 |
Ten wątek jest przedawniony
Działy Forum » Nauka
| Napisano | Autor | Tytuł | | 07-12-2021 14:47 | romaro (25211 punktów) | Sól i Pieprz
 1 na 1 | Każdy, kto zrozumiał, w jaki sposób hakerzy mogą penetrować konta użytkowników za pomocą tęczowej tablicy, powinien być świadomy, że należy stosować odpowiednie mechanizmy obronne. Zarówno użytkownicy, jak i osoby zarządzające witrynami mogą podjąć kroki, aby zapobiec lub przynajmniej utrudnić takie ataki. www.racjonalista.pl/forum.php/s,864254Dla użytkowników, to co ogólnie stosuje się: hasła powinny być tak długie, jak to możliwe i zawierać duże litery, małe litery, cyfry i inne znaki, ponieważ gdy deszyfrowanie staje się zbyt skomplikowane jest skuteczną obroną przed atakami brute force i tabel tęczy, Rozmiar wymaganej tabeli rośnie wykładniczo wraz z długością hasła. Zaleca się również, aby nie używać prawdziwych słów, ale losowe ciągi znaków, aby uniknąć ataków opartych na słownikach. Dlatego pomocne mogą okazać się menedżery haseł. Bardzo ważne jest również, aby nie używać haseł więcej niż raz, bez względu na to, jaką formę ataku stosują hakerzy: gdy komuś udało się uszkodzić bazę danych, odszyfrować hasła i uzyskać dostęp do danych osobowych, łatwo jest wypróbować wszystkie inne konta w Internecie za pomocą dokładnie tego samego hasła. Jednak operatorzy serwerów mogą również zrobić wiele, aby chronić swoich użytkowników. Zacząć należy od tego, że nie powinny być stosowane żadne przestarzałe algorytmy. MD5 i SHA-1 od dawna uważane są za niebezpieczne, a odpowiadające im tablice tęczowe można łatwo znaleźć w Internecie. Hasła, które zostały hashowane w ten sposób mogą być odkryte w ciągu kilku sekund. [Załącznik]Dlatego istotne jest, aby być stale informowanym o istnieniu nowych algorytmów lub o tym, czy używana funkcja hashująca jest nadal tak samo bezpieczna. SHA-2, a więc również jego najbardziej znana odmiana SHA-256, są nadal uważane za bezpieczne, ale obecnie dostępny jest również SHA-3, który obiecuje jeszcze lepsze i dłuższe bezpieczeństwo. Aby uczynić rozszyfrowanie poprzez tęczowe tablice znacznie bardziej skomplikowanym, stosuje się obecnie tzw. sól: kiedy użytkownik ustala hasło, system tworzy również wartość losową: ziarnko piasku/soli. Wartość ta przepływa wraz z hasłem do funkcji haszującej i w ten sposób generuje inną wartość niż samo hasło. Salt i wartość hash są przechowywane razem w bazie danych. Okoliczność ta jest myląca: atakujący, którzy otrzymują zawartość bazy danych, mają bowiem nazwę użytkownika, wartość hash i odpowiednią sól. Ten dodatkowy środek nie jest skuteczny przeciwko atakom brute force i słownikowym, ale pomaga przeciwko Rainbow Tables. Tabela taka jest tworzona z wyprzedzeniem, w oparciu o algorytm hashowania i niezależnie od używanej bazy danych. Dlatego ziarenka piasku/soli nie mogą być zawarte w tęczowych tablicach, ponieważ twórca tablicy nie wiedział jeszcze o Soli. Kolejną zaletą ziaren piasku jest to, że użytkownicy nie muszą ich zapamiętywać. Mogą więc być całkowicie chaotyczne, a przede wszystkim bardzo długie. Sprawia to, że same wartości hash są tak złożone, że trudniej z nimi pracować. Dodatkowo, Salt uniemożliwia dwóm lub więcej osobom wpisanie tego samego hasła i tym samym zapisanie tej samej wartości hash do bazy danych. Wreszcie, ziarnko piasku pomaga również rozwiązać problem, w którym użytkownicy używają tego samego hasła do różnych usług. Przechowywana wartość hash jest inna dla wszystkich usług z powodu Salt. www.racjonalista.pl/forum.php/s,864254#w864317Oprócz Salt, istnieje również Pepper: utrudnia to atak brute force poprzez słowniki. Pieprz jest również losowym ciągiem znaków, który w najlepszym przypadku w połączeniu z Solą, wpływa do wartości hashowania w tym samym czasie co hasło. W przeciwieństwie do Salt, Pepper nie jest przechowywany razem z innymi danymi logowania w bazie danych, ale oddzielnie i w możliwie najbezpieczniejszym miejscu. Stały ciąg znaków jest często używany dla wszystkich haseł na platformie. W związku z tym, Pieprz nie pomaga przed kilkoma użytkownikami posiadającymi to samo hasło, ponieważ oni również używają tego samego Pieprzu, co prowadzi do identycznych wartości hashowania. Dlatego administratorzy powinni wybrać kombinację Soli i Pieprzu. |
Autor wątku ma uprawnienia do usuwania wypowiedzi, jeżeli łamią regulamin Forum lub znacznie odbiegają od tematu.
z Mantopy (3643 punktów)
(zablokowany) | >Każdy, kto zrozumiał, w jaki sposób hakerzy mogą penetrować konta użytkowników za pomocą tęczowej
>tablicy, powinien być świadomy, że należy stosować odpowiednie mechanizmy obronne. Zarówno
>użytkownicy, jak i osoby zarządzające witrynami mogą podjąć kroki, aby zapobiec lub przynajmniej
>utrudnić takie ataki.
>
Dobrzy specjaliści potrafią zhakować "demokrację", tak, że ludzie nie są w stanie się połapać, że są w matrixie. Społeczeństwu demokratycznemu tworzy się iluzję władzy, sztuczną politykę, wszystko funkcjonuje i z daleka wygląda normalnie. Ludzie awansują, budują się, pracują, sprzątają, tylko jedno co w tym jest dziwnego, to to, że wszsytko co wiedzą, to im ktoś mówi. Nie słyszymy ludzi mądrych, a wszyscy, bez cenzury mówiąjednym głosem. Nikt nie sprawdza czy to jest zgodne z prawdą i rzeczywistością. Świat wydaje się piękny, więc po co sprawdzać?? Mamy zapewnione minimum egzystencji a w naszym matrixie najbogatsze są osoby, którym nic nie zawdzięczamy, one nam tylko szepczą do ucha: jesteś wspaniały, wszystko jest dobrze, masz złych rodziców i sąsiada, a każdy kto mówi inaczej jest, twoim wrogiem. I za to biorą, z naszego budżetu ogromną forsę.
Za tą jawną "demokracją" kryje się tajna "demokracja", żeby tam się dostać, to już zwykły haker, się nie odważy. Kilku, tylko przez dziurkę od klucza coś zobaczyło i już jest na nich wydany list gończy.
Może ktoś kiedyś złamie ich hasła i poznamy prawdziwą demokrację, a potem nas za to zamordują.
|
|
 |  1 na 1 | romaro (25211 punktów) | >Dobrzy specjaliści potrafią zhakować "demokrację", tak, że ludzie nie są w stanie się połapać, że są w matrixie.
Zhakować, usunąć zabezpieczenie, i w tym sensie masz racje: przykładem jest obecnie nasz kraj, w którym został zhakowany trójpodział władzy.
|
|
| | z Mantopy (3643 punktów)
(zablokowany) | >>Dobrzy specjaliści potrafią zhakować "demokrację", tak, że ludzie nie są w stanie się połapać, >>że są w matrixie.
>Zhakować, usunąć zabezpieczenie, i w tym sensie masz racje: przykładem jest obecnie nasz kraj, w >którym został zhakowany trójpodział władzy.
To czy będzie trójpodział, czy dziesięciopodział nie ma już znaczenia.
Ludziom zhakowano szare komórki, przyjmują to co im się mówi za pewnik.
Nie mamy elit intelektualnych i nie ma kto wyprowadzić ludzi z "demokratcyznego" amoku.
Obcy robią z nami co chcą i jeszcze zbierają oklaski. Obca agentura już jest tak silna, że teraz może być tylko gorzej. Nie muszą się liczyć z nikim. W przyszłym roku CIA podwaja nam ilość wojska. Polak dalej ma amerykański sen, że będzie bogaty.
Dzisiaj rozmawiałęm z Czechem, mówił, że u nich bieda z nędzą. Pusto w sklepach, nie ma pracy. Czesi nie żyli na pokaz, to im łatwiej będzie żyć w demokratycznej biedzie.
|
|
1 na 1 | Rowerex (859 punktów) | Odp: Sól i Pieprz vs Pełna Jawność | > Rozmiar wymaganej> tabeli rośnie wykładniczo wraz z długością hasła. Zaleca się również, aby nie używać prawdziwych> słów, ale losowe ciągi znaków, aby uniknąć ataków opartych na słownikach. Dlatego pomocne mogą> okazać się menedżery haseł. Bardzo ważne jest również, aby nie używać haseł więcej niż raz, bez> względu na to, jaką formę ataku stosują hakerzy: gdy komuś udało się uszkodzić bazę danych,> odszyfrować hasła i uzyskać dostęp do danych osobowych, łatwo jest wypróbować wszystkie inne konta w> Internecie za pomocą dokładnie tego samego hasła.No dobra - Hamerlik dużo pisze o jawności, ale jakby tak się zastanowić... No bo: zabezpieczenia we wszelkich systemach informatycznych ciągle się usprawnia w zasadzie tylko w jednym celu: jak najdokładniej zweryfikować tożsamość użytkownika - no i rodzą się potworki w rodzaju wielostopniowych weryfikacji - co z tego że masz hasło, nawet nowe i ciągle zmieniane, jeżeli i tak musisz wklepać wygenerowany kod przesłany SMSem - bo co, może kiedyś i to nie wystarczy i ktoś wymyśli kolejne stopnie? Do tego rosnąca wykładniczo góra haseł, zabezpieczeń, metod szyfrowania, baz danych, serwerów które to muszą jakoś obsłużyć - wszak gdy coś naprawdę porządnie padnie, to ogólnokrajowy lub ogólnoświatowy system bankowy razem z administracją i wszelkimi e-pierdołami leży i kwiczy razem z biednymi obywatelami, którzy nawet w sklepie zakupów nie zrobią, czyli "przepraszamy, awaria kasy fiskalnej" - czyż więc to nie dąży do absurdu? Załóżmy hipotetycznie wersję alternatywną, otóż zamiast mnożenia stopni weryfikacji, poprawiamy samą identyfikację tożsamości jak najbliżej źródła, czyli jak najbliżej użytkownika w osobie konkretnego osobnika Homo Sapiens - nie ważne jakimi metodami, bo ja nie o metodach, tylko o skutkach - no więc w pewnym momencie może się okazać, że prawdopodobieństwo prawidłowego ustalenia czyjejś tożsamości w odniesieniu do dowolnego działania, nie tylko w systemie informatycznym, będzie wynosiło: 99,99999999999999999999999999999999999999999999999999999999999% po prostu zawsze i wszędzie każde działanie będzie można natychmiast z powyższym prawdopodobieństwem przypisać konkretnemu człowiekowi, a i też robotowi, programowi, komputerowi itp... No ale gdy tak się już stanie..., to po jasną cholerę jakiekolwiek hasła, loginy, kody, czytniki? Przecież nikt się pod nikogo nie podszyje, bo i tak zostanie rozpoznany, nikt nikomu nic nie ukradnie, bo złodziej będzie już rozpoznany w momencie próby wykonania kradzieży... Słowem, absolutna i PEŁNA JAWNOŚĆ co do wszelkich działań i do tego wszędzie (choć wielu od razu nasunie się określenie "pełna inwigilacja", cóż, to taki bonus i "nieoczekiwany" skutek uboczny). No i ta jawność mogłaby całkowicie wyeliminować wszelkie hasła, szyfrowania i dziwaczne weryfikacje, a przy okazji wyeliminować hakerów, bo czy haker, który zupełnie nic nie może zrobić, by ukryć swoją tożsamość będzie hakerem? To tylko eksperyment myślowy, zaznaczam, ale czy nierealny? No to kto tylko chce, niech szuka dziur w tej teoryjce 
|
|
| 2 na 2 | romaro (25211 punktów) | To jest dopiero początek. Zauważ, że jeszcze nawet cyfrowe podpisy nie są - przynajmniej w Polsce - aż tak popularne... A co będzie gdy stanie się to normą? Dlatego już teraz warto zmienić nawyki i budować samodyscyplinę. Dobre nawyki pomogą w utrzymaniu zasad bezpieczeństwa.
>No dobra - Hamerlik dużo pisze o jawności, ale jakby tak się zastanowić...
Nikt normalny nie chce by jakiś intruz wlazł mu do chałupy, przynajmniej ja nie znam, no może poza Konopką, nikogo takiego. Pisać on pisze dużo i w zasadzie na początek bym mu proponował by nie zakładał zamków w drzwiach swojego mieszkania: - Pełna jawność.
Bardzo dziwi, że ci sami ludzie, którzy na wszelkie sposoby zabezpieczają swoje mieszkania przed złodziejami, tak nierozważnie podchodzą do kwestii własnego bezpieczeństwa w Internecie.
Okazja czyni złodzieja - ta maksyma obowiązuje również w sieci.
|
|
| | 1 na 1 z Mantopy (3643 punktów)
(zablokowany) |
>Nikt normalny nie chce by jakiś intruz wlazł mu do chałupy, przynajmniej ja nie znam, no może >poza Konopką, nikogo takiego.
Nam wlazł do chałupy Pentagon i NATO i wszyscy się z tego cieszą.
Płacimy im haracz za "bezpieczeństwo" i daliśmy wolną rękę.
>Bardzo dziwi, że ci sami ludzie, którzy na wszelkie sposoby zabezpieczają swoje mieszkania przed >złodziejami, tak nierozważnie podchodzą do kwestii własnego bezpieczeństwa w Internecie.
>Okazja czyni złodzieja - ta maksyma obowiązuje również w sieci.
Wszystkie oprogramowania są kupione od obcych, wątpię byśmy mieli osoby, które wiedzą co one potrafią. Jak zostaniemy okradzeni przez osoby, które mają powiązania z tymi systemami, to i tak propaganda obarczy za to winą Putina i Łukaszenkę.
|
|
Aby pisać w tym wątku, musisz się zalogować
Zaloguj przez OpenID..
Jeżeli nie jesteś zarejestrowany/a - załóż konto..
Szukaj na Forum Przewodnik Regulamin i instrukcja obsługi Forum Kolegium Moderatorów
|
 |
|
