Przechowywanie haseł - wymóg stosowania różniących się haseł

Odpowiedz Nowy wątek
2017-07-12 13:11

Rejestracja: 3 lata temu

Ostatnio: 18 minut temu

Lokalizacja: Wrocław

0

Dostaliśmy specyfikację dot. haseł w nowej aplikacji którą tworzymy i są wśród nich m.in.

  • nie może być takie samo jak 6 ostatnio użytych dla danego użytkownika
  • nie może zawierać frazy, która wystąpiła w tych ostatnich 6 użytych hasłach

O ile pierwsza kropka jest prosta bo jeśli będziemy przechowywać hashe to wystarczy je porównać.
Mamy problem z drugą kropką. Czy to w ogóle jest wykonalne?
Jedyne co udało nam się wymyślić to przechowywać hashe wszystkich fraz i sprawdzać czy już nie wystąpiła, ale nie jesteśmy do tej metody przekonani.
Ma ktoś może doświadczenie jak to jest realizowane np. w systemach bankowych?

PS: Fraza to podciąg hasła o jeszcze nie ustalonej długości (osobiście stawiam na podciąg długości 3)

Pozostało 580 znaków

Krzywy Kret
2017-07-12 13:15
Krzywy Kret
0

Przy zmianie hasła można stare zapamiętać, a nowego nadal hash+salt.

To realizujemy w pierwszym punkcie i to jest proste. Gorzej jeśli nie mogą występować te same frazy w kolejnych hasłach... - mdolata 2017-07-12 14:08

Pozostało 580 znaków

Krzywy Kret
2017-07-12 14:16
Krzywy Kret
0

Miałem na myśli rozwiązanie drugiego problemu.

Jak ktoś zmienia hasło, to podaje stare w celu weryfikacji, stare jest sprawdzane czy nie zawiera fraz i jak nowe jest zatwierdzone, to stare ląduje w bazie starych nie jako hash.

Z jednego strony to jest bezpieczne, bo te hasło nie jest już wykorzystywane.
A z drugiej kto wie, czy jak wyciekną hasła to nie będzie afery, źe to te prawdziwe, albo ktoś miał akurat wszędzie takie samo xd.
A do góry nogami z tej strony to też jest niebezpieczne, bo wtedy atakujący wie, że jak się dorwie do haseł, to będzie wiedział jakie frazy nie występują w nowych hasłach i odsiew słabych haseł zwiększony.

Pozostało 580 znaków

2017-07-12 14:32

Rejestracja: 3 lata temu

Ostatnio: 18 minut temu

Lokalizacja: Wrocław

0

Tylko że nadal musimy sprawdzać frazy w 6 poprzednich hasłach.
Chociaż zdania o niebezpieczeństwach mnie przekonują o tym że to zły pomysł.

Pozostało 580 znaków

2017-07-12 14:57
Moderator

Rejestracja: 16 lat temu

Ostatnio: 43 sekundy temu

1

Nie no bez żartów, absolutnie zapomnijcie o trzymaniu starych haseł plaintextem :D Raz bo wielu ludzi tylko "mutuje" sobie hasła jak musi zmienić, a dwa bo pewnie gdzieś indziej ma podobne. To by była masakra jakaś.
Pomysł że nowe hasło nie może zawierać jakiejś 3 znakowej frazy ze starego hasła jest też totalnie bez sensu. Jeszcze rozumiem jakby jakaś odległość edycyjna miała być większa niż 3, ale to o czym piszecie to idiotyzm, szczególnie dla długich haseł. Powodzenia podczas próby zmiany hasła, szczególnie tej 6 :D
Nie wiem kto wam te guidliny wymyślił, ale powinien iść się leczyć. Jeszcze powiedz że hasła do zmiany co miesiąc na przykład :D


Masz problem? Pisz na forum, nie do mnie. Nie masz problemów? Kup komputer...
edytowany 1x, ostatnio: Shalom, 2017-07-13 18:00
To jest chyba przykład polecenia z wieży magów. - kmle 2017-07-13 04:28
No, trochę jak z "zasady włączeń i wyłączeń" ;] - Shalom 2017-07-13 17:13

Pozostało 580 znaków

2017-07-12 15:02

Rejestracja: 16 lat temu

Ostatnio: 1 rok temu

0

Nie wiem co to za system, ale są znacznie lesze metody na zwiększanie bezpieczeństwa bez wątpliwej sensowności "nie może zawierać frazy, która wystąpiła w tych ostatnich 6 użytych hasłach". Choćby Multi-factor authentication. Może warto renegocjować specyfikacje?

Pozostało 580 znaków

2017-07-12 15:17

Rejestracja: 12 lat temu

Ostatnio: 2 godziny temu

Lokalizacja: Warszawa

0

Nie chciałbym korzystać z takiego systemu. Jak ustawię sobię hasło alamakota2017, a za jakiś czas zmienią na k23j5k25lkh_ASDOIHASODmakod-99-u235235kndf to też będzie źle? No paranoja :P
Apple stosuje podobny manewr, ile razy mnie juz ..rwica strzelała przez to.... ehhh

Też bym nie chciał korzystać z takiego systemu, ale jak klient chce to dostanie :) - mdolata 2017-07-12 15:21

Pozostało 580 znaków

2017-07-12 15:19

Rejestracja: 3 lata temu

Ostatnio: 18 minut temu

Lokalizacja: Wrocław

0

@Shalom:
absolutnie nie chcemy żadnego hasła plaintextem trzymać, jakieś tam podstawy bezpieczeństwa mamy :)

@Changs
Od razu nam się ta specyfikacja nie spodobała, ale woleliśmy zapytać. A system jest dla instytucji współpracującej z bankami i to banki wymuszają na nas takie reguły.

Reasumując, propozycja Krzywego Kreta wygląda IMO dobrze.
Bedziemy przechowywać hashe 6 ostatnich haseł i nowe hasło będzie musiało być inne niż 6 ostatnich. A te badanie podciągów będziemy realizować tylko na ostatnim haśle. Brzmi dobrze.

Ciekawi mnie jakim komunikatem user dostanie po twarzy? :D "Twoje hasło zawiera podciąg X znaków z jednego z poprzednich Y haseł"? - axelbest 2017-07-12 15:27
Podciągi będą sprawdzane tylko względem ostatniego i nowego hasła. A komunikat może być prosty : "użyłeś hasła podobnego do ostatniego", czy coś w ten deseń - mdolata 2017-07-12 15:29

Pozostało 580 znaków

sig
2017-07-12 19:23
sig

Rejestracja: 8 lat temu

Ostatnio: 24 minuty temu

6

A jak by te poprzednie hasła zaszyfrować/zakodować, używając aktualnego jako klucza? Wtedy jawnie nie będą, a przy zmianie hasła bez problemu się je uzyska celem porównania, podmiany najstarszego na klucz, i zabezpieczenia z powrotem nowym hasłem.

Pozostało 580 znaków

HR Senior
2017-07-12 19:30
HR Senior
0
sig napisał(a):

Sprytne, takie proste rozwiązanie a najlepsze, chyba nie ma luk.

Pozostało 580 znaków

2017-07-12 20:04

Rejestracja: 7 lat temu

Ostatnio: 52 minuty temu

4

zawsze można kazać userowi podać wszystkie 6 podczas zmiany hasła :D :D :D


Chcesz pomocy - pokaż kod - abrakadabra źle działa z techniką.
A jak mu karteczki z monitora odpadną i nie będzie wiedział które jest które? - sig 2017-07-12 21:01

Pozostało 580 znaków

Odpowiedz

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0