Безопастность пароля. 23 пользователя проголосовало

[lifestar 18]

Задумался я намедни о куках. А именно о целесобразности хранения в онных md5 хэша пароля. И порешил, что сиё есть плохо.

Расскажу одну выдуманную историю:

Зашёл Вася к Маше на чай. Пока Маша на кухне готовила чай, Вася не долго думая слил себе на флешку куки файлы с Машиного компьютера, среди которых оказались и куки с сайтов на движке DataLife Engine. Придя домой Вася внимательно изучил файлы и исходник движка. И видя то, что пароль в куки хранится в виде md5 хэша, да прибавив то, что Маша блондинка, он за пару дней нашёл** то ли её пароль, то ли очередную коллизию.

Если пароль, то ему просто повезло - скажете вы. А почему нет?

Найдя искомый пароль, Вася зная о том, что часто люди везде используют одинаковый пароль угнал Машин жж, почту и аську заодно. Вот такой злой Вася оказался. Видно чай оказался невкусным

Мораль рассказа в том, что на мой взгляд не стоит в куках хранить md5 хэш пароля. Можно хотя бы в солёном виде, но не в прямом.

Что скажете, господа?

** - порой на поиск коллизии уходит несколько минут, но при сложном пароле может занять и годы. Но не все используют сложные пароли, к сожалению...а может к счастью

В заголовке допустил ошибку, просьба к администрации исправить заголовок

Изменено 3 февраля 2008 пользователем lifestar

[n0lik 75]

А по мне так если пасс улетел к дяди Васи с помощью трояна, то каким бы он небыл длинным и замысловатым, включины куки или нет, всёровно Вам его придётся вбивать в поле, а прилетает он (к дядя Васи) в чистом виде как Вы его вбивали. И даже если у Вас стоят самые наварочинные и последние антивиры, от свежего трояна ни что не спасёт, (так как их нет в базе антивиров) а отправить ему ваши логи с паролями достаточно 2-3 секунд, так что никто не застрахован от потери пароля.

Хранить их надо по идеи в уме, но так как это не реально, то в записной книжке (не электронной)

И конечно же пароли должны быть разные, как бы Вам небыло трудно их запоминать, это Ваша безопасность.

Я например Вывел для себя одну неплохую теоремку по составлению пароля, в каторой присутствует нескалько слов связанных с тем или иным сайтом, ну и плюс ещё кое какие параметры и теперь заходя на любой сайт я знаю какой пароль надо вбивать, легко запомнить и пароль не маленькой длинны и присутствие букв (загл. мал), цифр и симвалов.

[wildshaman 0]

Я например Вывел для себя одну неплохую теоремку по составлению пароля

А не могли бы вы поделится? А то у меня пару дней назад угнали пароль от яндекс денег и все пропало... А так хоть пароль надежный будет ))

А если троян украл куки, разве хакер не может просто поставить себе и радоваться?

[n0lik 75]

А не могли бы вы поделится? А то у меня пару дней назад угнали пароль от яндекс денег и все пропало... А так хоть пароль надежный будет ))

Ну например возмём Yandex

Составь какую нибуть фразу каторую легко для тебя запомнить, но желательно чтобы в ней встречались русские буквы Ё Х Ъ Э Ж Б Ю например ЭтиХакерыЖлобы теперь возьми и выдерни из слова Yandex первую и последнюю букву и вставь их между 6 и 7 буквай в предложении (почему между 6 и 7, потомучто в слове Yandex 6 букв) и добавь в любое место цифру каторая получится при сложении твоего дня рождения + 6 (допустим ты родился 5 числа) получается 11, вот и смотри что получилось Эти ХакYxеры Жло11бы теперь в английской раскладке набей всё тоже самое (не забывай про заглавные буквы) получится "nb{frYxths:kj11,s

В начале покажется что это сложно и мутарно долго, но потом привыкаешь и получается всё само сабой

А если троян украл куки, разве хакер не может просто поставить себе и радоваться?

Может конечно, но зачем ему твои куки, если у него твои пароли...

Изменено 3 февраля 2008 пользователем n0lik

[lifestar 18]

Задача немного другого характера: как защитить пароль своего пользователя при краже COOKIE?

[Rebz 0]

сложно сделать

Шифровать кукисы можно. Но только не примитивным base64, а каким-нибудь хитрым способом.

А решение может быть следующее: уже во многих движках используется так называемая соль. Пароль формируется так: md5($password(md5)+$sult(md5)). По крайне мере даже пароль qwerty нельзя будет расшифровать, если не знаешь соли.

[Spawn 0]

Не нужно не чего придумывать. Достаточно небольшого примечания при регистрации на вашем портале. Ответственность за пропажу акков Ваш сайт не несет если он, конечно, не распространяет вредоносное ПО. Всему вина пользовательская невнимательность.

Люди, которые работают с интернет коммерцией, на почтовых ящиках которых лежит инфа стоящая $ относятся к таким вопросом бережно. А для Маши пропажа её мыльника и пару фоток, акков от развлекательных порталов ни чего не стоит.

Sticky Password для девочки Маши

Изменено 4 февраля 2008 пользователем Spawn

[celsoft 6 072]

Задача немного другого характера: как защитить пароль своего пользователя при краже COOKIE?

Самое просто зайти в настройки безопасности в DLE. И установить контроль IP, или расширенную авторизацию в админпанели, или запретить авторизацию на двух компьютерах одновременно, или включить все сразу. DLE позволяет защитить себя, даже в тех случаях, когда пароль известен в явном виде, для этого нужно в настройках профиля указать подсеть с которого разрешена авторизация.