|
TwojePC.pl © 2001 - 2026
|
 |
A R C H I W A L N A W I A D O M O Ś Ć |
 |
| |
|
[OT] Hasła i loginy na stronach/boardach/forach itp. - czy admini mogą je podglądać? , Auror 23/11/04 14:36
Witam,
dzisiaj chcę opisać problem, który mnie nurtuje od dłuższego czasu.
Mam 3 konta pocztowe (do niedawna 4), jestem zarejestrowany na dziesiątkach boardów i for (chociaż korzystam regularnie z 5-6) oraz serwisach (allegro, banki internetowe).
Moje pytanie brzmi czy mój login, a co ważniejsze - moje hasło jest jakoś zabezpieczone przed administratorami tychże boardów czy for?
Chodzi mi o to że:
Mam sobie xywę Auror (stosuję ją czasami z różnymi kombinacjami cyferek - bo czasami taki login jest już zajęty) i używam jej jako nazwy profilu na np. prywatnym boardzie traktującym o grach komputerowych ......... czy czymkolwiek innym. Do mojego loginu podaje jakieś hasło.
Powiedzmy że gość, który założył tego boarda wejdzie na np. pocztę onet.pl/wp.pl/interia.pl/o2.pl czy allegro, albo (nie daj Boże!) na jakieś wirtualne konto bankowe i wyszuka, bądź po prostu wpiszę moją xywę i zastosuje to samo hasło, którego ja użyłem rejestrując się na jego serwisie!!!
Bo teoretycznie jest to możliwe, nie?!
Oczywiście z przeprowadzaniem operacji na kontach bankowych nie jest tak łatwo - mam konto w mBanku i tam wogóle mój login to kod cyfrowy, a do przeprowadzenia jakiejkowiel opercji potrzebny mi jeszcze specjalny, jednorazowy kod, który dostałem od banku.
Ale zagrożenie chyba istnieje jeżeli chodzi o włam na nasze konto mailowe, gg, tlenowe czy na inne boardy/fora internetowe?
Jest niby prosty sposób żeby się przed tym zabezpieczyć - używać co najmniej różnych haseł na róznych serwisach, a najlepiej i różnych loginów ......... i tak właśnie robiłem, ale ilość tych loginów i haseł jest tak dużo że już nie pamiętam co, gdzie i jak?
Teraz znowu chciałem się zalogować na to**ent.org.pl i za jasną cholerę nie pamiętam swojego loginu (o haśle już nie mówiąc!). Inną kwestią jest że chyba zlikwidowali wszystkie konta, ale nawet jakby tego nie zrobili to ja i tak nie pamiętam :-)
mniejsza z to**ent.org.pl - chodzi wogóle o tą kwestie bezpieczeństwa kont na internecie.
Powiedzcie czy Wy też staracie się używać wszędzie różnych loginów i haseł? Mi już łeb od tego pęka.
A może to nie ma żadnego sensu, bo Ci administratorzy tych prywatnych for/boardów nie mają wglądu do kodu bazy danych? W co raczej nie wierzę (php, sql i inne tego typu wynalazki są mi obce) ...
A może macie jeszcze jakieś inne sposoby na zabezpieczenie swoich kont?portnicki.com
+++++++++++++
portnicki@gmail.com - no jasne ze tak... , Nebuchadnezzar 23/11/04 14:44
to jeszcze zalezy od moralnosci programisty piszacego skrypty danego boarda, ale wydaje mi sie ze np DYD spokojnie moze ci powiedziec jakie masz haslo na TPCBoard. Ja administruje malym portalikiem (sciagnietym z netu oczywiscie) i mam wglad w hasla userow.dupa na stołku, morda przy korycie... - hmm , akustyk 23/11/04 14:56
jesli admin zapisuje w bazie danych tylko hash hasla, to go nie odgadnie. co nie znaczy, ze nie moze sie zalogowac jako uzyszkodnik ;-)http://akustyk.magma-net.pl - w phpbb najpopularniejszym chyba systemie for , Grocal 23/11/04 15:17
... haslo jest haszowane jednokierunkowa funkcja md5(), a co za tym idzie w bazie jest zlepek cyfr 0-9 i liter A-F. Nie da sie znalezc funkcji odwrotnej do funkcji jednokierunkowych, a wiec Twoje haslo jest nie do odgadniecia.
Inna sprawa jest np. zmodyfikowanie forum tak, ze w momencie logowania haslo jest przekazywane do jakiejs innej funkcji, ktora zapisze je do bazy w formie nie potraktowanej md5(). Patrze w kod phpbb i na pierwszy rzut oka jest to mozliwe...Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - hmm , akustyk 23/11/04 16:33
"Nie da sie znalezc funkcji odwrotnej do funkcji jednokierunkowych, a wiec Twoje haslo jest nie do odgadniecia." - to nie do konca tak. mozesz wziac slownik i hashowac po kolei wszystkie slowa z ewentualnymi modyfikacjami (typu dodanej cyferki czy przekreconych liter). sposob niby glupi, ale uzytkownicy czesto tez sa, wiec latwo trafic w haslo. biorac dodatkowo pod uwage paradoks urodzinowy, bardzo latwo w taki sposob znalezc haslo __jakiegos__ uzytkownika. mimo jednostronnosci funkcji hashujacej.http://akustyk.magma-net.pl - nie da sie znalezc funkcji odwrotnej.. , Grocal 23/11/04 19:39
... napisalem i o to mi chodzilo przede wszystkim. Metoda slownikowa albo brute-force jest dobra dla kazdego sposobu kodowania, tylko czy sie oplaca? Tak czy inaczej mojego hasla slownikiem raczej nie zlamiesz ;)Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - hmm , akustyk 23/11/04 20:25
OK. ja tylko podalem kontrargumentacje do drugiej czesci tego zdania. niemoznosc odgadniecia hasla bynajmniej nie jest prawda, mimo jednokierunkowosci. ale to juz dzielenie wlosa na pol i zabawa w naukowe piep... w bambus ;-)http://akustyk.magma-net.pl
- md5 , Yoghurt 23/11/04 16:38
majac hash md5 mozna na dzisiejszych komputerach domowych stosunkowo szybko znalezc to haselko metoda slownikowa lub brute force (wszystko zalezy od tego jak wymyslne haslo zastosowano). w sierpniu tego roku chinczycy udowodnili ze sa w stanie zlamac md5 (znalezc ciag znakow ktoremu odpowiada dany hash md5) na klastrze IBM P690 w ciagu 1 godziny.root is a state of mind - a widzisz... o tym nie wiedzialem... , Grocal 23/11/04 19:48
w sumie to juz 17 miesiecy od kiedy napisalem magisterke z kryptografii a md5() zlamano w sierpniu tego roku, wiec nie wiedzialem.. Oddaje honor! :) MD5() jest to d... ale w PHP na czysto nie ma nic lepszego.
W ostatecznosci mozna napisac wlasna funkcje haszujaca. Ale w sumie nie chodzi w tym watku o to jak zabezpieczyc, tylko czy admini sa uczciwi. Tak naprawde, to od nich wszystko zalezy, wystarczy bowiem przy logowaniu pobrac usera i haslo i wrzucic sobie gdzies do pliku/bazy/gdziekolwiek i miec.
Rada jest jedna: uzywajmy hasel trudnych do zgadniecia slownikowo/brute-force, dlugich i niepowtarzajmy ich w roznych miejscach.
Jesli chodzi o mnie, to na forach uzywam kilku, niezbyt skomplikowanych hasel, ale hasla na konta pocztowe czy do banku sa juz wypasione ;)Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - hmm , akustyk 23/11/04 20:24
gdzie pisales magisterke z krypto?http://akustyk.magma-net.pl
- zawsze mozna haslo przechwycic... , xmac 23/11/04 21:06
jak nie z bazy, to podczas logowania, admin moze sobie przeslac je do pliku, innej bazy... mozliwosci cala masa, a do zrobienia bardzo proste
dlatego czekam na rozwiazania chipowe... gdzie hasla beda za dlugie, zeby oplacalo sie je lamac... wiadomo nie jest to rozwiazanie idealne...
na swietny pomysl wpadl kiedys novell i napisal system, ktory przechwytywal logowanie do innych systemow i logowal cie automatycznie do nich wszystkich po rozpoznaniu cie po odcisku palca, czy jakims innym sposobem. wystarczylo nauczyc system jak ma sie zalogowac, a on sam dbal o regularne zmiany hasel, a byly one tak zlozone, ze sam bys ich nie spamietal, przez co ich zlamanie bylo bardziej czasochlonne
niestety najlepszym sposobem zabezpieczenia sie przed wlamaniami jest stosowanie zupelnie roznych haseldual&mobile power
XMAC - A ja używam tych samych , Robak 23/11/04 21:22
loginów i chaseł, i tak często się myle ( tu chodzi o loginy z numerkami ) bo jak bym miał zapamiętać na którym forum które hasło. Inna sprawa z pocztą tu mam już inne ( i oczywiście banki też ). - sciana wschodnia... , Grocal 24/11/04 00:21
Politechnika Bialostocka, Wydzial Informatyki
Temat: "Kryptosystemy strumieniowe z nieliniowymi algorytmami generowania ciagow bitow kluczy"
(zawsze uwielbialem mowic jaki mam temat, bo ludziom szczeka opadala od tego tekstu ;) )Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - mialo byc pod "hmm - Akustyk" , Grocal 24/11/04 00:21
123..456..789..Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - hmm , akustyk 24/11/04 00:34
pytam z ciekawosci, bo ja tez posrednio w branzy, tyle ze we Wrocku. siedze w grupie badawczej, ktora walczy w tej tematyce. sam nie jestem bezposrednio zaangazowany w kryptografie, ale zajmujac sie zagadnieniami zwiazanymi z bezpieczenstwem i rzetelnoscia algorytmow w sieciach P2P sila rzeczy mocno sie o krypto ocieram ;-)
pozdrowienia z Dolnego Slaska :Dhttp://akustyk.magma-net.pl
- a zauwazylem.... , Grocal 24/11/04 00:44
... bylem na Twej stronce... :) z reszta na www.cyberfoto.pl tez mozna Cie znalezc (mnie z reszta tez... z Canonem A75, od wrzesnia). A co do kryptografii, to przyznaje, ze to od zawsze byl moj ulubiony temat z dziedziny informatyki... Pisanie pracy bylo przyjemnoscia. Ale dalej juz tego nie ciagne. Zostalem programista webowym i takim tam freelance'rem.
Pozdrowienia (takze dla zony ;) )Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - no kurde wsciekne sie na tego firefoxa... , Grocal 24/11/04 00:45
... mialem sie z nim pogodzic ale jak widac nie udalo sie... wracam do Maxthona... Przez Firefoxa poprzedni post nie trafil pod Akustyka... goddamit ;)Na pewno, na razie, w ogóle...
Naprawdę, naprzeciwko, stąd...
Ortografia nie gryzie! - hmm , akustyk 24/11/04 00:52
csiii... nie bluznij, Firefox rocks, tylko skrypty pisane pod Explodera.
programista webowy powiadasz... hmmm... ;-)))
pozdrawiam rowniez. co do zony to nie wiem, ale jesli tak to oczywiscie rowniez :-)http://akustyk.magma-net.pl
- a mi się podoba jak PLUS wysyła na maila numer sesji a ten późnije idzie żywym tekstem , Chrisu 24/11/04 13:23
jako link... /// GG# 1 110 10 10 11 100 10 \\\
|
|
|
|
 |
All rights reserved ® Copyright and Design 2001-2026, TwojePC.PL |
 |
|
|
|
