מאמר חדש - Hashing Passwords Properly - הוסטס

Shay Ben Moshe · 09-05-11, 17:26

פרסמתי מאמר חדש בבלוג שלי, Hashing Passwords Properly.
הוא מדבר על הדרך הנכונה שיש להצפין סיסמאות. המידע נוגע למתכנתים באופן כללי ולא רק למתכנתי PHP.

אשמח לשמוע את דעתכם עליו

http://blog.shay.co/hashing-passwords-properly/

למען האמת, התחושה שלי הפעם היא שההתנסחות שלי לא הייתה ברורה מאוד, אשמח לשמוע אם תמצאו חלקים לא ברורים.

תודה,
שי

**IgalSt** · 10-05-11, 12:22

מאמר מעולה.
חבל רק שחברות גדולות רבות לא מיישמות את השיטות המוצגות במאמר שלך שנחשביות כיום ל-best practice.
לדוגמה סוני שרשת הפלייסטיישן שלה נפרצה לאחרונה והכילה סיסמאות לא מוצפנות.
מנגד, ניתן לציין לחיוב את LastPass שייתכן ואחד מה-DB שלהם נפרצו אך לא נשקפת סכנה למשתמשים שכן לפורצים אין מה לעשות עם המידע שגנבו, אם גנבו.

בכל אופן, אני נוהג ליישם משהו נוסף בקידוד הסיסמאות שלי:
בנוסף ל-salt הייחודי לכל משתמש, אני נוהג להוסיף אחד נוסף שהוא ייחודי לכל אתר hard coded.
זה נוח במצבים בהם יש צורך להכריח את כלל המשתמשים להחליף סיסמה. אם משנים אותו אז אוטומטית כלל הסיסמאות של המשתמשים לא נכונות והם נאלצים להחליף אותן. זה משהו שלצערי נאלצתי להשתמש בו לפני כשנתיים באתר עם עשרות אלפי יוזרים מחוברים מדי יום.

Shay Ben Moshe · 10-05-11, 16:07

תודה רבה על התגובה

למען האמת גם אני נוהג בשיטה שהצגת, אני חושב שהיתרון הגדול של זה זה שאם גנבו לך את הDB עדיין יש עוד קטע שהם לא מודעים אליו, ובהינתן שהsalt הכללי ארוך קשה מאוד יהיה לעקוף את זה.

אגב, yad2 לא מצפינים את הסיסמאות, זה כל כך כל כך גרוע. בנוסף הם שולחים לך את הסיסמה שלך בכל אימייל, ככה שאם פרצו לך לאימייל פרצו לך גם לyad2...

אני חושב שצריך להפוך את זה ללא חוקי לאחסן סיסמאות לא מוצפנות.

BlueNosE · 10-05-11, 16:34

תודה על המאמר.
יש דרכים נוספות להקשות על פורץ: הסוואת שיטת ההצפנה (למשל אם אתה מצפין ב-10 שיטות שונות והפורץ לא הגיע לקוד המקור שלך, הוא לא ידע איך לבנות את הRAINBOW TABLE בהתאם למסד). הוספת תווים מתוך הסיסמא עצמה לקטע הנשמר וכו'.

אגב, קטע באורך 10 תווים של 37 אופציות זה 37 בחזקת 10 קומבינציות, לא ההיפך. כמו שקטע באורך 4 תווים של 10 אופציות (מ0 עד 9999) זה 10 בחזקת 4 (10000 קומביצניות).

Shay Ben Moshe · 10-05-11, 16:41

תודה על התגובה

אכן אתה צודק לחלוטין לגבי כמות הקומבינציות, יתוקן.

Kernel · 10-05-11, 21:33

ציטוט:

נכתב במקור על ידי Shay Falador

תודה רבה על התגובה

למען האמת גם אני נוהג בשיטה שהצגת, אני חושב שהיתרון הגדול של זה זה שאם גנבו לך את הDB עדיין יש עוד קטע שהם לא מודעים אליו, ובהינתן שהsalt הכללי ארוך קשה מאוד יהיה לעקוף את זה.

אגב, yad2 לא מצפינים את הסיסמאות, זה כל כך כל כך גרוע. בנוסף הם שולחים לך את הסיסמה שלך בכל אימייל, ככה שאם פרצו לך לאימייל פרצו לך גם לyad2...

אני חושב שצריך להפוך את זה ללא חוקי לאחסן סיסמאות לא מוצפנות.

כתבתי על זה בבלוג שלי, וגם פניתי ליד2, אחרי יותר משבוע ללא תגובה, פירסמתי גם את הפוסט הזה על יד 2.

אגב, בגלל ש-MD5 מאוד נפוץ, יש מאגרים ענקיים של BRUTEFORCE.
השיטה, היא להוסיף X קבוע לפני הקידוד, ככה יוצרים מאגר נקי מ-BRUTEFORCE.

Shay Ben Moshe · 10-05-11, 21:52

תודה על התגובה

מעניין ששנינו נגענו באותן הנקודות באותו הזמן...

באמת צריך לעשות משהו בקשר לyad2. זה יכול ממש לפגוע בכמות לא מבוטלת של אנשים.

איציק ברבי · 11-05-11, 18:33

נחמד אני בעקרון משנה את האמצע של ההצפנה שיוצאת לי בתו קבוע או בקידוד בינארי של שם המשתמש\אידי.

Shay Ben Moshe · 11-05-11, 20:01

eshk תודה על התגובה.
הטכניקה שאתה משתמש בה לא עוזרת לשפר את האבטחה כמעט, אולי רק נגד brute forceים ממש מנובנים, אבל השיטה בגדול לא עוזרת כמעט...
להחליף תו זה אפילו גורע מההצפנה.

09-05-11, 17:26	# 1
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	מאמר חדש - Hashing Passwords Properly פרסמתי מאמר חדש בבלוג שלי, Hashing Passwords Properly. הוא מדבר על הדרך הנכונה שיש להצפין סיסמאות. המידע נוגע למתכנתים באופן כללי ולא רק למתכנתי PHP. אשמח לשמוע את דעתכם עליו http://blog.shay.co/hashing-passwords-properly/ למען האמת, התחושה שלי הפעם היא שההתנסחות שלי לא הייתה ברורה מאוד, אשמח לשמוע אם תמצאו חלקים לא ברורים. תודה, שי __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

10-05-11, 12:22	# 2
IgalSt מנהל פורום, עסק רשום מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: המרכז גיל: 38 הודעות: 1,432	מאמר מעולה. חבל רק שחברות גדולות רבות לא מיישמות את השיטות המוצגות במאמר שלך שנחשביות כיום ל-best practice. לדוגמה סוני שרשת הפלייסטיישן שלה נפרצה לאחרונה והכילה סיסמאות לא מוצפנות. מנגד, ניתן לציין לחיוב את LastPass שייתכן ואחד מה-DB שלהם נפרצו אך לא נשקפת סכנה למשתמשים שכן לפורצים אין מה לעשות עם המידע שגנבו, אם גנבו. בכל אופן, אני נוהג ליישם משהו נוסף בקידוד הסיסמאות שלי: בנוסף ל-salt הייחודי לכל משתמש, אני נוהג להוסיף אחד נוסף שהוא ייחודי לכל אתר hard coded. זה נוח במצבים בהם יש צורך להכריח את כלל המשתמשים להחליף סיסמה. אם משנים אותו אז אוטומטית כלל הסיסמאות של המשתמשים לא נכונות והם נאלצים להחליף אותן. זה משהו שלצערי נאלצתי להשתמש בו לפני כשנתיים באתר עם עשרות אלפי יוזרים מחוברים מדי יום. __________________ יגאל סטקלוב Igal Steklov Slides מה השעה? טרקלין דן טרמינל 1

10-05-11, 16:07	# 3
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	תודה רבה על התגובה למען האמת גם אני נוהג בשיטה שהצגת, אני חושב שהיתרון הגדול של זה זה שאם גנבו לך את הDB עדיין יש עוד קטע שהם לא מודעים אליו, ובהינתן שהsalt הכללי ארוך קשה מאוד יהיה לעקוף את זה. אגב, yad2 לא מצפינים את הסיסמאות, זה כל כך כל כך גרוע. בנוסף הם שולחים לך את הסיסמה שלך בכל אימייל, ככה שאם פרצו לך לאימייל פרצו לך גם לyad2... אני חושב שצריך להפוך את זה ללא חוקי לאחסן סיסמאות לא מוצפנות. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

10-05-11, 16:34	# 4
BlueNosE אין כמו ב127.0.0.1 מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: כפ"ס גיל: 32 הודעות: 4,086	תודה על המאמר. יש דרכים נוספות להקשות על פורץ: הסוואת שיטת ההצפנה (למשל אם אתה מצפין ב-10 שיטות שונות והפורץ לא הגיע לקוד המקור שלך, הוא לא ידע איך לבנות את הRAINBOW TABLE בהתאם למסד). הוספת תווים מתוך הסיסמא עצמה לקטע הנשמר וכו'. אגב, קטע באורך 10 תווים של 37 אופציות זה 37 בחזקת 10 קומבינציות, לא ההיפך. כמו שקטע באורך 4 תווים של 10 אופציות (מ0 עד 9999) זה 10 בחזקת 4 (10000 קומביצניות). __________________ עומר, admin [@] rely.co.il בניית אתרים Rely סלנג מילון סלנג utter

10-05-11, 16:41	# 5
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	תודה על התגובה אכן אתה צודק לחלוטין לגבי כמות הקומבינציות, יתוקן. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

10-05-11, 21:52	# 7
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	תודה על התגובה מעניין ששנינו נגענו באותן הנקודות באותו הזמן... באמת צריך לעשות משהו בקשר לyad2. זה יכול ממש לפגוע בכמות לא מבוטלת של אנשים. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

11-05-11, 18:33	# 8
איציק ברבי עסק רשום [?] מיני פרופיל תאריך הצטרפות: Feb 2011 הודעות: 970	נחמד אני בעקרון משנה את האמצע של ההצפנה שיוצאת לי בתו קבוע או בקידוד בינארי של שם המשתמש\אידי.

11-05-11, 20:01	# 9
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	eshk תודה על התגובה. הטכניקה שאתה משתמש בה לא עוזרת לשפר את האבטחה כמעט, אולי רק נגד brute forceים ממש מנובנים, אבל השיטה בגדול לא עוזרת כמעט... להחליף תו זה אפילו גורע מההצפנה. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)