נושאים פעיליםנושאים פעילים  הצגת רשימה של חברי הפורוםרשימת משתמשים  חיפוש בפורוםחיפוש  עזרהעזרה
  הרשמההרשמה  התחברותהתחברות RSS עדכונים
תיכנות
RSS UnderWarrior Forums : RSS תיכנות
נושא

נושא: hashing

 שליחת תגובהשליחת נושא חדש
כותב
הודעה << נושא קודם | נושא הבא >>
DotNet
משתמש פעיל
משתמש פעיל


הצטרף / הצטרפה: 25 August 2006
משתמש: מנותק/ת
הודעות: 60
נשלח בתאריך: 01 December 2006 בשעה 12:55 | IP רשוּם
ציטוט DotNet

קראתי על Hashing  אבל אני לא מבינה משהו עקרוני שאותי רציתי לשאול

אבל סגרתם לי את הנושא..

Hashing באתר אינטרנט זה בעצם קידוד הסיסמא שמשתמש הכניס כדי שאם

מישהו מחליט לפרוף או ליצור גישה ישירה לאתר הוא לא יוכל לראות את הסיסמאות.

מה קורה במצב שבו המשתמש שכח את הסיסמא שלו ורוצה שהאתר ישחזר לו את הסיסמא?

הרי מה שנשמר במסד נתונים זה הערך המוצפן/מקודד...
חזרה לתחילת העמוד הצג את כרטיס החבר של DotNet חפש הודעות אחרות של DotNet
 
shoshan
מנהל האתר
מנהל האתר
סמל אישי

הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
נשלח בתאריך: 01 December 2006 בשעה 13:06 | IP רשוּם
ציטוט shoshan
אז למה את אומרת hash ב-asp.net,
זאת שאלה על hash בכללי...

יש כמה מטודות,
אחת היא ליצור לו סיסמא אקראית חדשה, ולשלוח לו אותה למייל...

אפשר גם לשלוח לו למייל קישור עם קוד אקראי שרק בערת הלחיצה עליו תיווצר הסיסמא החדשה, כדי למנוע מטרד של שינוי ססמאות חוזר ונשנה ע"י משתמשים אחרים.


__________________
עד מתי רשעים יעלוזו?

עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
חזרה לתחילת העמוד הצג את כרטיס החבר של shoshan חפש הודעות אחרות של shoshan בקר בדף הבית של shoshan
 
DotNet
משתמש פעיל
משתמש פעיל


הצטרף / הצטרפה: 25 August 2006
משתמש: מנותק/ת
הודעות: 60
נשלח בתאריך: 01 December 2006 בשעה 14:15 | IP רשוּם
ציטוט DotNet

OK

אבל אם אני הופכת את הסיסמא כך :

FormsAuthentication.HashPasswordForStoringInConfigFile(pass, "sha1");

לא ניתן לשחזר אותה מה DB ?

נאמר ואני נרשמת לאתר והסיסמא שלי זה 1234 הוא מקודד את הסיסמא נאמר ל :114D42C09193427394C064759E8F1D97F9F5B26C

זה הערך שנשמר לי ב DB אני לא יודעת ולא נשמר 1234

לכן לא ניתן לשחזר?

אז הרבה אתרים לא משתמשים בזה...כי במלא אתרים/פורומים וכו..

לפחות ממה שאני מכירה כולם משחזרים את הסיסמא

לפי מה שקראתי באינטרנט זו שיטה מעולה ושהרבה אתרים משתמשים בה זה נכון?
חזרה לתחילת העמוד הצג את כרטיס החבר של DotNet חפש הודעות אחרות של DotNet
 
shoshan
מנהל האתר
מנהל האתר
סמל אישי

הצטרף / הצטרפה: 16 July 2005
מדינה: Israel
משתמש: מנותק/ת
הודעות: 4637
נשלח בתאריך: 01 December 2006 בשעה 14:18 | IP רשוּם
ציטוט shoshan
אכן לא ניתן לשחזר מהמסד.

שימי איזו חשיבות את נותנת לסיסמא של המשתמש לעומת גישה למסד, אבל לא משנה...


__________________
עד מתי רשעים יעלוזו?

עַל כֵּן אֶמְאַס וְנִחַמְתִּי עַל עָפָר וָאֵפֶר.
חזרה לתחילת העמוד הצג את כרטיס החבר של shoshan חפש הודעות אחרות של shoshan בקר בדף הבית של shoshan
 
אלצ'קו
אחראי פורומים
אחראי פורומים
סמל אישי
ג2ר פ33תי

הצטרף / הצטרפה: 20 January 2006
משתמש: מנותק/ת
הודעות: 609
נשלח בתאריך: 01 December 2006 בשעה 15:50 | IP רשוּם
ציטוט אלצ'קו
אחת המטרות של פונקציית HASH טובה היא שיהיה זה קשה מאוד ליצור מחרוזת קלט על סמך מחרוזת HASH נתונה. עכשיו קראי שוב את מה ששושן כתב בתגובה הראשונה שלו.
חזרה לתחילת העמוד הצג את כרטיס החבר של אלצ'קו חפש הודעות אחרות של אלצ'קו
 
tal-
משתמש מתחיל
משתמש מתחיל


הצטרף / הצטרפה: 29 October 2006
משתמש: מנותק/ת
הודעות: 13
נשלח בתאריך: 03 December 2006 בשעה 02:29 | IP רשוּם
ציטוט tal-
DotNet כתב:

OK

אבל אם אני הופכת את הסיסמא כך :

FormsAuthentication.HashPasswordForStoringInConfigFile(pass, "sha1");

לא ניתן לשחזר אותה מה DB ?

נאמר ואני נרשמת לאתר והסיסמא שלי זה 1234 הוא מקודד את הסיסמא נאמר ל :114D42C09193427394C064759E8F1D97F9F5B26C

זה הערך שנשמר לי ב DB אני לא יודעת ולא נשמר 1234

לכן לא ניתן לשחזר?

אז הרבה אתרים לא משתמשים בזה...כי במלא אתרים/פורומים וכו..

לפחות ממה שאני מכירה כולם משחזרים את הסיסמא

לפי מה שקראתי באינטרנט זו שיטה מעולה ושהרבה אתרים משתמשים בה זה נכון?

למען האמת ברוב המקומות משתמשים בהצפנה של הסיסמאות ב- DB ככה שגם אם מישהו יגנוב את הטבלה של הסיסמאות יהיה לו קשה להוציא ממנה יותר מיידי..

הנושא ספציפית יותר קשור לאבטחת מידע ולא ל- ASP.net... כי זה רלוונטי לכל אפליקציה.

מה שכן, אתרים אשר נותנים לך את האפשרות לשחזר לא באמת מחזירים לך את הסיסמא שלך מה- DB... הם יוצרים לך סיסמא חילופית חדשה.. עקב העובדה שהאשים מסוגים כאלה (כמו md5 לדוגמא) הם האשים מסוג של "one way" .. האלגוריתם שלהם נבנה בצורה כזאת שניתן ליצור את ההאש אבל לא לשחזר את המידע ממנו בשום מצב.

אני מניח שאת שואל את עצמך כרגע - "אז איך כן משתמשים בסיסמא שמאוחסנת ב- DB?"

מה שקורה בתאכלס זה שבעת הרישום הסיסמא שלך מומרת להאש ונשמרת.. ובעת LOGIN המערכת לוקחת את הסיסמא שהכנסת בטופס, הופכת אותה ל- HASH ומשווה אותה ל- HASH שקיים ב- DB... אבל המערכת בעצמה לא יכולה לדעת מה הסיסמא האמיתית מאחורי ה- HASH..

ורק לידיעה הכללי,

אתרים ומערכות שמאחסנים את הסיסמאות שלהם במה שנקרא "clear text" או "טקסט נקי" עושים טעות חמורה שיכולה להוביל אותם לבעייה קשה אם מישהו היה מצליח להוציא נתונים מבסיס הנתונים שלהם...

מקווה שהבהרתי את הנושא...

טל.
חזרה לתחילת העמוד הצג את כרטיס החבר של tal- חפש הודעות אחרות של tal-
 

אם ברצונך להגיב לנושא זה עליך קודם להתחבר
אם אינך רשום/ה כבר עליך להרשם

  שליחת תגובהשליחת נושא חדש
גרסת הדפסה גרסת הדפסה

קפיצה לפורום
אינך יכול/ה לשלוח נושאים חדשים בפורום זה
אינך יכול/ה להגיב לנושאים בפורום זה
אינך יכול/ה למחוק את הודעותיך ותגוביך בפורום זה
אינך יכול/ה לערוך את הודעותיך ותגובותיך בפורום זה
אינך יכול/ה לצור סקרים בפורום זה
אינך יכול/ה להצביע בסקרים בפורום זה