rejetto forum

in progetto: doppia password

rejetto · 11 · 3824

0 Members and 1 Guest are viewing this topic.

Offline rejetto

  • Administrator
  • Tireless poster
  • *****
    • Posts: 13275
    • View Profile
discutendo con leo

quote:

il problema è che la pwd di icq, se salvata, va salvata integralmente, che è pericoloso
sto pensando di salvare una pwd per &RQ, salvata in MD5 o peggio, da usare per tutte le questioni relative alla sicurezza (crypt history, lock-on-start, etc)




 



Offline rejetto

  • Administrator
  • Tireless poster
  • *****
    • Posts: 13275
    • View Profile
lo so, infatti l'utente sarebbe costretto ad inserirla in partenza se la usa
questo sistema servirebbe a chi vuole un po' di sicurezza


Offline rejetto

  • Administrator
  • Tireless poster
  • *****
    • Posts: 13275
    • View Profile
cioè, il discorso è che se faccio una doppia password l'utente può semplicemente tenere le 2 password uguali e niente+.
ma uno che ci tiene potrebbe utilizzare una password diversa e + lunga, tieni conto che icq non supporta password + lunghe di 8 caratteri.


Offline Kirys

  • Occasional poster
  • *
    • Posts: 30
    • View Profile
    • http://www.kt2k.com
si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri, se poi invece vuoi criptare i dati di log, uinlist ecc ok ma allora md5 non serve a nulla, almeno che tu non voglia usare l'hash md5 come chiave di crypt.


Offline rejetto

  • Administrator
  • Tireless poster
  • *****
    • Posts: 13275
    • View Profile
> si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri

non ho capito xkè non dovrei proteggerla

> se poi invece vuoi criptare i dati di log, uinlist ecc ok

non è che metto una password per ogni cosa, una volta scelta una password la uso per crittare tutto quello che c'è da crittare

> ma allora md5 non serve a nulla, almeno che tu non voglia
> usare l'hash md5 come chiave di crypt.

la chiave di crittaggio si basa su un hash stupido della della password.
l'md5 serve invece per salvare la password la password stessa, xkè così posso autenticare l'utente ma evito che altri recuperino la password da disco decrittandola.
Attualmente la sicurezza della password è dovuta solo ad un crittaggio ad algoritmo 'nascosto', che non solo non è granchè ma è accettabile solo finchè non rilascio i sorgenti.


Offline Kirys

  • Occasional poster
  • *
    • Posts: 30
    • View Profile
    • http://www.kt2k.com
di algoritmi buoni e os ne esistono a iosa :)
ma non credo che sia necessario indicarti dove cercare :D


Offline rejetto

  • Administrator
  • Tireless poster
  • *****
    • Posts: 13275
    • View Profile
intendi dire che non dovrei usare md5 per l'hashing?


Offline Kirys

  • Occasional poster
  • *
    • Posts: 30
    • View Profile
    • http://www.kt2k.com
md5 e' di hash non di encrypt.
se vuoi criptare i dati ti serva un'altra cosa :)


Offline rejetto

  • Administrator
  • Tireless poster
  • *****
    • Posts: 13275
    • View Profile
certo che non voglio usarlo per crittare, tant'è che non l'ho scritto da nessuna parte :)
ho detto invece per salvare la password, e che non sia reversibile è proprio quello che voglio.
è un metodo semplice per riconoscere se una password è giusta
poi quella password la uso per decrittare i dati.
se posso capire senza l'hash che la password è sbagliata, allora probabilmente non è difficile dedurre la password dai dati crittati.


Anonymous

  • Guest
......la metà delle parole che avete scritto non so manco come si pronuncia... :eek:  :eek:  :eek: