Mam pytanię/prośbę, czy mógłby ktoś wyjaśnić mi po co się szyfruje hasła w np. portalach internetowych. Skoro użytkownik logując się wysyła swoje hasło do serwera, tam jest ono szyfrowane i sprawdzane czy hasło po zaszyfrowaniu jest równe temu w bazie, no to przed czym to niby chroni skoro haker może przejąć w czasie logowania hasło usera i po prostu je użyć do logowania :d
0
4
Nie szyfrowane a hashowane. I hashowanie hasła nie zabezpiecza przed przejęciem hasła podczas logowania - to zabezpiecza połączenie po https, natomiast hashowanie hasła zabezpiecza przed poznaniem hasła w momencie gdy baza wycieknie.
0
I wszystko jasne, dziękuję za wyjaśnienie!:)
1
@By.Future hasła nie są szyfrowane. Liczy się z nich tzw "skrót" / "hash".
Hacker może przejąć hasło w trakcie logowania stosując atak Man in the middle, ale przed tym ma chronić szyfrowanie połączenia. Zresztą często wcale nie tak łatwo zrobić komuś MiM. Większy problem stanowi kradzież bazy danych. Wtedy hashowanie haseł ma sens -> hacker nie ma nagle miliona loginów i haseł (często stosowanych jednoczesnie w różnych innych portalach) tylko loginy i hashe. Hashowanie to nie szyfrowanie i nie da się go "odszyfrować". Da sie tylko liczyć hashe dla przykładowych haseł i sprawdzać czy się akurat coś nie zgodziło. Jest to czasochłonne i ciężkie ;]
0
Skoro hasze się liczy to tak naprawdę w bazach danych nie ma zapisanych haseł tylko liczby równe hashowi?
4
Tak. W bazie, o ile admin nie jest idiotą / lekkoduchem, masz tylko hashe i sole (unikalne per użytkownik). Sól to jest losowy ciąg który dodaje sie do hasła przed hashowaniem. Po co? Bo gdyby hacker jednak miał pod ręką klaster i wygenerował sobie miliony hashy to mógłby faktycznie "złamac" sporo haseł które ukradł. Ale jeśli masz losowy ciag znaków per użytkownik dodawany do hasła to hacker musiałby generować hashe osobno dla każdego użytkownika uwzględniając ten losowy ciąg.
0
Chociaż zdarza się szyfrowanie, o ile mnie pamięć nie myli to Adobe szyfrowało hasła w bazie, ta co im wyciekła później? Co ciekawe przechowywali też podpowiedzi do haseł jawnie co umożliało próbę złamania algorytmu szyfrującego poprzez atak ze znanym tekstem jawnym, więc chyba jednak dobre wyjście to nie jest. Inna sprawa to jak silny jest klucz, natomiast w przpadku złamania jego dostęp jest do wszystkich haseł automatycznie.
0
Adobe popełnił taki błąd że wszystkie hasła były hashowane z użyciem tej samej soli
Ludzie często mają identyczne hasła co prowadziło do identycznych hashy - każdy natomiast do hasła miał inną podpowiedź z czego zrobiła się łatwa łamigłówka - mamy po kilka / kilkanaście różnych podpowiedzi do każdego hasła - nie trzeba było w ogóle "łamać algorytmu szyfrującego"