in progetto: doppia password

rejetto · **on:** April 09, 2002, 09:40:01 AM

discutendo con leo

quote:

il problema è che la pwd di icq, se salvata, va salvata integralmente, che è pericoloso
sto pensando di salvare una pwd per &RQ, salvata in MD5 o peggio, da usare per tutte le questioni relative alla sicurezza (crypt history, lock-on-start, etc)

Kirys · **Reply #1 on:** May 25, 2002, 09:51:14 AM

md5 non e'invertibile

rejetto · **Reply #2 on:** May 25, 2002, 02:03:47 PM

lo so, infatti l'utente sarebbe costretto ad inserirla in partenza se la usa
questo sistema servirebbe a chi vuole un po' di sicurezza

rejetto · **Reply #3 on:** May 25, 2002, 02:15:32 PM

cioè, il discorso è che se faccio una doppia password l'utente può semplicemente tenere le 2 password uguali e niente+.
ma uno che ci tiene potrebbe utilizzare una password diversa e + lunga, tieni conto che icq non supporta password + lunghe di 8 caratteri.

Kirys · **Reply #4 on:** May 25, 2002, 03:16:57 PM

si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri, se poi invece vuoi criptare i dati di log, uinlist ecc ok ma allora md5 non serve a nulla, almeno che tu non voglia usare l'hash md5 come chiave di crypt.

rejetto · **Reply #5 on:** May 26, 2002, 01:57:44 AM

> si ma e' inutile proteggere la pw di icq xche tanto e' di 8 caratteri

non ho capito xkè non dovrei proteggerla

> se poi invece vuoi criptare i dati di log, uinlist ecc ok

non è che metto una password per ogni cosa, una volta scelta una password la uso per crittare tutto quello che c'è da crittare

> ma allora md5 non serve a nulla, almeno che tu non voglia
> usare l'hash md5 come chiave di crypt.

la chiave di crittaggio si basa su un hash stupido della della password.
l'md5 serve invece per salvare la password la password stessa, xkè così posso autenticare l'utente ma evito che altri recuperino la password da disco decrittandola.
Attualmente la sicurezza della password è dovuta solo ad un crittaggio ad algoritmo 'nascosto', che non solo non è granchè ma è accettabile solo finchè non rilascio i sorgenti.

Kirys · **Reply #6 on:** May 26, 2002, 08:27:55 AM

di algoritmi buoni e os ne esistono a iosa

ma non credo che sia necessario indicarti dove cercare

rejetto · **Reply #7 on:** May 26, 2002, 01:37:31 PM

intendi dire che non dovrei usare md5 per l'hashing?

Kirys · **Reply #8 on:** May 26, 2002, 06:55:53 PM

md5 e' di hash non di encrypt.
se vuoi criptare i dati ti serva un'altra cosa

rejetto · **Reply #9 on:** May 27, 2002, 07:20:02 AM

certo che non voglio usarlo per crittare, tant'è che non l'ho scritto da nessuna parte

ho detto invece per salvare la password, e che non sia reversibile è proprio quello che voglio.
è un metodo semplice per riconoscere se una password è giusta
poi quella password la uso per decrittare i dati.
se posso capire senza l'hash che la password è sbagliata, allora probabilmente non è difficile dedurre la password dai dati crittati.

Anonymous · **Reply #10 on:** July 29, 2002, 01:07:03 AM

......la metà delle parole che avete scritto non so manco come si pronuncia... :eek: :eek: :eek:

in progetto: doppia password

Anonymous