rejetto forum

Software => &RQ => Italiano => Topic started by: rejetto on April 09, 2002, 09:40:01 AM

Title: in progetto: doppia password
Post by: rejetto on April 09, 2002, 09:40:01 AM

discutendo con leo

quote:

---

il problema è che la pwd di icq, se salvata, va salvata integralmente, che è pericoloso
sto pensando di salvare una pwd per &RQ, salvata in MD5 o peggio, da usare per tutte le questioni relative alla sicurezza (crypt history, lock-on-start, etc)

---

 

Title: in progetto: doppia password
Post by: Kirys on May 25, 2002, 09:51:14 AM

md5 non e'invertibile :)

Title: in progetto: doppia password
Post by: rejetto on May 25, 2002, 02:03:47 PM

lo so, infatti l'utente sarebbe costretto ad inserirla in partenza se la usa
questo sistema servirebbe a chi vuole un po' di sicurezza

Title: in progetto: doppia password
Post by: rejetto on May 25, 2002, 02:15:32 PM

cioè, il discorso è che se faccio una doppia password l'utente può semplicemente tenere le 2 password uguali e niente+.
ma uno che ci tiene potrebbe utilizzare una password diversa e + lunga, tieni conto che icq non supporta password + lunghe di 8 caratteri.

Title: in progetto: doppia password
Post by: Kirys on May 25, 2002, 03:16:57 PM

si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri, se poi invece vuoi criptare i dati di log, uinlist ecc ok ma allora md5 non serve a nulla, almeno che tu non voglia usare l'hash md5 come chiave di crypt.

Title: in progetto: doppia password
Post by: rejetto on May 26, 2002, 01:57:44 AM

> si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri

non ho capito xkè non dovrei proteggerla

> se poi invece vuoi criptare i dati di log, uinlist ecc ok

non è che metto una password per ogni cosa, una volta scelta una password la uso per crittare tutto quello che c'è da crittare

> ma allora md5 non serve a nulla, almeno che tu non voglia
> usare l'hash md5 come chiave di crypt.

la chiave di crittaggio si basa su un hash stupido della della password.
l'md5 serve invece per salvare la password la password stessa, xkè così posso autenticare l'utente ma evito che altri recuperino la password da disco decrittandola.
Attualmente la sicurezza della password è dovuta solo ad un crittaggio ad algoritmo 'nascosto', che non solo non è granchè ma è accettabile solo finchè non rilascio i sorgenti.

Title: in progetto: doppia password
Post by: Kirys on May 26, 2002, 08:27:55 AM

di algoritmi buoni e os ne esistono a iosa :)
ma non credo che sia necessario indicarti dove cercare :D

Title: in progetto: doppia password
Post by: rejetto on May 26, 2002, 01:37:31 PM

intendi dire che non dovrei usare md5 per l'hashing?

Title: in progetto: doppia password
Post by: Kirys on May 26, 2002, 06:55:53 PM

md5 e' di hash non di encrypt.
se vuoi criptare i dati ti serva un'altra cosa :)

Title: in progetto: doppia password
Post by: rejetto on May 27, 2002, 07:20:02 AM

certo che non voglio usarlo per crittare, tant'è che non l'ho scritto da nessuna parte :)
ho detto invece per salvare la password, e che non sia reversibile è proprio quello che voglio.
è un metodo semplice per riconoscere se una password è giusta
poi quella password la uso per decrittare i dati.
se posso capire senza l'hash che la password è sbagliata, allora probabilmente non è difficile dedurre la password dai dati crittati.

Title: in progetto: doppia password
Post by: Anonymous on July 29, 2002, 01:07:03 AM

......la metà delle parole che avete scritto non so manco come si pronuncia... :eek:  :eek:  :eek: