Frage

Ich habe eine Unmenge an Informationen über Hashing und Salze Passwörter lesen, das zu tun, nicht usw. Das Problem, das ich sehe, ist dies: Wenn ein Hacker durch die Bemühungen gehen wird die Liste der Hash-Passwörter zu stehlen, doesn ‚t er hat dann Zugriff auf alle Daten, das Passwort geschützt ist? Es ist wie die Kombination zu einem sicheren Speicher, in , um den Safe. Einreiten und die Kombination zu stehlen. Wenn ich der Dieb wäre, würde ich das Geld nehmen.

Nun wird ein großes Unternehmen hat wahrscheinlich einen separaten Server nur für die Authentifizierung. Allerdings will der Hacker Daten, Passwörter nicht. Also, wenn beide Server gleich sind, würde ich brechen in die eine, die die Daten enthält.

Gibt es einige grundlegende Fehler der Computer-Sicherheit, dass ich hier fehlt? Gibt es nicht-soziale Möglichkeiten, ein Passwort ohne die Hash-Datei zu knacken?

Vielen Dank für Ihre Unterstützung.

- Dave

War es hilfreich?

Lösung

Sie gehen davon eine solche Person hat Zugriff auf die gesamte Datenbank. Dies ist nicht immer der Fall. Sie können auf einer Seite gestolpert, wo die Hash-Werte für die Nutzer versehentlich ausgesetzt sind (und haben somit keinen Zugang zu anderen Teilen des DB), oder sie haben können gebrauchte SQL-Injection bestimmte Daten aus in Art und Weise zu ziehen, die (zum Beispiel beschränkt ist, sie haben heraus vielleicht gedacht, dass Ihre Benutzer Tabelle users genannt wird, aber nicht, dass Ihre Kreditkarten-Tabelle lolcats genannt).

Ein weiterer Sicherheitsaspekt ist Ihre intern IT-Leute. Entwickler mit legitimen Zugriff auf die Datenbank sollte in der Regel noch nicht alle Passwörter im Klartext sehen werden.

Andere Tipps

Ein Grund dafür ist, dass die meisten Benutzer das gleiche Passwort für mehrere Konten haben. Ein ungehashte Passwort bedeutet meine Konten auf anderen Seiten kompromittiert werden könnten - vor allem, weil E-Mail ein gemeinsames Feld für Anmeldungen ist. Durch Hashing Passwörter, wenn eine Website ihre db hat gestohlen ich geschützt bin zur gleichen Zeit per E-Mail-Konto kompromittiert aus mit.

werden die meisten Benutzer-Passwörter über mehrere Systeme hinweg wiederverwenden. Wenn ein Angreifer bricht in Ihrem System, die Sie nicht wollen ihn in der Lage sein, Ihre Daten zu verwenden, um in Ihrer Benutzer-Accounts auf verschiedenen Websites zu brechen.

Auch wenn Sie Daten zu verschlüsseln das Passwort des Benutzers verwenden, und speichern nur einen Hash des Passworts, dann wird ein Angreifer nicht in der Lage sein, etwas zu tun, auch wenn er die gesamte Datenbank bekommt, wenn er nicht die Hashes knacken kann. Beachten Sie, dass dies wäre es völlig unmöglich machen, ein zu implementieren ‚Passwort vergessen‘ -Funktion, wenn Sie eine Möglichkeit haben, die Daten mit der Sicherheit Antwort (so dass es in der Tat ein zweites Passwort)

zu entschlüsseln
Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top