הצפנה כלשהי

[HOLD]

ציטוט:

נכתב במקור על ידי Shay Falador

בגדול לדעתי השיטה הכי פשוטה ויעילה זה להשתמש בhmac כשלכל אתר יש key ייחודי. מאוד פשוט ומאוד מאוד חזק.

אשמח אם תפרט יותר.

תודה.

[Shay Ben Moshe]

http://en.wikipedia.org/wiki/HMAC
http://www.php.net/manual/en/function.hash-hmac.php

בגדול השיטה מיועדת למקרים שאתה מתכנן להצפין עם salt ואני מאמין שsha1(pass.salt) חלש מhmac_sha1(pass, salt) באופן משמעותי. זו שיטה מאוד שימושית והמימוש שלה די קטן.
עם זאת בכדי למצות את הפוטנציאל המלא שלה בד"כ הsalt נשמר בנפרד לכל משתמש. אני משתמש בsalt 1 לכל המשתמשים שלי, זה עדיין חזק מאוד.

[~The_Sultan~]

תודה על כל הרעיונות, עזרו לי ובטח יעזרו להרבה אחרים

[AlmogBaku]

ציטוט:

נכתב במקור על ידי Kernel

אגב,

מומלץ להצפין את הקובץ עצמו עם Zend/ioncube/sourcegurdian.

טוב מה זה הבולשיט הזה?!
קודם כל זה לא הצפנה משוכללת שבנית! זה בסה"כ MD5 עם תוספת שלך או האש מסוג אחר..
קוראים לזה SLAT: הרעיון הוא להוסיף ערך משלך כך שיהיה מאוד קשה לאמוד את הקוד המקורי עם כוח ברוטאלי, וגם אם תגיע לתוצאה אמיתית סביר להניח שתסתבך.

אין צורך בשימוש ביותר מתוספת אחד והאש על הכל.. אם תוסיפו אולי עוד האש מסוג שונה זה יכול להיות חביב, יותר מזה זה מיותר

[~The_Sultan~]

ציטוט:

נכתב במקור על ידי Baku

טוב מה זה הבולשיט הזה?!
קודם כל זה לא הצפנה משוכללת שבנית! זה בסה"כ MD5 עם תוספת שלך או האש מסוג אחר..
קוראים לזה SLAT: הרעיון הוא להוסיף ערך משלך כך שיהיה מאוד קשה לאמוד את הקוד המקורי עם כוח ברוטאלי, וגם אם תגיע לתוצאה אמיתית סביר להניח שתסתבך.

אין צורך בשימוש ביותר מתוספת אחד והאש על הכל.. אם תוסיפו אולי עוד האש מסוג שונה זה יכול להיות חביב, יותר מזה זה מיותר

אם סתם תוסיף ערך משלך לסיסמאות של המשתמשים שלך, גם אם הוא יהיה קשה, עדיין תהיה סבירות גבוהה שמשתמשים בעלי אמצעים יפענחו אותו. בגלל זה יש כל מיני שיטות ועקיפות שצריך להשתמש גם בהן, כמו למשל שימוש ב-MD5+SHA1+UNIQID+מפתח שלך (שכדאי שיכלול תווים כמו ☺╚♀♫ ואותיות בעברית, פשוט כי בדר"כ לא מכלילים תווים כאלו בקבצי ענק).

[AlmogBaku]

ציטוט:

נכתב במקור על ידי ~The_Sultan~

אם סתם תוסיף ערך משלך לסיסמאות של המשתמשים שלך, גם אם הוא יהיה קשה, עדיין תהיה סבירות גבוהה שמשתמשים בעלי אמצעים יפענחו אותו. בגלל זה יש כל מיני שיטות ועקיפות שצריך להשתמש גם בהן, כמו למשל שימוש ב-MD5+SHA1+UNIQID+מפתח שלך (שכדאי שיכלול תווים כמו ☺╚♀♫ ואותיות בעברית, פשוט כי בדר"כ לא מכלילים תווים כאלו בקבצי ענק).

אז זהו.. שאתה טועה.
הפריצה בדרך כלל מתבצעת אחרי שכבר פרצו לך לשרת ורוצים לגלות בעזרת כוח בורטלאי מה פשר הסיסמה המוגנת. הפתרון בדרך כלל יהיה כוח ברוטאלי ובמקרים נדירות מאוד מאוד שחזור של ההצפנה(לא נתקלתי בזה עוד ל MD5).

הוספת סלט מסובך זה מגניב, אבל אין צורך לסבך עם איידי וכל מיני שטויות..
ולגבי UniqID. מה יקרה כשאנסה להתחבר כעבור דקה? איך הפעולה שלך תשחזק ותוסיף את אותו uniqID? האא.. תשמור בבסיס בנתונים? בזבוז ענק של משאבים לחינם.


*לסיכום: אין צורך להסתבך יותר מידי בסיסמא, וגם MD5 יספיק. אם תבנו פייסבוק או מערכת לבנקים.. אולי שווה להשקיע גם קצת מאות אלפי דולרים בפיתוח הצפנה אמיתית(כזו עם אלגוריתם מתמטי ולא ערבוביה של מתודות) או ברכישה.

[~The_Sultan~]

אני גם מדבר על כוח ברוטאלי כלשהו, אחרת מה חשבת?
בקשר לדוגמה בקוד שלי, זה לא מגניב, זה שימושי ונחוץ - אני אפילו אריץ את הקוד של SHA1 עד 1000 פעמים כדי להגן על הסיסמה. יש טבלאות מספיק גדולות שמוצאות המון המון סיסמאות, והעניין הוא להאט ככל שיותר את השיחזור של הסיסמה שלך, כי לבטל אותו לגמרי בחיים לא תוכל, וככל שהשיחזור יהיה יותר איטי, ככה להאקר יהיה יותר מבאס לשחזר והוא בסופו של דבר יאבד עניין.
בקשר ל-UNIQID זה לא בזבוז משאבים לחינם, שהרי מדובר פה באבטחה. בנוסף, אם אתה רוצה עדיין לחסוך את זה, אתה יכול להשתמש בשיטה שהביאו פה אני חושב שכוללת במקום UNIQID שימוש בפונקציה TIME של תאריך ההרשמה של המשתמש (ברוב המערכות זה שמור בכל מקרה, והנה אתה לא "מבזבז משאבים לחינם"..).

עוד משהו, מי לעזאזל משקיע מאות אלפי דולרים בפיתוח הצפנה אמיתית? לא יזיק להגן גם על אתרים שהם לא בנקים או פייסבוק לצורך העניין. אין מישהו שירצה להשאיר סתם חורי אבטחה במערכות שלו.

[AlmogBaku]

ציטוט:

נכתב במקור על ידי ~The_Sultan~

אני גם מדבר על כוח ברוטאלי כלשהו, אחרת מה חשבת?
בקשר לדוגמה בקוד שלי, זה לא מגניב, זה שימושי ונחוץ - אני אפילו אריץ את הקוד של SHA1 עד 1000 פעמים כדי להגן על הסיסמה. יש טבלאות מספיק גדולות שמוצאות המון המון סיסמאות, והעניין הוא להאט ככל שיותר את השיחזור של הסיסמה שלך, כי לבטל אותו לגמרי בחיים לא תוכל, וככל שהשיחזור יהיה יותר איטי, ככה להאקר יהיה יותר מבאס לשחזר והוא בסופו של דבר יאבד עניין.
בקשר ל-UNIQID זה לא בזבוז משאבים לחינם, שהרי מדובר פה באבטחה. בנוסף, אם אתה רוצה עדיין לחסוך את זה, אתה יכול להשתמש בשיטה שהביאו פה אני חושב שכוללת במקום UNIQID שימוש בפונקציה TIME של תאריך ההרשמה של המשתמש (ברוב המערכות זה שמור בכל מקרה, והנה אתה לא "מבזבז משאבים לחינם"..).

עוד משהו, מי לעזאזל משקיע מאות אלפי דולרים בפיתוח הצפנה אמיתית? לא יזיק להגן גם על אתרים שהם לא בנקים או פייסבוק לצורך העניין. אין מישהו שירצה להשאיר סתם חורי אבטחה במערכות שלו.

טוב, אני רואה שאני מדבר עם עצמי.

בכל אופן, אני נגד השיטה המגוכחת הזו. היא מיותרת, מנפחת סתם את מסד הנתונים, צורכת משאבים והרבה שאילתות, ואפשר להסתפק גם בפחות.

[~The_Sultan~]

לא מדבר עם עצמך, אתה פשוט לא מוכן להיפתח לדעה אחרת. היא לא מנפחת את מסד הנתונים (כמה זה כבר? 20 בתים פר שורה? תעשה לי טובה), היא לא צורכת הרבה משאבים (לוקח 0.02 שניות בערך לעשות את כל החישובים שנתתי פה * לולאה של 1000 לחיזוק - כלום! ובדקתי את זה כן?) ותמיד אפשר להסתפק בפחות, אבל האבטחה גם תהיה פחות.

[Kernel]

ציטוט:

נכתב במקור על ידי Baku

אז זהו.. שאתה טועה.
הפריצה בדרך כלל מתבצעת אחרי שכבר פרצו לך לשרת ורוצים לגלות בעזרת כוח בורטלאי מה פשר הסיסמה המוגנת. הפתרון בדרך כלל יהיה כוח ברוטאלי ובמקרים נדירות מאוד מאוד שחזור של ההצפנה(לא נתקלתי בזה עוד ל MD5).

הוספת סלט מסובך זה מגניב, אבל אין צורך לסבך עם איידי וכל מיני שטויות..
ולגבי UniqID. מה יקרה כשאנסה להתחבר כעבור דקה? איך הפעולה שלך תשחזק ותוסיף את אותו uniqID? האא.. תשמור בבסיס בנתונים? בזבוז ענק של משאבים לחינם.


*לסיכום: אין צורך להסתבך יותר מידי בסיסמא, וגם MD5 יספיק. אם תבנו פייסבוק או מערכת לבנקים.. אולי שווה להשקיע גם קצת מאות אלפי דולרים בפיתוח הצפנה אמיתית(כזו עם אלגוריתם מתמטי ולא ערבוביה של מתודות) או ברכישה.

מי שמשתמש בקודים כאלו, לפעמים עוסק ב-SMS RB, נתונים איישים של לקוחות, פורמים בעלי מוניטין(פרצו ל-50 משתמשים ופירסמו בשמם דברי נאצה, אני לא מתמצא בעריכת דין אבל דבר כזה בעייתי) ועוד.