Hacker қандай сценарийде кестені алады, бірақ PHP коды емес пе?

Жақсы, сондықтан мен тұздың құндылығын түсінемін.

Мен құпия сөздерді орнататын негізгі аутентификация схемасын орнатып жатырмын және пайдаланушыларға парольдерді басқа торап үшін пайдалануы мүмкін нәрсе ретінде орнатуға мүмкіндігі жоқ.

Сонымен, тұздың нақты пайдасы қандай?

Қандай жағдайларда біреу менің қолданушы кестемді бұза алады, бірақ барлық деректермен немесе кестедегі сиқырды көрсететін PHP кодымен қалған кестелерге қол жеткізе алмайды?

Мен тұзды пайдалану шынымен де маңызды екенін анықтауға тырысамын.

Рахмет

5
Мүмкін, сіз бұл сұраққа басқа жауапты таңдауыңыз керек.
қосылды автор rook, көзі
Егер сіздің пароль кестеңіз ұрланған болса, сіздің пайдаланушыларыңыз массивті емес әсер етпеуі үшін тұз маңызды (олар осы сценарийде сіз үшін дереу құпия сөзді өзгертуді мәжбүрлеу керек) зиянды мүмкіндігінше шектеу үшін). Сіз апаттың қалай болғанын білесіз? Сіз қандай жағдайда қауіпсіздік жастықшасының сізді автокөлікке орнататын емес туралы белсендіріп, ойланатын болады?
қосылды автор Jon, көзі

4 жауаптар

SQL Injection файлдарын жүктеу арқылы файлдарды оқу үшін қолдануға болатындығын атап өткен жөн деректерді жүктеу . Шабуылдаушы белгісіз тұз құндылығы бар болса, бұл шабуылдаушыны кәдімгі мәтінді алу үшін әлдеқайда көбірек болжам жасауға мәжбүр етеді. Тұздану бұл жағдайды ешқашан ескермейді. Негізгі идея екі нәрсені жүзеге асырады:

1) Бір парольмен екі қолданушы әр түрлі парольді хэштерге ие болады. Міне, сондықтан кейбір тұзды жүйелер өте аз тұздар, мысалы, бірнеше байт.

2) Шабуылдаушыны үлкенірек радуга кестелері жасауға мәжбүрлеу. Бұл жағдайда кем дегенде 8 байт қажет. Көптеген жағдайларда тұздардың саны алдын-ала есептеуді мүлдем мүмкін емес етіп жасайтын хабарламалар дайджесті функциясы ретінде бірдей биттерді көресіз.

Тұзды алғаннан кейін құпия сөзді күштеу үшін John The Ripper құралын қолдануға болады. GPU-лер жиі қатты тұздалған парольдерді бұзу үшін қолданылады. Bcrypt() FPGA және GPU-дің жоғары жад талаптарына сәйкес қорғау кезінде жақсы екенін атап өткен жөн. Құпия сөзді сақтауға арналған жадтың қатаң функцияларын пайдалану өте құпия сөзбен сақтау жүйесін береді .

2
қосылды

Тұзды парольдермен (және оларды бірінші кезекте хэширлеу) үлкен мәселе, себебі көптеген адамдар ... шын мәнінде барлық адамдар ... өз паролін қайта пайдаланады. Сонымен қатар, көптеген пайдаланушы кестелерінде электрондық пошта және/немесе пайдаланушы аттары сақталады. Сондықтан, кез-келген адам сіздің пароліңізді алып отыратын болса, зияныңыз тек сіздің сайтыңызда жасалмаған, сонымен қатар кез-келген жерде сол пайдаланушыларға оңай қаралатын жерлерге қол қойылған. Әдетте пайдаланушы кестелерінде сақталатын барлық деректермен бірге, зақымдану көбейіп кетуі мүмкін емес.

Қысқаша; жарамсыз парольдер тек пайдаланушыларға сіз элементтеріне қатынасуға мүмкіндік беріп қана қоймайды, бірақ олар кірген әрбір сайтқа клиенттердің қауіпсіздігіне әсер етеді.

Бірақ тақырып сұрағына жауап беру үшін; Сіздің дерекқорыңыз бұзылса, сіздің PHP кодыңыз да солай болуы мүмкін. Дегенмен, олар тек PHP кодынызға оқуға қол жеткізе алады, ал деректер базасының көпшілік деңгейлері қолданбаның жұмыс істеуі үшін INSERT/UPDATE кіруін талап етеді. Кейбір адамдар оқуға және жазуға SQL қолжетімділігін бөледі, бірақ бұл шын мәнінде көптеген жағдайларда шынайы болмайды, себебі сіз өзіңіздің пайдаланушыларыңыз тіпті кірмеген беттерде (есептегіштер, түймешіктерге ұқсас және т.б.) әрдайым INSERTING және UPDATE. .).

1
қосылды
Мәселен ... менің түсінігімді қалай жақсартуға болатынын түсіндіріп, 1-ді көре аламын ба?
қосылды автор Teekin, көзі

Егер сіз тұзбен кездейсоқ ASCII шырынын айтуға мүмкіндік берсеңіз, шабуылшыға тұзсыз кемірек үстеліне салыстырмалы түрде 256 есе асатын кесте қажет.

2 ASCII шұңқыр тұзына 65536 есе көп мөлшерде.

Нақты айтқанда, тұздарды неге пайдалану керек екенін көпшіліктің сөздікте тікелей айтылған сөздерді пайдалануы фактісі болып табылады. Менің қанша ақпаратым бар, бірақ менің ойымша, бұл көп нәрсе. Сондықтан, егер қолданылған кемпірқосақ кестелері болмаса да, шабуылдаушы бір уақытта құпия кішкене жиынтығын ғана «қатайтады». Егер сізде тұз жоқ болса, сөздікке шабуыл жасап, кейбір өзгертулермен (сандар, ...) және барлық құпия сөздердің 30% -ын тек бір сөздік шабуылымен айтуға болады. Тұзбен бұл бір жүгіруде болмайды, демек, әлдеқайда көп уақытты талап етеді, шабуылдаушы үшін оның мағынасы жоқ.

Сіздің басқа сұрағыңыз үшін:

шабуылдаушыға басқа кесте деректерін алуға кедергі келтірмейді. Бірақ, тұзсыз немесе тұзсыз парольдерді ештеңе асыра алмайды.

1
қосылды
-1 65536 радуга кестелері? NO sir, 2 шұңқыр тұзсыз болып табылады және қазірдің өзінде орташа өлшемді кемпірқосақпен жабылуы керек. Ең болмаса, ол қалай жұмыс істейтінін басқа адамдарға айтып бермес бұрын «кемпірқосақ» туралы оқыңыз.
қосылды автор rook, көзі
Мүмкін, сіз md5 туралы сөйлесіп жүрсеңіз, sha256 және т.б. сияқты хэште аласыз, егер ол 123456 түрі болмаса, түпнұсқа жолды табу өте қиын ...
қосылды автор Dejan Marjanovic, көзі
Бұл жаман емес, бұл ақылды ... Әрине, парольдерді тұздану керек, мен жай ғана таза md5-ны жаратуды оңай деп айтқанмын ... әр стандартты емес хэш/шифрлау жақсы ... Егер сіз Бұл не екенін білу.
қосылды автор Dejan Marjanovic, көзі
Менің айтқандарыма ешқандай айырмашылық жоқ. Сонымен қатар, бүгінгі күні бағдарлама хэштерді пайдаланса, мен бақыттымын. Тұзды жақсы болса. Мүмкін миллиондаған қосымшалар бар, олар тіпті ешқандай хэшті қолданбайды. Сондықтан sha256 тұздарды пайдаланбау критерийлері емес. Қалай болса да, sha256-да тіпті тұзды қауіпсіз пайдалану сіз үшін өте маңызды. Деректер көптеген жылдар бойы қауіпсіз болуы керек, ол зұлымдықтың паспорты қазірдің өзінде есептеп жатқанын біледі? :)
қосылды автор evildead, көзі
сіз қауіпсіздіктің белгісіздігін білдіресіз бе? Мен криптографтар қол жетімді емес және тексерілмеген кез-келген шифрлау/хешинг алгоритмін ешқашан пайдаланбайтын болар едім.
қосылды автор evildead, көзі
Өкінішке орай, менің айтып кеткенімдей, кемпірқосақ кестесінің мөлшері ешқандай тұзсыз салыстырмалы түрде өседі.
қосылды автор evildead, көзі

Түсінгенімдей, бұл кесте бұзылған жағдайда, тұз пайдаланушы құпия сөздерінің кері есептеуін баяулатады. Тұздар парольге қосылады және құпиялы құпия сөздерді Rainbow кестелерінен немесе алдын-ала сақталған құпия сөздердің тізімдерінен анықтауға мүмкіндік бермейді.

1
қосылды
Мәселен, менің ойымша, мәселе сайттың бұзылғаннан кейін парольдерді кері есептеудің салдары болып табылады. Менің жағдайда ештеңе жоқ; қауіпсіздік шұңқырын түзету қажет және парольдер қайтадан жасалуы керек, бірақ менің жасаған 10-15 құпия сөзім бар біреу бұл проблеманы анықтап, түзете берсем, оларды жақсарта алмайсың ба? Жоқ тұз?
қосылды автор JohnCharles117, көзі