Author Topic: in progetto: doppia password  (Read 3573 times)

0 Members and 1 Guest are viewing this topic.

Offline rejetto

  • Administrator
  • Tireless poster
  • *
  • Posts: 12949
    • View Profile
in progetto: doppia password
« on: April 09, 2002, 09:40:01 AM »
discutendo con leo

quote:

il problema è che la pwd di icq, se salvata, va salvata integralmente, che è pericoloso
sto pensando di salvare una pwd per &RQ, salvata in MD5 o peggio, da usare per tutte le questioni relative alla sicurezza (crypt history, lock-on-start, etc)




 

Offline Kirys

  • Occasional poster
  • *
  • Posts: 30
    • View Profile
    • http://www.kt2k.com
in progetto: doppia password
« Reply #1 on: May 25, 2002, 09:51:14 AM »
md5 non e'invertibile :)

Offline rejetto

  • Administrator
  • Tireless poster
  • *
  • Posts: 12949
    • View Profile
in progetto: doppia password
« Reply #2 on: May 25, 2002, 02:03:47 PM »
lo so, infatti l'utente sarebbe costretto ad inserirla in partenza se la usa
questo sistema servirebbe a chi vuole un po' di sicurezza

Offline rejetto

  • Administrator
  • Tireless poster
  • *
  • Posts: 12949
    • View Profile
in progetto: doppia password
« Reply #3 on: May 25, 2002, 02:15:32 PM »
cioè, il discorso è che se faccio una doppia password l'utente può semplicemente tenere le 2 password uguali e niente+.
ma uno che ci tiene potrebbe utilizzare una password diversa e + lunga, tieni conto che icq non supporta password + lunghe di 8 caratteri.

Offline Kirys

  • Occasional poster
  • *
  • Posts: 30
    • View Profile
    • http://www.kt2k.com
in progetto: doppia password
« Reply #4 on: May 25, 2002, 03:16:57 PM »
si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri, se poi invece vuoi criptare i dati di log, uinlist ecc ok ma allora md5 non serve a nulla, almeno che tu non voglia usare l'hash md5 come chiave di crypt.

Offline rejetto

  • Administrator
  • Tireless poster
  • *
  • Posts: 12949
    • View Profile
in progetto: doppia password
« Reply #5 on: May 26, 2002, 01:57:44 AM »
> si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri

non ho capito xkè non dovrei proteggerla

> se poi invece vuoi criptare i dati di log, uinlist ecc ok

non è che metto una password per ogni cosa, una volta scelta una password la uso per crittare tutto quello che c'è da crittare

> ma allora md5 non serve a nulla, almeno che tu non voglia
> usare l'hash md5 come chiave di crypt.

la chiave di crittaggio si basa su un hash stupido della della password.
l'md5 serve invece per salvare la password la password stessa, xkè così posso autenticare l'utente ma evito che altri recuperino la password da disco decrittandola.
Attualmente la sicurezza della password è dovuta solo ad un crittaggio ad algoritmo 'nascosto', che non solo non è granchè ma è accettabile solo finchè non rilascio i sorgenti.

Offline Kirys

  • Occasional poster
  • *
  • Posts: 30
    • View Profile
    • http://www.kt2k.com
in progetto: doppia password
« Reply #6 on: May 26, 2002, 08:27:55 AM »
di algoritmi buoni e os ne esistono a iosa :)
ma non credo che sia necessario indicarti dove cercare :D

Offline rejetto

  • Administrator
  • Tireless poster
  • *
  • Posts: 12949
    • View Profile
in progetto: doppia password
« Reply #7 on: May 26, 2002, 01:37:31 PM »
intendi dire che non dovrei usare md5 per l'hashing?

Offline Kirys

  • Occasional poster
  • *
  • Posts: 30
    • View Profile
    • http://www.kt2k.com
in progetto: doppia password
« Reply #8 on: May 26, 2002, 06:55:53 PM »
md5 e' di hash non di encrypt.
se vuoi criptare i dati ti serva un'altra cosa :)

Offline rejetto

  • Administrator
  • Tireless poster
  • *
  • Posts: 12949
    • View Profile
in progetto: doppia password
« Reply #9 on: May 27, 2002, 07:20:02 AM »
certo che non voglio usarlo per crittare, tant'è che non l'ho scritto da nessuna parte :)
ho detto invece per salvare la password, e che non sia reversibile è proprio quello che voglio.
è un metodo semplice per riconoscere se una password è giusta
poi quella password la uso per decrittare i dati.
se posso capire senza l'hash che la password è sbagliata, allora probabilmente non è difficile dedurre la password dai dati crittati.

Anonymous

  • Guest
in progetto: doppia password
« Reply #10 on: July 29, 2002, 01:07:03 AM »
......la metà delle parole che avete scritto non so manco come si pronuncia... :eek:  :eek:  :eek: