliště: Brno
- Dal poděkování: 5234 poděkování
- Dostal poděkování: 12565 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
Demokracie je diskuse.
| ‒ | – | — | ― | … | „ | “ | ‚ | ‘ | » | « | ½ | ¼ | ¾ | × | ‰ | ® | © | ™ | Tel: 777-5-KRTEK
-
- Člen KS Královehradecký kraj
- Příspěvky: 2067
- Registrován: 04 úno 2012, 23:32
- Profese: programátor
- Dal poděkování: 1584 poděkování
- Dostal poděkování: 3193 poděkování
Re: Změna hashovacího algoritmu - bcrypt
Právě proto, že takoví lidé existují, je třeba používat pořádný hash. Pokud měl někdo takový jednou jedinkrát přístup k databázi, může se po neomezenou dobu louskat hashe, zatímco členové jsou udržováni ve falešném pocitu bezpečí, že jeden hash trvá půl sekundy.Lukas.Novy píše:A na hlouposti uzivatelu to nic nemeni. Prepokladat, ze nas nejaky silnejsi hash ochrani je jak myslet, ze lide jako Lastuvka neexistuji.
- Tito uživatelé poděkovali autorovi Stanislav.Stipl za příspěvky (celkem 2):
- Ondrej.Profant, Petr.Vileta
test
- Lukas.Novy
- Příznivec Pirátů – Jihomoravský kraj
- Příspěvky: 21720
- Registrován: 02 črc 2009, 22:45
- Profese: auditor počítačové bezpečnosti
- Bydliště: Brno
- Dal poděkování: 5234 poděkování
- Dostal poděkování: 12565 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
Demokracie je diskuse.
| ‒ | – | — | ― | … | „ | “ | ‚ | ‘ | » | « | ½ | ¼ | ¾ | × | ‰ | ® | © | ™ | Tel: 777-5-KRTEK
- next_ghost
- Návštěvník – nepatří k Pirátům
- Příspěvky: 3239
- Registrován: 21 dub 2009, 18:03
- Profese: programátor
- Dal poděkování: 1433 poděkování
- Dostal poděkování: 5131 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
Ehm, pokud má někdo přístup k DB, tak tvoje heslo pro přihlášení do systému nepotřebuje louskat. Stačí mu prostě na chvíli do DB k tvému účtu vrazit svoje vlastní heslo, přihlásit se za tebe, a zase tam vrátit to původní. Tohle je ochrana proti jednorázovému leaku, aby lidi měli čas si hesla změnit, než je útočníci lousknou, a částečně i ochrana pro blbce, co používají to samé heslo i někde jinde.Lukas.Novy píše:Ma nekdo pristup k db? Ma. Silny hash te nezachrani. Uzivatele si proste sami musi menit hesla dostatecne casto.
- Tito uživatelé poděkovali autorovi next_ghost za příspěvek:
- Ondrej.Profant
Chceš, aby organizace fungovala? Komunikuj!
Česká pirátská strana: Neškodná.
- Pavel.Moravec
- Návštěvník – nepatří k Pirátům
- Příspěvky: 2764
- Registrován: 27 dub 2011, 17:25
- Profese: IT
- Bydliště: Brno Bystrc
- Dal poděkování: 12424 poděkování
- Dostal poděkování: 5915 poděkování
Re: Změna hashovacího algoritmu - bcrypt
Zkus nutit uživatele si měnit hesla dostatečně často, a 90% z nich skončí se samými hesly typu "pirati2016" měněnými na "pirati2017".Lukas.Novy píše:Ma nekdo pristup k db? Ma. Silny hash te nezachrani. Uzivatele si proste sami musi menit hesla dostatecne casto.
Měnit heslo se má jen tehdy, pokud se domnívám, že mohlo být odhaleno.
- Tito uživatelé poděkovali autorovi Pavel.Moravec za příspěvky (celkem 2):
- Jiri.Ulip, Ondrej.Profant
- Petr.Vileta
- Člen KS Plzeňský kraj
- Příspěvky: 34642
- Registrován: 22 črc 2009, 18:12
- Profese: Celkem Spokojený Důchodce
- Bydliště: Plzeň 2
- Dal poděkování: 31595 poděkování
- Dostal poděkování: 25704 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
A nebo s papírkem na monitoruPavel.Moravec píše:Zkus nutit uživatele si měnit hesla dostatečně často, a 90% z nich skončí se samými hesly typu "pirati2016" měněnými na "pirati2017".Lukas.Novy píše:Ma nekdo pristup k db? Ma. Silny hash te nezachrani. Uzivatele si proste sami musi menit hesla dostatecne casto.
Řadový člen, stínový ministr švihlých nápadů a fórista
Fide, sed cui fidas, vide.
Věř, ale komu věříš měř.
(Perchta z Pernštejna - Bílá paní)
- Lukas.Novy
- Příznivec Pirátů – Jihomoravský kraj
- Příspěvky: 21720
- Registrován: 02 črc 2009, 22:45
- Profese: auditor počítačové bezpečnosti
- Bydliště: Brno
- Dal poděkování: 5234 poděkování
- Dostal poděkování: 12565 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
Stando, co tedy? Shodnem se na tom, xe jedina spravna cesta je 2FA? Nebo co ma byt vysledkem tehle diskuse?
-
- Člen KS Královehradecký kraj
- Příspěvky: 2067
- Registrován: 04 úno 2012, 23:32
- Profese: programátor
- Dal poděkování: 1584 poděkování
- Dostal poděkování: 3193 poděkování
Re: Změna hashovacího algoritmu - bcrypt
Vysledkem teto diskuze je bohuzel to, ze temer polovina uzivatelu nema heslo zahashovane takovym zpusobem, aby je to alespon castecne ochranilo v pripade uniku databaze. Navic k uniku databaze jiz mohlo v minulosti dojit, meli k ni pristup nejruznejsi lide zejo.
test
- Lukas.Novy
- Příznivec Pirátů – Jihomoravský kraj
- Příspěvky: 21720
- Registrován: 02 črc 2009, 22:45
- Profese: auditor počítačové bezpečnosti
- Bydliště: Brno
- Dal poděkování: 5234 poděkování
- Dostal poděkování: 12565 poděkování
- Kontaktovat uživatele:
Re: Změna hashovacího algoritmu - bcrypt
A pricinou je ze si uzivatele nezmenili heslo. Predstava, ze prehashovanim slo zajistit nejake lepsi bezpeci je naprosto zcestna. Prehashovani muzes udelat az pri dalsim prihlaseni a jedine, co tim ziskas je pocit dobre zabezpecnyho hesla, ktery ale muze utocnik davno znat. Tohle plati jak pri zmene, kterou sem provedl ja tehdy tak i pri tom, co ty navrhujes ted.Stanislav.Stipl píše:Vysledkem teto diskuze je bohuzel to, ze temer polovina uzivatelu nema heslo zahashovane takovym zpusobem, aby je to alespon castecne ochranilo v pripade uniku databaze.
Demokracie je diskuse.
| ‒ | – | — | ― | … | „ | “ | ‚ | ‘ | » | « | ½ | ¼ | ¾ | × | ‰ | ® | © | ™ | Tel: 777-5-KRTEK