hvorfor kryptere hwt ikke passwords

Diverse d.  17. januar. 2016, skrevet af rmk
Vist: 2469 gange.

rmk
 
Overclocker
Tilføjet:
17-01-2016 21:02:57
Svar/Indlæg:
72/9
Lige modtaget 2 mails sendt fra hwt omkring havd min kode er (har ikke selv bedt om dem.)

hvordan kan det være at hwt ikke har krypteret brugernes passwords i databasen?

jeg var hurtigt inde og ændre mit
MadsAG
 
Elitebruger
Tilføjet:
17-01-2016 21:28:13
Svar/Indlæg:
5421/53
Passwords skal ikke krypteres, men derimod hashes. Og saltes.

Kryptering hjælper jo ikke hvis nogle får fat i nøglen. Med ordenlig hashing kan du ikke komme tilbage til det oprindelige, med mindre du bruteforcer.


Svaret blev redigeret 1 gang, sidst af MadsAG d. 17-01-2016 21:29:36.


rmk
 
Overclocker
Tilføjet:
17-01-2016 21:29:16
Svar/Indlæg:
72/9
#1

MEGET.

og gad godt vide om nogen har prøvet på at få min kode eller lign siden jeg modtager 2 mails med den. i samme minut.


Sven
 
Superbruger
Tilføjet:
17-01-2016 21:54:52
Svar/Indlæg:
3661/82
#1
Enig
alt ndet end er hashes brugerns kodeord med salt er simpelthtn amatoer agtig og uansvarligt

til alt helde bruger jeg pwdhash plugin som prehasher alle mine indtasted password med sites som hash.

Kan klart anbefales
https://www.pwdhash.com/


Dog ikke en undskyldning for ikke at have sit site til at have korrekt kodeords politik


rmk
 
Overclocker
Tilføjet:
17-01-2016 21:56:26
Svar/Indlæg:
72/9
#3

kender den ikke..

hvad så når du logger på fra andre steder?


phansen
 
Superbruger
Tilføjet:
17-01-2016 22:39:09
Svar/Indlæg:
492/0
#3

Dit login på hwt bliver ikke beskyttet yderligere af det program. Det er vi enige om? Det kan hjælpe med at beskytte dig, hvis du bruger det samme password alle steder.


anru2007
 
Elitebruger
Tilføjet:
18-01-2016 00:35:16
Svar/Indlæg:
5891/423
Cloudflare strict SSL er et fint gratis alternativ, hvis hwt overvejer det :)

Databasen kan godt være krypteret, men ligenu er forbindelsen mellem bruger og database ikke krypteret.



Sven
 
Superbruger
Tilføjet:
18-01-2016 06:04:46
Svar/Indlæg:
3661/82
#5
Det goer kryptering eller hashing heller ikke paa sitet.

Det er praecis samme effekt som sever based hashing, udover at man ikke skal stole paa at sites some hwt goer det for en. Hvilket saa har vist man jo netop ikke kan.

#3 du skal have plugin installer der hvor du logge paa fra. Eller bruge PWDhashsite som ogsa tilbyder manual hashing af dit password i noedstilfaelder.

Kodeords PREhashing burde i min bog vare standard i alle nyere browser pga det mindsker at ens sikkerhed er baeseret paa tillid til at modparten kan tage sig af ens password korrekt. Hvilket Saa Hwt har failet. og for lidt under et aar tids siden blev det ogsaa afsloret et andet stoere dansk gamer site havde password gemt i cleartext.



Derudover burde man ALDRIG sende en brugers konto password over en email. Hvis det er tilfaeldet , som det lyder som om paa op, saa er det da ogsaa en kaempe lemfaeldig haandtering med brugernes sikkerhed.


Svaret blev redigeret 2 gange, sidst af Sven Bent d. 18-01-2016 06:12:01.


rmk
 
Overclocker
Tilføjet:
18-01-2016 09:50:13
Svar/Indlæg:
72/9
#7

det gjorde de. sendte det rent i mail. derfor jeg fandt ud af at deres databasen ikke har krypteret en kode.



phansen
 
Superbruger
Tilføjet:
18-01-2016 11:29:20
Svar/Indlæg:
492/0
#7

Det er ikke helt det samme. Hvis deres database bliver kompromitteret, så har hackerne dit passwword. Det står i klartekst i databasen - det ser blot "mærkeligt" ud.

Hvis hwt implementerer hashing på serversiden, så står det ikke i klartekst.


MadsAG
 
Elitebruger
Tilføjet:
18-01-2016 12:02:49
Svar/Indlæg:
5421/53
#8 Det kan jo netop godt været krypteret med en nøgle, så længe hwt har nøglen, så kan de få dit password tilbage. Derfor bruges kryptering ikke til passwords, for hvis hwt har nøglen, så kan andre jo også få fat i den.


anru2007
 
Elitebruger
Tilføjet:
18-01-2016 13:03:03
Svar/Indlæg:
5891/423
og igen handler det om hvilken algoritme der bruges. Hashing er jo bare for at part A og B ved der ikke er ændret i data på vejen. en RSA 1024bit algoritme burde kunne løse problemet


KiloDunse
 
Programmør
Tilføjet:
18-01-2016 13:42:36
Svar/Indlæg:
1605/96
Det eksisterende site bruger kryptering.

Det nye site benytter Password hashing.


Sven
 
Superbruger
Tilføjet:
18-01-2016 14:16:23
Svar/Indlæg:
3661/82
#9 hvis de har kompromitteret password databasen har de ikke brug for mit password laengere. De har allerede et hul ind til hwt.

hele ideen bag hashing af password er netop at soerge for at kompromittering af et site ikke kan bruges til at komme ind paa andre af burgernes konti.

nevet the less stadigvaek milevidt bedre end ikke at koere med det plugin.


#11
Netop.
Ved hashing kan du checke om password er korrekt UDEN at gemme info som kan bruges til brugerne konti andre steder
du gemmer blot hashet (med salt) paa serveren

hvis du kun bruger kryptering, saa hvor der er adgang til serveren vil en hacker jo bare stjaele noeglen sammen med de krypteret data.
saa laenge krypteret data og noeglen gemmes samme sted er det jo alligevel ikke mere sikkert.
Det er saa irrelevant hvilken kryptering du bruger.


Kryptering bruges nar da skal sendes sikkert til en modpart og skal kunne aflaese igen.
Hashing skal bruge ved verificering af data og password verificering er jo netop... verificering.
hele ideen bag sikeropbevering er NETOP af password ikke kan aflaesse igen men kun verificeret mod det site alene


Svaret blev redigeret 2 gange, sidst af Sven Bent d. 18-01-2016 14:20:51.


phansen
 
Superbruger
Tilføjet:
18-01-2016 14:24:47
Svar/Indlæg:
492/0
#13

Jeg ville bare pointere, at der er stor forskel på serverside hashing og det, du gør nu.

En hacker kan også sagtens få adgang til databasen uden at kunne ændre på den. Er passwordet således gemt i hash-form, vil han ikke kunne bruge det til at logge ind med. Det skal i så fald først bruteforces.


#15
rmk
 
Overclocker
Tilføjet:
18-01-2016 21:04:08
Svar/Indlæg:
72/9
Da jeg skrev kryptering, mente jeg self. hashet det. glemte lige da jeg skrev at det var et IT forum ;)