mimo wszystko i tak ta "podstawowa metoda" to jedynie maly ulamek wychwyconych slabych hasel. Najprostsze rozwiazanie to zapisywanie w bazie informacji ktore hasla sa slabe ale to mija sie z celem jak pisalem wyzej. Pozatym zalozmy ze zrobilismy superdlugie haslo i supertajne a ma ono hash odpowiadajacy 6 literowym ciagom 'abcdef'. I teraz oni nam przysla ze mamy slabe haslo? Po hashu nie mozna jednoznacznie stwierdzic czy haslo jest slabe czy nie. Tak na prawde nie istnieje slabe haslo chyba ze da rade zakresem brute force je objac.

jak wspomniałem wcześniej :) moglibyście się gdzieś zgadać i naskrobać podręcznik "linux: podstawy administracji dla opornych" bo coraz lepiej Wam to idzie :D

To tak trudno po prostu w bazie danych dodać kolumnę któa (jedynie przy pierwotnym zapisywaniu hasła do bazy danych) pamiętałaby 'trudność' hasła? Kolumna np. zawierła by w skali 1-10 'trudność' hasła, nikomu nic po tym. A hasło byłoby potem haszowane md5 czy SHA i spokój...

> Z hasha nie da się wywnioskować,
> czy hasło jest proste, czy skomplikowane.

Nieprawda. Na czym polegają ataki urodzinowe?

Polecam poczytać o takiej samej luce w zabezpieczeniach serwisu Wiadomosci24.pl: http://www.wykop(...)sci24-pl

oj, wygenerowali liste wszystkich hashow dla słów długości mniejszej niż 5 i porównali... jest tego 300mln, wiec wykonalne, moze nawet 6 literowe sobie wygenerowali...

Ale zrozum, że gdyby mieli już od początku sprawdzanie trudności hasła, to mogliby (i powinni) już przy rejestracji informować użytkownika, że hasło jest zbyt proste.

Po prostu porównali hashe haseł użytkowników z hashami słów ze słownika.

@st3fan

Chyba nie przemyślałeś wszystkiego do końca. Jeżeli salt jest np. intem, to spokojnie może być różny dla każdego usera. Przeprowadź sobie wtedy atak słownikowy na bazie x mln userów, nawet po 17, proszę bardzo.

A w sprawie trzymania haseł w formie niezakodowanej: fajnie, fajnie, ale w takim dużym systemie zawsze jest coś do poprawienia, zmiany, ponownego przetworzenia, itp. Wobec tego, zwykle (mówie z doświadczenia z podobnym softem) ilość osób z dostępem do bazy wzrasta w sposób niezbyt kontrolowany. Hasło do bazy nie jest wtedy jakąś dużą przeszkodą.

Pozdr

saltowanie hasha?
Po naszemu się nie dało napisać?

Hehe, Piotr Konieczny - "ekspert"

Jakoś mnie to nie dziwi. Jakiś czas temu na forum SuperSprzedawców wybuchła mała afera, po tym gdy okazało się iż w pomocy w zrzutach ekranowych występowały dane jednego ze sprzedawców. Wygląd był identyczny z tym co widzi użytkownik swojego konta, wniosek był jeden byle admin ma pełny dostęp do każdego konta, może dowolnie zmieniać w nim dane (adres, telefon, konto bankowe), wystawiać aukcje itd.
Żeby było zabawniej dochodzi do tego kwestia admina prowadzącego działalność na allegro mającego status SS.
Sami wyciągnijcie z tego wnioski. Moim jest to przegięcie i jak można mówić o bezpieczeństwie skoro "admin może wszystko".

salt (z ang sól) - chodzi o dodanie do hasła jakiegoś ciągu znaków przez zahashowaniem.

na przykład:
dla użytkownika "user1" i hasła "mojehasło", generuje się hash z ciągu znakow "mojehasło-user1". Dzięki takiej operacji, dla użytkowników mających to samo hasło hashe będą wyglądać inaczej.

fachowcy... skad Wy bierzecie takich 'specjalistow' ... oni nadaja sie chyba do realnego 'wrozenia z fusow...'. "informatyk", ktory zglosil Wam problem niech lepiej sie wstydzi i nie nazywa sie informatykiem... reasumujac szkoda slow.

300 milionów kombinacji dla haseł 5-cio znakowych? jak to obliczyłeś, bo mi licząc wyłącznie małe, duże litery, cyfry wychodzi ponad 900 milionów. A pozostałe znaki?