Vlákno názorů k článku
Chytřejší lidé nemají lepší hesla od Pejda - Na aplikaci, kterou jsem nedávno vyvíjel, jsem hesla...

Na aplikaci, kterou jsem nedávno vyvíjel, jsem hesla před uložením do databáze na serveru nechal každé jinak náhodně upravit a postup jak je upravit se ukládá vedle hesla v databázi.. Takže i kdyby bylo heslo 'password', tak hash slovníkem nikdo jen tak nerozlouskne.. Samozřejmě se ale nedovím, kolik uživatelů má stejné heslo apod., jako to udělali tito koumáci.

:-DDDDDDDDDD

skvelej napad)) ja mam na to vytvorenou vlastni metodu)

Mít jako heslo nějaké skutečné, třeba i jen české slovo asi nebude to pravé ořechové a ještě jen osm znaků. Ale to už je na každém a podmínkách k útoku hrubou silou.

Co píšu je, že v případě, že by člověk měl heslo 'password', tak se před zahashováním upraví na delší směs náhodných znaků. Takže kdyby někdo získal hash, tak stejně potřebuje znát postup jak jej upravit, který je v databázi a ve zdrojáku je, jakým způsobem se s tím postupem pracuje. Nepíšu, že lidé mají mít osmimístné hesla a skutečné slova. Jen že při osmimístném heslu se zahashovává mnohem delší směs různých znaků, takže obyčejnou slovníkovou metodou to člověk nerozlouskne.

Upravit samozřejmě heslo, ne hash.

:-DDDDDDDDDDDD

Me napada k tomu jenom jedno rict - prosim pouzivej kondomy.

No nevím, není to on? :-D

Takze mas hesla ulozene v plaintext, ale kurvis je nejakym nesmyslem ktereho vstup ukladas do te same databaze jako hesla... Vyborny napad. Mohu poprosit o nazev aplikace?

Ono to není uložené v plain textu. Normálně se ten plain text upraví tou metodou a hned poté ještě zahashuje. Aplikaci jsem nepustil do světa, jen jsem se zatím učil vyvíjet aplikace na android a server mi běží doma na RPi, kde jsme zatím jediní, kdo tento můj výtvor používá. Bohužel. :D

:-DDDDDDDDDDDDDD

A exhibice demence úspěšně pokračuje.

https://en.wikipedia.org/wiki/Salt_(cryptography)

Gratuluji!

Bohudík ;) Ale žádný učený z nebe nespadl. Za pár let se tomu, cos spáchal, sám budeš smát, až budeš na své začátky vzpomínat.

Nevím, jak si tím můžete být jist. I kdyby někdo databázi získal, tak memá tušení, jak to můj kód přesně zpracovává. Neříkám, že je to nerozbitelné, ale prográmek stejně vznikl hlavně na procvičení gui a síťové vrstvy.

Výborně, vynalezl jsi sůl. Když mi bylo 14, taky jsem vynalezl několikrát kolo, asi 2x i čtverec. Koukni na bcrypt.

Jde o to, že ji tady lidi o kterých se píše ve článku zřejmě nepoužívají, nebo používají pro všechny stejnou.. :D

"Pokud pak unikne databáze, útočník nezná pepř a tím pádem nemůže na hashe útočit hrubou silou ..." Hrubou silou útočit může podle libosti, ale nemůže použít předem vytvořenou databázi heslo-hash, a ani pouhý seznam hesel k vyzkoušení mu moc nepomůže. Musí mechanicky vyzkoušet všechny kombinace "pepř"+"heslo", nebo si musí najít jiným cíl, který nepoužívá sůl ani pepř. (Například Windows XP, ten má směšně slabý hash, který ještě před zahešováním heslo rozdělí na dvě sedmimístná hesla a konvertuje do uppercase. Tabulka pro všechna hesla složená z písmen, čísel a 32 dalších znaků má jen 7,5 GB).