Techniky autentifikace

anonym

Techniky autentifikace
« kdy: 13. 08. 2018, 12:17:00 »
Jaká je nejlepší autentifikace v poměru "implementační náročnost/bezpečnost"?

Můj námět:

Pro uložení n-tice (user, password, roles) do databáze použít pro password MD5 a Salt, viz. https://en.wikipedia.org/wiki/Salt_(cryptography)

Jako Salt bych nejraději použil username namísto nějakého náhodného řetězce, je to vhodné?

A další otázka, jak bezpečně posílat heslo přes HTTP, jedině přes HTTPS nebo existuje i jiná možnost? Např. generování MD5 sumy v javascriptu.


Kit

Re:Techniky autentifikace
« Odpověď #1 kdy: 13. 08. 2018, 12:23:36 »
Co mají všichni s tou MD5, která se na ukládání hesel nehodí a ještě se musí zbytečně ukládat sůl?

kkt1

  • *****
  • 796
    • Zobrazit profil
Re:Techniky autentifikace
« Odpověď #2 kdy: 13. 08. 2018, 12:26:46 »
Koupil si v levnych knihach 20let starou prirucku programujeme v PHP3.0... na MD5 zapomen.

Lol Phirae

Re:Techniky autentifikace
« Odpověď #3 kdy: 13. 08. 2018, 12:27:20 »
Můj námět:

Můj námět - přestaň znovuvynalézat hranaté kolo.

David

Re:Techniky autentifikace
« Odpověď #4 kdy: 13. 08. 2018, 12:30:11 »
Jaká je nejlepší autentifikace v poměru "implementační náročnost/bezpečnost"?

Co mate s tou "autentifikaci" cesky je to jen AUTENTIZACE vsechno ostatni jsou patvary...


ttxx

Re:Techniky autentifikace
« Odpověď #5 kdy: 13. 08. 2018, 12:41:59 »
salt dynamicky generuj ....
a input data sifruj a generuj salt z sifrovanych dat))

takhle to bude secure (ignoruj lidi co nedokazou security... kdyz sifrujes tak to bezpecne bude)

anonym

Re:Techniky autentifikace
« Odpověď #6 kdy: 13. 08. 2018, 12:42:36 »
MD5 ne a username misto nahodneho retezce taky ne.

ttxx

Re:Techniky autentifikace
« Odpověď #7 kdy: 13. 08. 2018, 12:47:14 »
MD5 ne a username misto nahodneho retezce taky ne.

ja treba pouzivam sha 512 a silnejsi + vicenasobne sifrovani i generovani saltu ze sifrovanych dat)) takze max secure))
(s pouzitym funkce crypt samozrejme)

Jenda

Re:Techniky autentifikace
« Odpověď #8 kdy: 13. 08. 2018, 12:53:48 »
Jaká je nejlepší autentifikace v poměru "implementační náročnost/bezpečnost"?

Použít hotové funkce vašeho frameworku/knihovny/serveru.

A další otázka, jak bezpečně posílat heslo přes HTTP

Blbě, protože prohlížeče bezpečné metody autentizace (kdy se heslo nepřenáší, nebo se používá asymetrická kryptografie atd.) neimplementují buď vůbec, nebo zoufale blbě. S tím ale jako jednotlivec nic nenaděláte, takže vám nezbývá, než použít nějaký workaround, který váš framework nabízí.

Trollopata

Re:Techniky autentifikace
« Odpověď #9 kdy: 13. 08. 2018, 13:05:32 »
Jaká je nejlepší autentifikace autentizace...

Pro uložení n-tice (user, password, roles)...

Role autentizace neřeší. Ty patří do autorizace. Opravdu bych doporučil nevynalézat kolo, které navíc bude ve výsledku hranaté (a to pak raději běžte psát sobotní komix ;-)).

Youda

Re:Techniky autentifikace
« Odpověď #10 kdy: 13. 08. 2018, 13:23:35 »
Na nejakou databazi se proboha vyser a nauc se pouzivat OpenLDAP.

j

Re:Techniky autentifikace
« Odpověď #11 kdy: 13. 08. 2018, 13:26:52 »
... neimplementují buď vůbec, nebo zoufale blbě...
jj, soudruzi v chrozille(o tech ostatnich netreba mluvit) totiz nemaji cas, resej jak budou posilat vsechno do cmoudu

... jak bezpečně posílat heslo přes HTTP...
Jde to, ale ma to jeden hak(mozna spis kotvu) ... bez zasahu ala admin se neodhlasis. Muzes pouzit http digest, ze to hnusne vypada, s tim se da zit, ale potiz je prave v tom, ze neexistuje zadnej rozumnej zpusob jak jednou prihlasenej browser odhlasit.

Podobny je to s prihlasovanim klicem, coz je prozmenu jeste vetsi vopicarna ze strany usera (na to ze by si to zvladal zprovoznit BFU ve svym browseru rovnou zapomen).

Mimochodem, posilat hesla pres https taky neni ani trochu bezpecny, ve finale je totiz  uplne jedno jestli si tvoje hesla cte nekdo cestou, nebo jestli si je cte nekdo na serveru. V pripade bezpecnych zpusobu prihlasovani server tvoje heslo nikdy nesmi videt a nesmi mit ani zadnou moznost jak se k nemu dostat (= i vsemozny pseudoreseni javascriptem jsou khovnu uplne stejne, protoze kdo ma pristup k serveru ti muze kdykoli zmenit i ten script)


ttxx

Re:Techniky autentifikace
« Odpověď #12 kdy: 13. 08. 2018, 13:35:17 »
anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani))))) ... teda pokud potrebujes php)))

Jenda

Re:Techniky autentifikace
« Odpověď #13 kdy: 13. 08. 2018, 13:44:35 »
ale potiz je prave v tom, ze neexistuje zadnej rozumnej zpusob jak jednou prihlasenej browser odhlasit.

Ctrl+Shift+Del, Clear Active Logins. Ano, odhlásí to všechny weby najednou.

anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani))))) ... teda pokud potrebujes php)))

Ano, vynalézat vlastní šifrování, protože to určitě udělám líp než protokol léta prohlížený odborníky, a určitě tam nenadělám žádné začátečnické chyby, to je klíčem k úspěchu!

ttxx

Re:Techniky autentifikace
« Odpověď #14 kdy: 13. 08. 2018, 13:48:31 »
ale potiz je prave v tom, ze neexistuje zadnej rozumnej zpusob jak jednou prihlasenej browser odhlasit.

Ctrl+Shift+Del, Clear Active Logins. Ano, odhlásí to všechny weby najednou.

anonym napis mail a mozna pomuzu (mam vlastni spusob sifrovani))))) ... teda pokud potrebujes php)))

Ano, vynalézat vlastní šifrování, protože to určitě udělám líp než protokol léta prohlížený odborníky, a určitě tam nenadělám žádné začátečnické chyby, to je klíčem k úspěchu!

mno pokud jse spolehas na "odborniky" tak jses radnej pako)) koukni jse na cpu vyvojare, misto kopirovani stejneho (treba cpu intel chyby a features) jsi jedou open-source(nebo half-open source) a dokonale zastoupi "vseobecne uznano nejlepsi metodu")))