اطلاعیه

Collapse
No announcement yet.

کدوم امن تره ؟ md5(md5($pass)) یا استفاده از salt

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • کدوم امن تره ØŸ md5(md5($pass)) یا استفاده از salt

    نظر شخصی و تجربی دوستان رو می خوام بدونم
    کدوم امن تره ؟
    کد PHP:
     md5(md5($pass)) 
    یا استفاده از salt

  • #2
    استفاده از Salt سرعت کرک رو کمتر میکنه
    اما دسترسی به سورست داشته باشن بازم میشه کرک کرد
    بهترین راه اینه که چند بار اینو هش کنی پی در پی ...
    اما بازم سورست نا امن باشه ...
    ! Security is never Complete

    Comment


    • #3
      بحث دسترسی به سورس نیست که البته اگر کسی به سورس رو سرور دسترسی داشته باشه که دیگه پسورد رو کرک نمی کنه
      بحث سر اینه که کدوم روش باعث میشه هش بدست آمده سخت تر کرک بشه تجربیات و نظرات شخصی شما رو خواهانیم

      Comment


      • #4
        سلام

        همون طور که دوستان اشاره کردند استفاده از سالت سرعت کرک رو پاپین میاره اما نه اون چنان که نفوذگر نتونه کرک کنه ! شما به ترتیب به الگوریتم های استفاده شده در وی بی و مای بی بی توجه کنید :

        کد:
        md5(md5($password)$salt)
        کد:
        md5(md5($salt).md5($pass))
        توی این دو الگوریتم با این که از ۲ بار md5 پشت سر هم به همراه سالت استفاده شده اما باز هم نمیشه به عنوان یک الگوریتم قوی ازشون استفاده کرد !

        به نظر من تنها کمکی که سالت می کنه اینه که جلوی جدول های رنگین کمانی رو می گیره . مخصوصا که توی این دسته از سیستم های مدیریت محتوا هر یوزر یک سالت خاص برای خودش داره ...

        ضمنا اینو خودتون هم می دونید اما حتی اگر از قوی ترین الگوریتم هم استفاده کنید اما پسوردتون یک پسورد ضعیف باشه باز هم شانس کرک برای نفوذگر به شدت بالا میره

        بحث دسترسی به سورس نیست که البته اگر کسی به سورس رو سرور دسترسی داشته باشه که دیگه پسورد رو کرک نمی کنه
        لزوما این طور که شما میگید نیست ! برای مثال بار ها دیده شده یکی از فرومی دسترسی میگیره با این که یوزر ادمین رو هم داره ( یا دسترسی های دیگه ) اما میاید از دیتابیس بک آپ می گیره و پسورد بقیه ی یوزر ها رو هم کرک می کنه ! این مورد توی این حالت خودش رو نشون میده

        اما دسترسی به سورست داشته باشن بازم میشه کرک کرد
        دقیقا اما نه برای کسی که از چنتا برنامه ی آماده ( که یک سری از الگوریتم ها به صورت پیش فرض داخلشون هست ) استفاده می کنه
        Last edited by E2MA3N; 02-07-2014, 02:50 AM.

        Comment


        • #5
          دسترسی به سورس یعنی دسترسی به ابگوریتم
          یعنی دسترسی به فابل برای قرار دادن بک دور
          از هش های یونیکسی مثه md5 unix استفاده کن سرعت کرکش خیلی پایینه
          پسوردت هم حتما حتما بلند و با استفاده از کاراکترهای خاص باشه
          راه دیگه : خودت یه الگوریتم بنویسی
          ! Security is never Complete

          Comment


          • #6
            در واقع من می خواستم یک الگو برای cms خودم انتخاب کنم و الگو هایی که ازvb و mybb گذاشتین به نظرم به حد کافی امن میکنه کار رو
            البته قرار نیست کسی به هش های cms من برسه ها

            Comment


            • #7
              نوشته اصلی توسط E2MA3N نمایش پست ها
              سلام

              همون طور که دوستان اشاره کردند استفاده از سالت سرعت کرک رو پاپین میاره اما نه اون چنان که نفوذگر نتونه کرک کنه ! شما به ترتیب به الگوریتم های استفاده شده در وی بی و مای بی بی توجه کنید :

              کد:
              md5(md5($password)$salt)
              کد:
              md5(md5($salt).md5($pass))
              توی این دو الگوریتم با این که از ۲ بار md5 پشت سر هم به همراه سالت استفاده شده اما باز هم نمیشه به عنوان یک الگوریتم قوی ازشون استفاده کرد !

              به نظر من تنها کمکی که سالت می کنه اینه که جلوی جدول های رنگین کمانی رو می گیره . مخصوصا که توی این دسته از سیستم های مدیریت محتوا هر یوزر یک سالت خاص برای خودش داره ...

              ضمنا اینو خودتون هم می دونید اما حتی اگر از قوی ترین الگوریتم هم استفاده کنید اما پسوردتون یک پسورد ضعیف باشه باز هم شانس کرک برای نفوذگر به شدت بالا میره



              لزوما این طور که شما میگید نیست ! برای مثال بار ها دیده شده یکی از فرومی دسترسی میگیره با این که یوزر ادمین رو هم داره ( یا دسترسی های دیگه ) اما میاید از دیتابیس بک آپ می گیره و پسورد بقیه ی یوزر ها رو هم کرک می کنه ! این مورد توی این حالت خودش رو نشون میده



              دقیقا اما نه برای کسی که از چنتا برنامه ی آماده ( که یک سری از الگوریتم ها به صورت پیش فرض داخلشون هست ) استفاده می کنه
              در این حالت (داشتن سورس و بک آپ و ادمین ها) و دوبار ام دی5 و سالت سریعترین روش برای بدست آورد پسوردها چیه؟ مشکلیه که یکی از دوستام باهاش برخورد کرده

              Comment


              • #8
                کرک !
                با بک آپ نمیشه کاری کرد جز پیدا کردن الگوریتم و کرک کردن
                اما اگه شل داشته باشی میشه بکدور گذاشت
                ! Security is never Complete

                Comment


                • #9
                  در این حالت (داشتن سورس و بک آپ و ادمین ها) و دوبار ام دی5 و سالت سریعترین روش برای بدست آورد پسوردها چیه؟ مشکلیه که یکی از دوستام باهاش برخورد کرده
                  سلام . برنامه که زیاد هست حتی خودتون هم می تونید بنویسید اما شاید بهترین hashcat باشه

                  اگر تعداد یوزر ها کم هست دستی هش و سالت رو بیرون بکشید و مثلا به فرم hash:salt ذخیره کنید و به برنامه بدید

                  اما اگر تعداد یوزر ها بالا هست ابتدا از تیبلی که هش و سالت داخلش هست یک بک آپ بگیرید ( توجه داشته باشید که معمولا داخل این تیبیل اطلاعی همچون ایمیل / تاریخ عضویت / آی پی و ... هست که باید اون ها رو پاک کنید )

                  تو مرحله ی بعد هم هش ها رو همراه با سالت ( مثلا با همین فرم hash:salt ) به hashcat بدید .

                  Comment


                  • #10
                    تو بحث کرک و ... که میگید یه خاطره بگم شاید همیشه نیازی به کرک نباشه . یه روز از یکی از سرور های خاص دسترسی گرفته بودیم و دقیقا پسورد های کاربران برامون ارزش داشت نه شل و ... که همه پسورد ها هم هش شده بودن با یه سری الگوریتم خیلی قر و قاطی . ولی مشکل پورتال این بود که اگر فراموشی پسورد میزدی پسورد رو به ایمیل ارسال میکرد با یه دستور اپدیت تمام ایمیل های کاربران رو به یه ایمیل تغییر دادیم و همه رو فراموشی پسورد زدیم . در کل همیشه نیازی به کرک کردن نیست پس اگر دنبال امن کردن هستید به فکر اینجور کارها و ۱۰۰ ها کار دیگه ای که میشه انجام داد هم باشید
                    و باز هم جمله معروف خودم که هدف هکر از دسترسی به اون سیستم نیاز هاش رو به هر جور دیتایی مشخص میکنه حتی ساعت ورود و خروج کاربر به سیستم !
                    آب طلب نکرده، همیشه مراد نیست گاهی نشانه ایست که قربانی ات کنند... !

                    Comment

                    Working...
                    X