[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
27/02/2008 23:17:12 (+0700) | #1 | 116919 |
msdn
Member
|
0 |
|
|
Joined: 23/06/2006 06:27:14
Messages: 214
Offline
|
|
Xin cho biết , các phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT
- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
Cám ơn anh em đã đọc nội dung này |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
28/02/2008 06:53:21 (+0700) | #2 | 116997 |
|
khigiadano
Member
|
0 |
|
|
Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline
|
|
msdn wrote:
Xin cho biết , các phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT
- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
+ MD5 là tốt nhất
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
+ tool Passwordspro
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
+ MD5 thường dùng cho mã nguồn WEB PHP
Cám ơn anh em đã đọc nội dung này
Mình chỉ trả lời đc vậy :-D |
|
Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi... |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
28/02/2008 07:05:24 (+0700) | #3 | 117000 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
khigiadano wrote:
msdn wrote:
Xin cho biết , các phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT
- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
+ MD5 là tốt nhất
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
+ tool Passwordspro
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
+ MD5 thường dùng cho mã nguồn WEB PHP
Cám ơn anh em đã đọc nội dung này
Mình chỉ trả lời đc vậy :-D
Trong mấy cái trên thì chỉ có SHA và MD5 là phương thức hash, còn 3 cái còn lại là ứng dụng. Tốt nhất trong 2 cái phương thức hash thì là SHA, và hiện tại có thể dùng SHA-1, nếu có thể thì nên thử SHA-256 trở lên.
- Tác dụng: mã hóa 1 chiều, tức là chỉ mã hóa chứ không giải mã được, ví dụ có thể dùng để kiểm tra password. Vì vậy để đọc được nội dung bên trong thì về mặt thực tiễn là không thể, nhưng để đánh lừa hệ thống thì ở một mức nào đó là có thể (tùy vào trình độ của hacker).
- Áp dụng trên đâu thì còn tùy server và kiểu application, có cả nghìn thứ, nhưng nếu đã mã hóa mật khẩu thì cứ hash thôi. Và còn một số kiểu hash nữa. |
|
Mind your thought. |
|
|
|
[Question] Re: Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRY |
28/02/2008 07:51:11 (+0700) | #4 | 117007 |
|
khigiadano
Member
|
0 |
|
|
Joined: 27/02/2008 18:20:56
Messages: 370
Location: http://aspx.vn
Offline
|
|
Mình đã dùng Paswordspro để giải mã hoá 1 chuỗi MD5 trong forum VBB và đã thành công với 1 PASS số 8 ký tự
Tuy nhiên cái tool này dò PASS số nhanh hơn dò pass chữ nhiều
Dò PASS chữ mình chờ lâu quá nên bỏ cuộc :-D
Dò pass số thì khoang 4-5 ph gì đó là OK :-D |
|
Yahoo ID: khigiadano - Tel: 0907.870.676 - Email: khigiadano@gmail.com
Mình rất kém, vào đây học hỏi kinh nghiệm thôi... |
|
|
|
[Question] Re: Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRY |
28/02/2008 08:33:11 (+0700) | #5 | 117016 |
|
Choen
Member
|
0 |
|
|
Joined: 18/06/2007 21:14:24
Messages: 132
Offline
|
|
khigiadano wrote:
Mình đã dùng Paswordspro để giải mã hoá 1 chuỗi MD5 trong forum VBB và đã thành công với 1 PASS số 8 ký tự
Tuy nhiên cái tool này dò PASS số nhanh hơn dò pass chữ nhiều
Dò PASS chữ mình chờ lâu quá nên bỏ cuộc :-D
Dò pass số thì khoang 4-5 ph gì đó là OK :-D
Đơn giản là do số ít hơn chữ ! |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
28/02/2008 21:35:24 (+0700) | #6 | 117087 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
msdn wrote:
Xin cho biết , các phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT
- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
Cám ơn anh em đã đọc nội dung này
Trước tiên nên xác định thế nào là mã hóa (encrypt), giải mã (decrypt) và tạo "băm" một chiều (one-way hashing) để tránh ngộ nhận. Mã hóa có nghĩa là biến a thành b dựa trên một số điều kiện nào đó và có thể chuyển b trở thành a lại (giải mã) dựa trên một số điều kiện nào đó. Trong khi đó, tạo "băm" một chiều có nghĩa là biến x thành y nhưng không thể chuyển y thành x được nữa. Bởi thế mới có cụm "một chiều".
Hành động brute force các "băm" để dò giá trị nguyên thủy trước khi bị "băm" do thuật toán của nó vẫn có thể bị collision thường bị hiểu lầm là "giải mã". Thật sự brute force không phải là hành động giải mã dựa trên các điều kiện nào đó mà đó là hành động dò. "Brute force" thường mất rất nhiều thời gian (tính theo đơn vị ngày, giờ, tháng hoặc thậm chí năm) vì phải dò. Trong khi đó, "giải mã" chỉ xảy ra trong tích tắc vì đã có sẵn các điều kiện thực thi.
Với trường hợp msdn đưa ra ở đây (hình như cho LDAP), mật khẩu đều được tạo "băm" một chiều cả chớ không có cái nào là "mã hóa" hết.
- SHA là "Secure Hash Algorithm".
- SSHA cũng như SHA nhưng khi tạo băm thì nó dùng thêm seed (biểu thị ở chữ S đứng đầu).
- MD5 là "Message-Digest algorithm 5", function của MD5 cũng tạo hash.
- SMD5 cũng như MD5 nhưng khi tạo băm nó dùm thêm seed.
- CRYPT thường được biết đến là hàm mã hóa passwd trên Unix dùng DES. Thư viện crypt được ứng dụng để tạo băm cho passwd trên nhiều ứng dụng.
- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
Trên context LDAP password hashing ở đây: chúng đều tạo hash của pasword. Công dụng của nó (đúng ra là của application dùng nó) để không chứa password ở dạng clear text mà chỉ chứa password ở dạng đã được hash.
Tại sao phải hash? Giả sử user A có password là a, password này được application "hash" nó thành 0cc175b9c0f1b6a831c399e269772661 rồi chứa vào CSDL. Khi user A login và dùng password a để đăng nhập, application sẽ hash a và so sánh giá trị vừa hash xong với giá trị đã lưu trong CSDL. Nếu chúng trùng nhau, user A được vào. Nếu hệ thống bị nhân nhượng, kẻ tấn công chỉ thu thập được hashed password và nếu muốn dùng chúng, hắn phải brute force nó (mất thời gian và ít thành công).
- Trên phương diện bảo mật thì phương thức mã hoá mật khẩu nào (ở trên) tốt nhất .
Với tinh thần "one-way hash" như đã giải thích ở trên (chớ không phải mã hóa) thì có lẽ cho đến nay SHA-2 là thuật toán hash vững nhất vì nó chưa "bị" tìm ra collision.
- Hiện tại có cách nào "đọc" được nội dung bên trong, một khi sử dụng các phương thức mã hoá trên ?
Không có cách nào "đọc" trực tiếp cả. Tất cả các giá trị hash đều phải được brute force để tìm giá trị nguyên thủy trước khi hash.
- Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
Hầu như các ứng dụng liên quan đến authentication, so sánh password ngày nay đều dùng một trong những thuật toán hashing (thuật toán có sẵn hoặc tự tạo). Bất kể application A hay application B, nếu dùng chung một thuật toán thì đều áp dụng được cả. (Câu hỏi trên có phần không rõ ràng).
Thân mến. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRY |
28/02/2008 21:59:28 (+0700) | #7 | 117091 |
msdn
Member
|
0 |
|
|
Joined: 23/06/2006 06:27:14
Messages: 214
Offline
|
|
Dạ, đúng . Em cài đặt OpenLDAP, Postfix, SAMBA thành công, trong phần OpenLDAP em thấy có các khái niệm mã hóa mật khẩu như SHA, SSHA, MD5, SMD5, CRY hầu như khá .... mơ hồ với em .
Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
Trong câu hỏi này em ghi thiếu chi tiết và thông tin khá ít, với 1 server nào đó trong đó được cài đặt OpenLDAP, Postfix, SAMBA sau đó có thể người quản trị cài đặt thêm Squid, Tomcat (hoặc PHP) , mục đích của việc cài đặt Tomcat hay PHP ở đây là người dùng root có thể tạo user dễ dàng thông qua web interface thì theo anh trong OpenLDAP ở thực tế người ta thường dùng phương thức mã hóa nào nhiều nhất ?
Trong câu trả lời ở trên của anh có ghi SHA-2 là thuật toán hash vững nhất vì nó chưa "bị" tìm ra collision. vậy thực tế 1 người quản trị OpenLDAP họ có áp dụng thuật toán hash này không ? Anh có thể cho em "xin" vài khái niệm hay ví dụ về thuật toán hash SHA-2 được không anh ?
Cám ơn anh giải thích cặn kẻ những điều mà em thắc mắc. |
|
|
|
|
[Question] Re: Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRY |
28/02/2008 22:55:12 (+0700) | #8 | 117101 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
msdn wrote:
Dạ, đúng . Em cài đặt OpenLDAP, Postfix, SAMBA thành công, trong phần OpenLDAP em thấy có các khái niệm mã hóa mật khẩu như SHA, SSHA, MD5, SMD5, CRY hầu như khá .... mơ hồ với em .
Thì chịu khó mà tìm hiểu từng thuật toán của chúng. Có đầy cả trên mạng mà.
msdn wrote:
Các phương thức mã hoá mật khẩu ở trên thực tế chúng được áp dụng cho những phần mềm nào trên server, xin cho một vài ví dụ những phần mềm áp dụng phương thức mã hoá mật khẩu này cho phần mềm A nhưng không áp dụng được phương thức mã hoá mật khẩu cho phần mềm B .
Trong câu hỏi này em ghi thiếu chi tiết và thông tin khá ít, với 1 server nào đó trong đó được cài đặt OpenLDAP, Postfix, SAMBA sau đó có thể người quản trị cài đặt thêm Squid, Tomcat (hoặc PHP) , mục đích của việc cài đặt Tomcat hay PHP ở đây là người dùng root có thể tạo user dễ dàng thông qua web interface thì theo anh trong OpenLDAP ở thực tế người ta thường dùng phương thức mã hóa nào nhiều nhất ?
Có lẽ là MD5 và gần đây là SHA-1. SHA-2 chưa ứng dụng nhiều.
msdn wrote:
Trong câu trả lời ở trên của anh có ghi SHA-2 là thuật toán hash vững nhất vì nó chưa "bị" tìm ra collision. vậy thực tế 1 người quản trị OpenLDAP họ có áp dụng thuật toán hash này không ? Anh có thể cho em "xin" vài khái niệm hay ví dụ về thuật toán hash SHA-2 được không anh ?
openLDAP chưa ứng dụng SHA-2. Đây là danh sách thuật toán hash hiện đang dùng với openLDAP:
{CRYPT}
The Unix crypt() hash, based on DES. Weaker than the others.
{UNIX}
Synonym for {CRYPT}
{SHA}
SHA-1 based hash.
{SSHA}
Salted SHA-1 based hash.
{MD5}
MD5 based hash.
{SMD5}
Salted MD5 based hash.
Thông tin về SHA: http://en.wikipedia.org/wiki/SHA_hash_functions
SHA-2 implement in C: http://www.ouah.org/ogay/sha2/
SHA-2 implement in Delphi: http://e-cat.nm.ru/SHA256.html
SHA-2 implement in Javascript: http://jssha.sourceforge.net/
SHA-2 implement in Java: http://www.java2s.com/Open-Source/Java-Document/JDK-Modules-sun/security/sun/security/provider/SHA2.java.htm
msdn wrote:
Cám ơn anh giải thích cặn kẻ những điều mà em thắc mắc.
You welcome . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
21/09/2009 23:07:46 (+0700) | #9 | 193616 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
Tại sao phải hash? Giả sử user A có password là a, password này được application "hash" nó thành 0cc175b9c0f1b6a831c399e269772661 rồi chứa vào CSDL. Khi user A login và dùng password a để đăng nhập, application sẽ hash a và so sánh giá trị vừa hash xong với giá trị đã lưu trong CSDL. Nếu chúng trùng nhau, user A được vào. Nếu hệ thống bị nhân nhượng, kẻ tấn công chỉ thu thập được hashed password và nếu muốn dùng chúng, hắn phải brute force nó (mất thời gian và ít thành công).
Xin "đào mồ" chủ đề này xíu, em đọc thảo luận của các bác cũng sáng ra nhiều vấn đề. Theo em hiểu thì phương pháp hash một dữ liệu (password) thì sẽ giảm khả năng lộ password dạng đọc được trên đường truyền, và người không thẩm quyền cũng chỉ có được một chuỗi kỹ tự loằng ngoằng mà họ không đọc được. Tuy nhiên, cái em thắc mắc là khi đó họ sử dụng trực tiếp luôn cái chuỗi đó chữ không cần dịch lại làm gì cả, vì chuỗi đó là duy nhất mà (tính chất của hàm hash).
Vậy thì hash password, theo em nó chỉ che mắt được chứ không có tác dụng bảo vệ, không biết em nghĩ có sai không. Cảm ơn các bác. |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
21/09/2009 23:46:20 (+0700) | #10 | 193624 |
thangdiablo
HVA Friend
|
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
|
|
hvthang wrote:
Tại sao phải hash? Giả sử user A có password là a, password này được application "hash" nó thành 0cc175b9c0f1b6a831c399e269772661 rồi chứa vào CSDL. Khi user A login và dùng password a để đăng nhập, application sẽ hash a và so sánh giá trị vừa hash xong với giá trị đã lưu trong CSDL. Nếu chúng trùng nhau, user A được vào. Nếu hệ thống bị nhân nhượng, kẻ tấn công chỉ thu thập được hashed password và nếu muốn dùng chúng, hắn phải brute force nó (mất thời gian và ít thành công).
Xin "đào mồ" chủ đề này xíu, em đọc thảo luận của các bác cũng sáng ra nhiều vấn đề. Theo em hiểu thì phương pháp hash một dữ liệu (password) thì sẽ giảm khả năng lộ password dạng đọc được trên đường truyền, và người không thẩm quyền cũng chỉ có được một chuỗi kỹ tự loằng ngoằng mà họ không đọc được. Tuy nhiên, cái em thắc mắc là khi đó họ sử dụng trực tiếp luôn cái chuỗi đó chữ không cần dịch lại làm gì cả, vì chuỗi đó là duy nhất mà (tính chất của hàm hash).
Vậy thì hash password, theo em nó chỉ che mắt được chứ không có tác dụng bảo vệ, không biết em nghĩ có sai không. Cảm ơn các bác.
Ví dụ password đúng là acb. Khi bạn đăng nhập với password acb thì chương trình sẽ hash password của bạn ra thành 1 chuỗi "loằng ngoằng" và nó khớp ( match ) với cái chuỗi "loằng ngoằng" được lưu trong CSDL. Tuy nhiên, bằng 1 cách nào đó bạn lấy được chuỗi loẳng ngoằng này sau đó dùng nó để đăng nhập thì lúc này ứng dụng sẽ hash thành 1 chuỗi "loằng ngoằng mới". Và lúc này thì chuỗi mới không còn khớp (match) với chuỗi nằm trong CSDL nữa.
Kết quả là login bị fail.
Bạn nên đọc kỹ những gì anh conmale viết. |
|
Hãy sống có Tuệ Giác. |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
22/09/2009 00:09:41 (+0700) | #11 | 193628 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
thangdiablo wrote:
Ví dụ password đúng là acb. Khi bạn đăng nhập với password acb thì chương trình sẽ hash password của bạn ra thành 1 chuỗi "loằng ngoằng" và nó khớp ( match ) với cái chuỗi "loằng ngoằng" được lưu trong CSDL. Tuy nhiên, bằng 1 cách nào đó bạn lấy được chuỗi loẳng ngoằng này sau đó dùng nó để đăng nhập thì lúc này ứng dụng sẽ hash thành 1 chuỗi "loằng ngoằng mới". Và lúc này thì chuỗi mới không còn khớp (match) với chuỗi nằm trong CSDL nữa.
Kết quả là login bị fail.
Bạn nên đọc kỹ những gì anh conmale viết.
Cảm ơn bác, tuy nhiên ý em là khi ông không có thẩm quyền đó lấy được cái giá trị hash "loằng ngoằng" đó thì ông ấy chuyển luôn cho máy chủ xác thực (không cho ứng dụng hash tiếp). Vậy thì vẫn hợp lệ chứ ạ. |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
22/09/2009 00:58:35 (+0700) | #12 | 193632 |
Kihote
Member
|
0 |
|
|
Joined: 27/10/2008 17:00:46
Messages: 24
Offline
|
|
Mọi người muốn biết hiểu sâu hơn về lịch sử có thể tìm đọc cuốn này .
MẬT MÃ - TỪ CỔ ĐIỂN ĐẾN LƯỢNG TỬ
http://www.vinabook.com/khoa-hoc-kham-pha-mat-ma-tu-co-dien-den-luong-tu-m11i29548.html#
|
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
22/09/2009 22:05:47 (+0700) | #13 | 193727 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
Kihote wrote:
Mọi người muốn biết hiểu sâu hơn về lịch sử có thể tìm đọc cuốn này .
MẬT MÃ - TỪ CỔ ĐIỂN ĐẾN LƯỢNG TỬ
http://www.vinabook.com/khoa-hoc-kham-pha-mat-ma-tu-co-dien-den-luong-tu-m11i29548.html#
Cảm ơn bạn, mấy cái này em đọc wiki cho tiện,
Có bác nào giải thích giúp em không? |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
22/09/2009 23:47:36 (+0700) | #14 | 193737 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hvthang wrote:
thangdiablo wrote:
Ví dụ password đúng là acb. Khi bạn đăng nhập với password acb thì chương trình sẽ hash password của bạn ra thành 1 chuỗi "loằng ngoằng" và nó khớp ( match ) với cái chuỗi "loằng ngoằng" được lưu trong CSDL. Tuy nhiên, bằng 1 cách nào đó bạn lấy được chuỗi loẳng ngoằng này sau đó dùng nó để đăng nhập thì lúc này ứng dụng sẽ hash thành 1 chuỗi "loằng ngoằng mới". Và lúc này thì chuỗi mới không còn khớp (match) với chuỗi nằm trong CSDL nữa.
Kết quả là login bị fail.
Bạn nên đọc kỹ những gì anh conmale viết.
Cảm ơn bác, tuy nhiên ý em là khi ông không có thẩm quyền đó lấy được cái giá trị hash "loằng ngoằng" đó thì ông ấy chuyển luôn cho máy chủ xác thực (không cho ứng dụng hash tiếp). Vậy thì vẫn hợp lệ chứ ạ.
Thật tình tôi không hiểu ý bồ muốn nói cái gì ở đây. Bồ trình bày rõ hơn được không? "Ông ấy chuyển luôn" là chuyển cái gì luôn?
Tại sao không chịu đọc kỹ những thảo luận ở trên mà cứ đọc lướt lướt rồi tiếp tục hỏi nhỉ? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 00:37:13 (+0700) | #15 | 193746 |
|
khanhqhi
Member
|
0 |
|
|
Joined: 27/05/2008 18:02:54
Messages: 27
Offline
|
|
Theo em ý bạn ấy là một mật khẩu được hash ra thành "AKNsa2434234234" chẳng hạn mà ai đó bắt được gói tin có chứa cái pass đã hash này thì người ta dùng nó để gửi luôn cái này cho server để xác thực luôn, không cần phải có pasword dạng clear text nữa. Hi theo em hiểu và cũng thắc mắc là thế |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 00:46:40 (+0700) | #16 | 193747 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
Trước tiên nên xác định thế nào là mã hóa (encrypt), giải mã (decrypt) và tạo "băm" một chiều (one-way hashing) để tránh ngộ nhận. Mã hóa có nghĩa là biến a thành b dựa trên một số điều kiện nào đó và có thể chuyển b trở thành a lại (giải mã) dựa trên một số điều kiện nào đó. Trong khi đó, tạo "băm" một chiều có nghĩa là biến x thành y nhưng không thể chuyển y thành x được nữa. Bởi thế mới có cụm "một chiều".
Cái này em hiểu, trong tình huống này em muốn hỏi cái thao tác băm password, và cái này do phần mềm máy trạm thực hiện. (Đúng không ạ)
Hành động brute force các "băm" để dò giá trị nguyên thủy trước khi bị "băm" do thuật toán của nó vẫn có thể bị collision thường bị hiểu lầm là "giải mã". Thật sự brute force không phải là hành động giải mã dựa trên các điều kiện nào đó mà đó là hành động dò. "Brute force" thường mất rất nhiều thời gian (tính theo đơn vị ngày, giờ, tháng hoặc thậm chí năm) vì phải dò. Trong khi đó, "giải mã" chỉ xảy ra trong tích tắc vì đã có sẵn các điều kiện thực thi.
Cái này đúng là không phải giải mã, và cũng không phải tìm đụng độ. Cách thông dụng nhất để "dịch ngược giá trị hash" là dùng từ điển. Ví dụ, em có giá trị hash và em sẽ "tra" từ điển xem cái đó nó là kết quả của việc hash chuỗi đầu vào nào.
- Chúng có tác dụng , chức năng, công dụng, ứng dụng như thế nào ?
Trên context LDAP password hashing ở đây: chúng đều tạo hash của pasword. Công dụng của nó (đúng ra là của application dùng nó) để không chứa password ở dạng clear text mà chỉ chứa password ở dạng đã được hash.
Cái em thắc mắc là ở đây, "password ở dạng hash" là duy nhất (nếu không dùng OTP). Vậy "ông hacker" ổng xài cái này thì chả ngu gì ông lại cho phần mềm hash tiếp để ra cái hash mới như bác thangdiablo nói. Mà ông ấy sẽ dùng trực tiếp chuỗi này chuyển cho server.
Như vậy, thì có được không, tấn công có thành công không là ý em muốn hỏi.
Vấn đề này đọc thảo luận của các bác mãi không rõ.
Tại sao phải hash? Giả sử user A có password là a, password này được application "hash" nó thành 0cc175b9c0f1b6a831c399e269772661 rồi chứa vào CSDL. Khi user A login và dùng password a để đăng nhập, application sẽ hash a và so sánh giá trị vừa hash xong với giá trị đã lưu trong CSDL. Nếu chúng trùng nhau, user A được vào. Nếu hệ thống bị nhân nhượng, kẻ tấn công chỉ thu thập được hashed password và nếu muốn dùng chúng, hắn phải brute force nó (mất thời gian và ít thành công).
Hiểu luôn.
|
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 00:48:17 (+0700) | #17 | 193748 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
khanhqhi wrote:
Theo em ý bạn ấy là một mật khẩu được hash ra thành "AKNsa2434234234" chẳng hạn mà ai đó bắt được gói tin có chứa cái pass đã hash này thì người ta dùng nó để gửi luôn cái này cho server để xác thực luôn, không cần phải có pasword dạng clear text nữa. Hi theo em hiểu và cũng thắc mắc là thế
Cảm ơn bác. mỗi bác hiểu em |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 01:08:48 (+0700) | #18 | 193751 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
khanhqhi wrote:
Theo em ý bạn ấy là một mật khẩu được hash ra thành "AKNsa2434234234" chẳng hạn mà ai đó bắt được gói tin có chứa cái pass đã hash này thì người ta dùng nó để gửi luôn cái này cho server để xác thực luôn, không cần phải có pasword dạng clear text nữa. Hi theo em hiểu và cũng thắc mắc là thế
Không được ở chỗ người dùng vẫn phải đăng nhập mật khẩu và ứng dụng web phải hash cái mât khẩu ấy để so sánh với giá trị có trong CSDL. Ứng dụng web vẫn nhận cái hash đó nhưng nó sẽ "đối xử" cái hash ấy như một password và sẽ hash cái hash rồi so sánh với giá trị có sẵn trong CSDL --> kết quả sẽ sai vì giá trị hash của cái hash không bao giờ là giá trị hash của cái password nguyên thủy. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 01:52:29 (+0700) | #19 | 193756 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
conmale wrote:
Không được ở chỗ người dùng vẫn phải đăng nhập mật khẩu và ứng dụng web phải hash cái mât khẩu ấy để so sánh với giá trị có trong CSDL. Ứng dụng web vẫn nhận cái hash đó nhưng nó sẽ "đối xử" cái hash ấy như một password và sẽ hash cái hash rồi so sánh với giá trị có sẵn trong CSDL --> kết quả sẽ sai vì giá trị hash của cái hash không bao giờ là giá trị hash của cái password nguyên thủy.
Cảm ơn bác, em đã hiểu, như vậy: xét về mặt an toàn trong trường hợp này "ứng dụng web sẽ quyết định tất cả". Và cách để tấn công giả mạo ứng dụng kiểu này em nghĩ là không khó. (Em nghĩ thôi ạ). |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 04:07:35 (+0700) | #20 | 193767 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hvthang wrote:
conmale wrote:
Không được ở chỗ người dùng vẫn phải đăng nhập mật khẩu và ứng dụng web phải hash cái mât khẩu ấy để so sánh với giá trị có trong CSDL. Ứng dụng web vẫn nhận cái hash đó nhưng nó sẽ "đối xử" cái hash ấy như một password và sẽ hash cái hash rồi so sánh với giá trị có sẵn trong CSDL --> kết quả sẽ sai vì giá trị hash của cái hash không bao giờ là giá trị hash của cái password nguyên thủy.
Cảm ơn bác, em đã hiểu, như vậy: xét về mặt an toàn trong trường hợp này "ứng dụng web sẽ quyết định tất cả". Và cách để tấn công giả mạo ứng dụng kiểu này em nghĩ là không khó. (Em nghĩ thôi ạ).
Dựa trên những điểm nào mà bồ "nghĩ" như thế? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 04:26:03 (+0700) | #21 | 193768 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
conmale wrote:
Dựa trên những điểm nào mà bồ "nghĩ" như thế?
Dựa trên một số điểm như là:
1. Các ứng dụng web sẽ rất đa dạng, và không phải cái nào cũng được xây dựng tốt. Nếu tính an toàn của cả hệ thống phụ thuộc vào nó thì sẽ rất khó quản lý vì mỗi ứng dụng có mức độ an toàn khác nhau.
2. Nếu xử lý được việc quản lý định danh một cách độc lập (tức là nó không phụ thuộc quá nhiều vào ứng dụng) như vậy sẽ an toàn hơn.
3. Thực tế người ta cũng đã làm như vậy: sử dụng one time password, certificate thay cho việc xác thực bằng mỗi password. Nó sẽ đảm bảo an toàn trên cả lý thuyết (các chứng minh toán học,...) và thực tế. Tuy nhiên nó chỉ ứng dụng ở nhưng giao dịch cần bảo mật cao.
4. Em không phủ nhận độ an toàn của phương pháp hash password này. Cái em băn khoăn vẫn là bị tấn công bằng cách giả mạo ứng dụng và sử dụng giá trị hash. Có lẽ em hiểu còn cạn nên chưa rõ vấn đề. Mong các bác khai sáng cho bằng một số giải thích cụ thể, chứ đừng phản biện em nhiều quá. (Em đọc cái "đặt câu hỏi thông minh của nhà mình rồi ạ"). |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 20:48:47 (+0700) | #22 | 193806 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
hvthang wrote:
conmale wrote:
Dựa trên những điểm nào mà bồ "nghĩ" như thế?
Dựa trên một số điểm như là:
1. Các ứng dụng web sẽ rất đa dạng, và không phải cái nào cũng được xây dựng tốt. Nếu tính an toàn của cả hệ thống phụ thuộc vào nó thì sẽ rất khó quản lý vì mỗi ứng dụng có mức độ an toàn khác nhau.
Tính đa dạng của các ứng dụng web không phải là lý do giúp cho "tấn công giả mạo ứng dụng kiểu này em nghĩ là không khó" như bồ đã nhận định. Bồ đi từ chuyện "hash password" ở biên độ khá cụ thể sang chuyện "ứng dụng đa dạng của web application" rồi trải rộng ra "mỗi ứng dụng có mức độ an toàn khác nhau" thì càng xa nữa. Khi nói đến sự "đa dạng của ứng dụng web" bồ phải nói cụ thể là những ứng dụng gì, có tính năng gì, cho mục đích gì và chúng có liên hệ thế nào đến "hash password" thì nó mới đi sát vào chủ đề và đi sát vào câu hỏi tôi đặt ra.
hvthang wrote:
2. Nếu xử lý được việc quản lý định danh một cách độc lập (tức là nó không phụ thuộc quá nhiều vào ứng dụng) như vậy sẽ an toàn hơn.
Câu này quá mơ hồ. Nó liên quan gì đến "password hashing"? "Password hashing" nằm ở đâu trong việc "quản lý định danh"? và nếu nó "phụ thuộc quá nhiều vào ứng dụng" thì nó phụ thuộc cụ thể ở những khía cạnh nào?
hvthang wrote:
3. Thực tế người ta cũng đã làm như vậy: sử dụng one time password, certificate thay cho việc xác thực bằng mỗi password. Nó sẽ đảm bảo an toàn trên cả lý thuyết (các chứng minh toán học,...) và thực tế. Tuy nhiên nó chỉ ứng dụng ở nhưng giao dịch cần bảo mật cao.
"one time password" có đụng đến "hashing password" không? Nếu có, tại sao loại bỏ hashing password ra và thay thế bằng "one time password"? Nếu không, nó liên quan gì đến chi tiết đang bàn cãi về tính bảo mật của "hashing password" ("có thể tấn công giả mạo ứng dụng" mà bồ đưa ra)?
hvthang wrote:
4. Em không phủ nhận độ an toàn của phương pháp hash password này. Cái em băn khoăn vẫn là bị tấn công bằng cách giả mạo ứng dụng và sử dụng giá trị hash. Có lẽ em hiểu còn cạn nên chưa rõ vấn đề. Mong các bác khai sáng cho bằng một số giải thích cụ thể, chứ đừng phản biện em nhiều quá. (Em đọc cái "đặt câu hỏi thông minh của nhà mình rồi ạ").
Cụ thể "giả mạo ứng dụng" là làm cái gì khiến cho bồ băn khoăn?
PS: tôi không "phản biện" bồ. Bồ dùng từ sai rồi. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
23/09/2009 22:56:13 (+0700) | #23 | 193814 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
conmale wrote:
Tính đa dạng của các ứng dụng web không phải là lý do giúp cho "tấn công giả mạo ứng dụng kiểu này em nghĩ là không khó" như bồ đã nhận định. Bồ đi từ chuyện "hash password" ở biên độ khá cụ thể sang chuyện "ứng dụng đa dạng của web application" rồi trải rộng ra "mỗi ứng dụng có mức độ an toàn khác nhau" thì càng xa nữa. Khi nói đến sự "đa dạng của ứng dụng web" bồ phải nói cụ thể là những ứng dụng gì, có tính năng gì, cho mục đích gì và chúng có liên hệ thế nào đến "hash password" thì nó mới đi sát vào chủ đề và đi sát vào câu hỏi tôi đặt ra.
Điểm này bác giải thích em đã rõ, còn việc nói cụ thể "ứng dụng gì", "mục đích gì" thì em xin không bàn ở đây. (Khi thảo luận vấn đề này, đơn thuần chỉ vì có thắc mắc chỗ độ an toàn của việc "hash password" (hashing )
conmale wrote:
Câu này quá mơ hồ. Nó liên quan gì đến "password hashing"? "Password hashing" nằm ở đâu trong việc "quản lý định danh"? và nếu nó "phụ thuộc quá nhiều vào ứng dụng" thì nó phụ thuộc cụ thể ở những khía cạnh nào?
Có lẽ em nói mơ hồ thật, ý em là việc người dùng nhập password, username, rồi máy chủ quản lý thông tin người dùng (một trong các thủ tục quản lý định danh ạ). Khi đó cần có phương pháp an toàn nhất, và password hashing nó gián tiếp ảnh hưởng đến vấn đề này.
conmale wrote:
"one time password" có đụng đến "hashing password" không? Nếu có, tại sao loại bỏ hashing password ra và thay thế bằng "one time password"? Nếu không, nó liên quan gì đến chi tiết đang bàn cãi về tính bảo mật của "hashing password" ("có thể tấn công giả mạo ứng dụng" mà bồ đưa ra)?
OTP về cơ bản thì không cần hashing làm gì cả. Còn liên quan về tính bảo mật ở đây là: hashing password không an toàn bằng OTP, thực tế đã chứng minh: các dịch vụ banking, e-commerce, đều hạn chế dùng cơ chế đăng nhập bằng password rồi ứng dụng hashing và gửi đi. Họ có thể dùng kết hợp cả hashing để làm tăng độ an toàn. Và ý em đưa ra là để chứng minh cái hashing đó không an toàn (bằng các phương pháp cao cấp khác).
conmale wrote:
PS: tôi không "phản biện" bồ. Bồ dùng từ sai rồi.
Vâng, dùng "bắt bẻ" thì đúng hơn. Bởi ở đây bác là người rõ vấn đề và em là người đang muốn hỏi. Bác không trả lời mà cứ đi hỏi lại em. (Em không phải vào đây để thể hiện là tôi biết cái này rồi - bởi thực sự em chưa rõ).
|
|
|
|
|
[Question] quan sát gói tin trong mạng LAN |
24/09/2009 03:01:15 (+0700) | #24 | 193836 |
B 0 0 B
Member
|
0 |
|
|
Joined: 31/07/2009 17:19:41
Messages: 149
Offline
|
|
@hvthang: bác không chịu hiểu, mà cứ nghĩ là đc. tóm lại hash password là an toàn, từ lúc ra đời tới giờ có ai crack đc nó đâu?
tất các các application trước khi gửi username và pass để chứng thực với server thì phải qua bước hash pass rồi mới đc. làm sao bồ wa đc?
sở ji các ngân hàng thêm opt, token card là để thêm an toàn, sợ attacker cài keylog biết password trước khi hash thì đăng nhập đc thôi, họ kết hợp thêm chứ ko loại bỏ pp hash.
@conmale: em hỏi lại câu hỏi đầu?
thuật toán của nó vẫn có thể bị collision thường bị hiểu lầm là "giải mã
collision ở đây là gì anh, khi nào bị? |
|
|
|
|
[Question] quan sát gói tin trong mạng LAN |
24/09/2009 03:53:12 (+0700) | #25 | 193839 |
mr.khungxox
Member
|
0 |
|
|
Joined: 23/06/2007 13:43:16
Messages: 117
Offline
|
|
collision ở đây là gì anh, khi nào bị?
Theo mình được biết thì collision ở đây có nghĩa là bạn mò đại thế nào mà tự dưng kiếm được một cái từ hay 1 cụm từ vớ vẩn nào đó có giá trị hash trùng với giá trị hash của password của bạn. Ví dụ :
Mình có password là "123456" -->hash value="abcdefghijklmn"
tự dưng mình cũng mò ra được một khóa từ thứ 2 : "789" -->hash value="abcdefghijklmn" luôn. --xảy ra collision
đó là một nghĩa nhỏ của từ collision.
PS: đúng không bác conmale
|
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
25/09/2009 01:23:01 (+0700) | #26 | 193906 |
|
kamikazeq
Member
|
0 |
|
|
Joined: 04/07/2006 03:20:53
Messages: 837
Location: Panic Malware Planet
Offline
|
|
@hvthang:
Mình không rành lắm vụ này. Nhưng cũng có ý kiến.
Có lẽ bạn phải toàn quyền được cái server đó rồi mới bắt nó "làm ngơ" để không đem cái pass (đã được băm) bạn đi băm thêm lần nữa .
Chứ hiện tại thì chưa có cách nào đánh lừa server để pass khỏi phải bị băm. (mà theo bạn nói ở trên là dùng ứng dụng liên quan Web Browser) |
|
IDM 5.18 http://tinyurl.com/pl2ejj | Quick Remove Malware http://tinyurl.com/lbbm9x - http://tinyurl.com/arna6g |
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
25/09/2009 04:32:47 (+0700) | #27 | 193921 |
hvthang
Member
|
0 |
|
|
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
|
|
kamikazeq wrote:
@hvthang:
Mình không rành lắm vụ này. Nhưng cũng có ý kiến.
Có lẽ bạn phải toàn quyền được cái server đó rồi mới bắt nó "làm ngơ" để không đem cái pass (đã được băm) bạn đi băm thêm lần nữa .
Chứ hiện tại thì chưa có cách nào đánh lừa server để pass khỏi phải bị băm. (mà theo bạn nói ở trên là dùng ứng dụng liên quan Web Browser)
Vậy là đã rõ,
Phương pháp này có độ an toàn nhất định, không tấn công được theo cách em đã nghĩ.
Mong các bác thông cảm, em chỉ muốn bảo vệ quan điểm của mình đến khi nào có thể nên mới "vận dụng" tối đa hiểu biết về mấy cái liên quan để thực hiện việc đó.
|
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
05/10/2009 23:24:38 (+0700) | #28 | 194792 |
Cuncon201
Member
|
0 |
|
|
Joined: 12/08/2009 04:37:42
Messages: 7
Offline
|
|
hvthang wrote:
OTP về cơ bản thì không cần hashing làm gì cả.
Bạn sai rồi OTP vẩn phải dùng hashing. Vì OTP nó kết hợp secret + time (có thể cộng cả mã PIN nếu sài mobile) rồi hashing chúng ra thành OTP.
Và theo mình nghĩ tốt nhất khi sài mật khẩu OTP trên web vẩn nên hashing 1 lần nữa. Cho an toàn |
|
|
|
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
07/10/2009 04:11:09 (+0700) | #29 | 194913 |
|
satzoom
Member
|
0 |
|
|
Joined: 12/04/2008 16:44:44
Messages: 59
Location: Top of the Hell
Offline
|
|
Không biết thế nào chứ? Mấy cái mã hóa đó, chúng nó bẻ ngon ơ... |
|
One person's sadness sometimes brings the happiness to the others. |
|
[Question] Tìm hiểu phương thức mã hoá mật khẩu như SHA, SSHA, MD5, SMD5, CRYPT |
07/10/2009 04:17:39 (+0700) | #30 | 194914 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
satzoom wrote:
Không biết thế nào chứ? Mấy cái mã hóa đó, chúng nó bẻ ngon ơ...
Đề nghị tham gia sát với chủ đề. |
|
What bringing us together is stronger than what pulling us apart. |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|