Пара вопросов по безопасному хранению и передаче паролей

0

1

Раньше не занимался многопользовательскими приложениями и редко приходилось работать с базами, но тут пришлось заняться таким проектом. Есть такая система: по средствам ssl реализовано соединение клиента с сервером. В базе данных сервера хранятся хеши паролей и соль(15 символов) для каждого пользователя. Пароль передается от сервера в незашифрованном виде и на стороне сервера к нему прибавляется соль берется хеш-сумма и сравнивается с той которая лежит в базе.
Вопросы:
1) Насколько жизнеспособна(безопасна) данная система?
2) Как в базе лучше хранить хеши и соль?
(Если, что непонятно, могу разъяснить, пишу уставший)
Спасибо за внимание!

Ссылка

←	Нубский вопрос по подключению перевода в Qt

Ограничить размер очереди workqueue

→

1) безопасна, если веришь в ssl и физическую безопасность сервера. если нет - то передавай от клиента только хеш.
2) строки для хешей, инт для соли.

val-amart ★★★★★
(23.04.12 02:52:34 MSK)

Да вполне нормально. Кэп подсказывает, что соль должна быть совершенно случайной.

invy ★★★★★
(23.04.12 03:17:27 MSK)

Ссылка

Ответ на: комментарий от val-amart 23.04.12 02:52:34 MSK

val-amart
1) безопасна, если веришь в ssl и физическую безопасность сервера. если нет - то передавай от клиента только хеш.

и что это даст? Если злоумышленник сольёт базу с хешами, и если именно эти хеши передаются, то этот злоумышленник сможет передать нужный хеш на сервер, и получить доступ к любому аккаунту. Однако, если передаётся пароль, то злоумышленнику будет сложнее - ему потребуется подобрать пароль зная хеш, а это непросто. Что касается перехвата, то злоумышленнику всё равно что перехватывать, ему вполне пойдёт перехваченный хеш из твоей схемы - пароль он не узнает, но пароль и не нужен.

val-amart
2) строки для хешей, инт для соли.

соль тоже можно строкой.

~~drBatty~~ ★★
(23.04.12 08:43:45 MSK)

Ссылка

deterok
Пароль передается от сервера в незашифрованном виде и на стороне сервера к нему прибавляется соль берется хеш-сумма и сравнивается с той которая лежит в базе.
Вопросы:
1) Насколько жизнеспособна(безопасна) данная система?

а есть другие схемы? можно ссылку?

~~drBatty~~ ★★
(23.04.12 08:45:49 MSK)

Ответ на: комментарий от drBatty 23.04.12 08:45:49 MSK

Я вас хотел бы спросить:)

deterok ★★★★★
(23.04.12 09:55:50 MSK) автор топика

Ответ на: комментарий от deterok 23.04.12 09:55:50 MSK

ну других вроде и нету... Единственное, что могу заметить, так это то, что для соли обычно берут меньше 15и символов. Для надёжности возможно следует использовать соль, в которой есть русские и/или какие-то другие не латинские символы. Соль помогает от быстрого подбора пароля по радужной таблице, а эти таблицы обычно рассчитаны только на латиницу. Ну можно ещё применить двойное md5, что-бы снизить скорость подбора. Хотя это спорный вопрос. Возможно и применение sha вместо md5, хотя как ломать md5 тоже пока никому неизвестно.

~~drBatty~~ ★★
(23.04.12 10:05:00 MSK)

Ссылка

в сдлучае открытого канала
может я ошибаюсь - но вроде делают так
клиент подключаеться к серверу
сервер посылает клиенту соль
клиент хешит соль с паролем
и отсылает полученный хеш на сервер
сервер проверяет валидность

а в случае закрытого канала
как ты и опсиал
если недоверять ssl то какой смысл его тогда юзать ?

ae1234 ★★
(23.04.12 10:32:23 MSK)