|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
napoleon
Unknown virus

liitunud: 08.12.2008
|
15.03.2018 19:11:46
|
|
|
| von Wu kirjutas: |
aaaaaaaaaaaa jaoks kulub 200 aastat.
Kahtlane jah. |
Tegelikult oleneb kuidas murdmise algoritm koostatud on ehk mis järjekorras see kombinatsioone läbi käib. Kui lihtsalt järjest proovida aa, ab ... az, ba, bb, ... bz, ..., ..., aaa, aab, ..., aaz jne. siis läheb aega. Aga kui on teada, et parool peab kas vähemalt või täpselt 12 märki olema, siis võib ka sekundite küsimus olla.
Ja noh, need ajad on nii ja naa, oleneb ka mis hashi kasutatud on
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
rtfm99
HV kasutaja
liitunud: 08.04.2007
|
15.03.2018 19:16:24
|
|
|
mul 145 aastatuhandet... liiga keeruline vist. mul pole nii pikalt vaja. peab vist nüüd parooli ära vahetama kui sellel lehel testitud.
_________________ |
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
15.03.2018 19:20:26
|
|
|
| rtfm99 kirjutas: |
| mul 145 aastatuhandet... liiga keeruline vist. mul pole nii pikalt vaja. peab vist nüüd parooli ära vahetama kui sellel lehel testitud. |
Soovitan krediitkaardi ka ära kontrollida http://ismycreditcardstolen.com/
NB! kes naljale pihta ei saanud, siis mina ei võta endale mingit vastutust, kui oma krediitkaardi andmed sinna sisestate. Rangelt soovitav on seda mitte teha.
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
rtfm99
HV kasutaja
liitunud: 08.04.2007
|
15.03.2018 19:21:43
|
|
|
kirjutage sinna lammasonmaitsev. mis numbrid teile annab? mul 4685 aastatuhandet.
_________________ |
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
mTim
HV Guru

liitunud: 19.10.2004
|
15.03.2018 20:18:44
|
|
|
Norm, üks password mida kasutan on 3 sajandit ja teine 9011 MILLENNIA, 8 CENTURIES, 9 DECADES, 1 YEARS, 1 MONTHS, 2 DAYS, 3 HOURS, 39 MINUTES, 36 SECONDS, 64 JIFFIES, 8 MILLISECONDS
suht ok, aga jah. Pigem on fishida või keyloggerdamine mõistlikum, kui jõuga murda
_________________ Lexuse summutist tuleb vaid lilleõisi ja ükssarvepeeru - HV foorum
M: E36 varuosad |
|
| Kommentaarid: 47 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
42 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
15.03.2018 23:19:38
|
|
|
| LKits kirjutas: |
Parooli kohapealt ärge olge nii kindel. Tänapäeva sõnaraamatute skännid suudavad üpris andekalt paroole lahti murda. Asendatakse tähed numbritega, sõnade vahel on numbrid, suured väikesed tähed jne.
Ja kui sõnavara läbi käidud, tehakse ülejäänud sõnadest/tähtedest brute-force.
Piisavalt turvaline on ikkagist 100% random, 16+ tähemärki, suured-väikesed-tähed-numbrid minimaalselt.
Ning jah, kaheastmeline tuvastus. |
Keskkonda otse vist väga brute force abil ei kangutata, enamasti läheb parool lukku kui mingi arv kordi valesti panna. Hashi murdmise vastu on jälle salt päris tõhus ja suuremas osas kohtadest vist ka kasutusel. Salt'i võlu on see, et paharett võib salt'i ju teada, aga dictionary attack siis ikka ei toimi
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
15.03.2018 23:34:05
|
|
|
| napoleon kirjutas: |
| LKits kirjutas: |
Parooli kohapealt ärge olge nii kindel. Tänapäeva sõnaraamatute skännid suudavad üpris andekalt paroole lahti murda. Asendatakse tähed numbritega, sõnade vahel on numbrid, suured väikesed tähed jne.
Ja kui sõnavara läbi käidud, tehakse ülejäänud sõnadest/tähtedest brute-force.
Piisavalt turvaline on ikkagist 100% random, 16+ tähemärki, suured-väikesed-tähed-numbrid minimaalselt.
Ning jah, kaheastmeline tuvastus. |
Keskkonda otse vist väga brute force abil ei kangutata, enamasti läheb parool lukku kui mingi arv kordi valesti panna. Hashi murdmise vastu on jälle salt päris tõhus ja suuremas osas kohtadest vist ka kasutusel. Salt'i võlu on see, et paharett võib salt'i ju teada, aga dictionary attack siis ikka ei toimi |
Kui pahalane teab hash-i ja salt-i, siis pole ju saltist väga kasu, saab ikka sõnaraamatu ja brute-force rakendada.
Salt on selle jaoks vajalik, et välistada erinevate keskkondade andmebaaside omavahelist võrdlust. Brute-force kohapealt salt ei määra erilist vastupanu, kui on salt ja soolamise algoritm teada.
Aga kokkuvõtvalt - tänapäeval on lihtsam kasutada turvaauke, kui mingeid paroole lahti murda. Samuti, raha või vägivald lahendab üpris paljud ajalised takistused.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
15.03.2018 23:56:16
|
|
|
| LKits kirjutas: |
| napoleon kirjutas: |
| LKits kirjutas: |
Parooli kohapealt ärge olge nii kindel. Tänapäeva sõnaraamatute skännid suudavad üpris andekalt paroole lahti murda. Asendatakse tähed numbritega, sõnade vahel on numbrid, suured väikesed tähed jne.
Ja kui sõnavara läbi käidud, tehakse ülejäänud sõnadest/tähtedest brute-force.
Piisavalt turvaline on ikkagist 100% random, 16+ tähemärki, suured-väikesed-tähed-numbrid minimaalselt.
Ning jah, kaheastmeline tuvastus. |
Keskkonda otse vist väga brute force abil ei kangutata, enamasti läheb parool lukku kui mingi arv kordi valesti panna. Hashi murdmise vastu on jälle salt päris tõhus ja suuremas osas kohtadest vist ka kasutusel. Salt'i võlu on see, et paharett võib salt'i ju teada, aga dictionary attack siis ikka ei toimi |
Kui pahalane teab hash-i ja salt-i, siis pole ju saltist väga kasu, saab ikka sõnaraamatu ja brute-force rakendada.
Salt on selle jaoks vajalik, et välistada erinevate keskkondade andmebaaside omavahelist võrdlust. Brute-force kohapealt salt ei määra erilist vastupanu, kui on salt ja soolamise algoritm teada.
|
Sa vist ei jaga matsu. Vaata http://md5decrypt.net/en/Sha1/ hashid testimiseks võid koostada näiteks http://www.sha1-online.com/
point on selles, et dictionary jaoks on juba andmebaasid olemas, kust murdosa sekundi jooksul levinumatele vastuse saad. Kui salt on kasutusel, siis pead kangutama iga parooli ükshaaval, see on juba oluliselt aeganõudvam tegevus.
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
16.03.2018 00:16:42
|
|
|
Sa vist ei jaga ise matsu. Ma ju ütlesin, et salt on kasulik ainult selleks, et takistada andmebaaside omavahelist võrdlust.
Get it? Ehk ei saa kasutada pre-made hash andmebaasi selleks, et lahti murda mingit parooli.
BRUTE-FORCE ei ole andmebaaside omavaheline võrdlus! BRUTE FORCE on sõna otseses mõttes iga kombinatsiooni läbiproovimine (ja ka näiteks salt lisamine) ning kindla hashiga võrdlemine.
Sõnaraamat võib kategoriseerida brute force alla, kui seda teha nii, et kõik sõnad (alustades sagedamini järjestuses olevatest) proovitakse teineteisega läbi, s.h erinevad kombinatsioonid, kus asendatakse sõnades olevaid tähti numbritega jms.
EDIT: Ning vajadusel lisada salt.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
The_Boss
HV Guru

liitunud: 13.01.2009
|
16.03.2018 00:28:35
|
|
|
Minu arust mõlemal siin ju õigus See takistab nii andmebaaside omavahel võrdlemist kui ka sama andmebaasi kirjete võrldust, eeldusel, et sool on juhuslik, mitte ühe andmebaasi igal kirjel sama.
Siit ka küsimus. Kas on juhuslik?
_________________ Pakun sülearvutite tolmupuhastust, termopasta vahetust, emaplaatide remonti ja BIOS paroolide eemaldust. |
|
| Kommentaarid: 360 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
284 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
16.03.2018 00:34:52
|
|
|
| Linuxi /etc/shadow failis on salt juhuslik ja igal kasutajal erinev. Muude lahenduste kohta ei tea
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
16.03.2018 01:00:48
|
|
|
| The_Boss kirjutas: |
Minu arust mõlemal siin ju õigus See takistab nii andmebaaside omavahel võrdlemist kui ka sama andmebaasi kirjete võrldust, eeldusel, et sool on juhuslik, mitte ühe andmebaasi igal kirjel sama.
Siit ka küsimus. Kas on juhuslik? |
Kas iga kirje puhul saab olla sool juhuslik? Kui jah, siis millega sa soolatud häshi võrdled, kui kasutaja sisse logib? Mis kujul jõuavad kasutaja edastatud andmed serverisse?
Üks variant on soolata nii, et globaalne sool on määratud serveris ning samuti kasutatakse häshi loomisel kasutajanime ja parooli.
Ehk siis häsh(kasutajanimi+parool+sool) - siis ei saa ka häshe võrrelda konkreetse keskkonna andmebaasi siseselt.
Sest kui kasutada ainult häsh(parool+sool), siis mõnel kasutajal võib olla teise kasutajaga võrreldes sama parool ning siis tuleks ka häsh sama. Ja siis turvaküsimustega saaks vihjed kätte (päris paljudes andmebaasides on need plain-text kujul - hale).
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
Renka
HV Guru

liitunud: 01.04.2002
|
16.03.2018 01:00:50
|
|
|
| The_Boss kirjutas: |
Minu arust mõlemal siin ju õigus See takistab nii andmebaaside omavahel võrdlemist kui ka sama andmebaasi kirjete võrldust, eeldusel, et sool on juhuslik, mitte ühe andmebaasi igal kirjel sama.
Siit ka küsimus. Kas on juhuslik? |
Salt ei saa olla juhuslik!
_________________ There is no place like 127.0.0.1 |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
1 :: |
61 |
|
| tagasi üles |
|
 |
The_Boss
HV Guru

liitunud: 13.01.2009
|
16.03.2018 01:04:00
|
|
|
| Renka kirjutas: |
| The_Boss kirjutas: |
Minu arust mõlemal siin ju õigus See takistab nii andmebaaside omavahel võrdlemist kui ka sama andmebaasi kirjete võrldust, eeldusel, et sool on juhuslik, mitte ühe andmebaasi igal kirjel sama.
Siit ka küsimus. Kas on juhuslik? |
Salt ei saa olla juhuslik! |
Millest ma siis valesti aru olen saanud?
"In cryptography, a salt is random data that is used as an additional input to a one-way function that "hashes" data, a password or passphrase."
_________________ Pakun sülearvutite tolmupuhastust, termopasta vahetust, emaplaatide remonti ja BIOS paroolide eemaldust. |
|
| Kommentaarid: 360 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
284 |
|
| tagasi üles |
|
 |
Renka
HV Guru

liitunud: 01.04.2002
|
16.03.2018 01:07:38
|
|
|
salt on random ainult selle genereerimise hetkel. Edaspidi ei saa salt random olla - vaid peab olema 1:1 sama mida kasutati esialgse hashi loomisel.
_________________ There is no place like 127.0.0.1 |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
1 :: |
61 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
16.03.2018 01:09:23
|
|
|
Kui salt on juhuslik iga kasutaja kohta, siis võrdlusmomendil muutub asi keeruliseks. Salt on selleks, et ei saaks tekitada lihtsa vaevaga globaalset häsh tabelit ning seda siis sinu paroolide tabeliga võrrelda.
Piisavalt turvaline on järgnev:
* Serveri pool globaalne salt;
* Andmebaasis paroolid häshitud järgnevalt: häsh(häsh(kasutajanimi+parool)+salt);
Kliendi poolt:
* Edastatakse parool häsh(kasutajanimi+parool); (javascript saab hakkama)
* Kui JS ei ole võimalik, siis saab ka alati plain-text edastada, aga see tänapäeval pigem erand;
Ehk serverini ei jõua mitte kunagi parool toorel kujul, vaid häshitud kokku kasutajanime ja parooliga.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
16.03.2018 01:09:45
|
|
|
| Renka kirjutas: |
| salt on random ainult selle genereerimise hetkel. Edaspidi ei saa salt random olla - vaid peab olema 1:1 sama mida kasutati esialgse hashi loomisel. |
nii on. Aga päris tõhus lisakaitse ikka ja annab natuke lisaaega, kui pahalane kasutajate paroolide hashid kätte peaks saama.
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
The_Boss
HV Guru

liitunud: 13.01.2009
|
16.03.2018 01:10:37
|
|
|
| Renka kirjutas: |
| salt on random ainult selle genereerimise hetkel. Edaspidi ei saa salt random olla - vaid peab olema 1:1 sama mida kasutati esialgse hashi loomisel. |
Ja milles siis probleem on? Seda ju mõtlesingi. Või mis muu seal hiljem juhuslik olla oleks saanud?
_________________ Pakun sülearvutite tolmupuhastust, termopasta vahetust, emaplaatide remonti ja BIOS paroolide eemaldust. |
|
| Kommentaarid: 360 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
284 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
Renka
HV Guru

liitunud: 01.04.2002
|
16.03.2018 01:16:18
|
|
|
| The_Boss kirjutas: |
| Renka kirjutas: |
| salt on random ainult selle genereerimise hetkel. Edaspidi ei saa salt random olla - vaid peab olema 1:1 sama mida kasutati esialgse hashi loomisel. |
Ja milles siis probleem on? Seda ju mõtlesingi. Või mis muu seal hiljem juhuslik olla oleks saanud? |
Sa kirjutasid:
| tsitaat: |
| ... eeldusel, et sool on juhuslik, mitte ühe andmebaasi igal kirjel sama. |
Kui iga kirje jaoks on salt juhuslik siis peab seda juhuslikku salti ka omakorda kusagil salvestama. Mis selle mõte on? See tähendaks ju, et salt on siis sealsamas andmebaasis olemas. Miks mitte kasutada ühte globaalset salti siis nagu tavapärane praktika on? Sellisel juhul ei ole salt ise andmebaasis vaid kusagil rakenduse konfiguratsioonis - hoopiski turvalisem ju.
_________________ There is no place like 127.0.0.1 |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
2 :: |
1 :: |
61 |
|
| tagasi üles |
|
 |
The_Boss
HV Guru

liitunud: 13.01.2009
|
16.03.2018 01:18:05
|
|
|
| LKits kirjutas: |
Salti eesmärk ongi pigem kaitsta teisi (s.h ka teisi paroolide andmebaase), kui pigem ennast.
Ehk, kui sinu parool (võid andmebaas) rändama läheb, siis sellest on vähe kasu, sest isegi, kui häshid selle kokku kasutajanime ja saltiga, siis ei ole tulem võrreldav teiste kirjetega andmebaasis. |
Jah, täpselt nii olengi aru saanud. Mõte oligi selles, et kui ühes andmebaasis oleks igal kirjel täpselt sama salt, siis poleks sellest sama andmebaasi kirjete jaoks mingit kasu, teiste andmebaaside kaitseks aga oleks. Seega eelduse kohaselt on ühe andmebaasi iga kirje jaoks genereeritud random salt, et sellest oleks kasu ka sama andmebaasi teiste kirjete kaitseks.
Renka, ise olen hetkel kokku puutunud ainult /etc/shadow faili ja selle brute-forcemiseks koodi kirjutamisega. Teiste andmebaasidega 0 kokkupuudet.
Kui aga keegi peaks lahti murdma selle ühe parooli, siis globaalse salti puhul on teine sama parool ju kohe ära nähtav. Kas siis poleks mõttekam kasutada nii /etc/shadow stiilis soola ettelisamist kui ka globaalset soola?
_________________ Pakun sülearvutite tolmupuhastust, termopasta vahetust, emaplaatide remonti ja BIOS paroolide eemaldust.
viimati muutis The_Boss 16.03.2018 01:21:30, muudetud 1 kord |
|
| Kommentaarid: 360 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
284 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
16.03.2018 01:19:34
|
|
|
| LKits kirjutas: |
Salti eesmärk ongi pigem kaitsta teisi (s.h ka teisi paroolide andmebaase), kui pigem ennast.
Ehk, kui sinu parool (võid andmebaas) rändama läheb, siis sellest on vähe kasu, sest isegi, kui häshid selle kokku kasutajanime ja saltiga, siis ei ole tulem võrreldav teiste kirjetega andmebaasis. |
Parool ise läheb rändama ainult siis kui ise hooletu oled. Suurem probleem ongi see, kui mingi site paroolide hashid jalutama lähevad, seda ei saa ise kontrollida ja sellest ei pruugi isegi õigel ajal teada saada.
Salt muudab parooli lahtimurdmise kordades keerukamaks kui ei kasuta just parooli stiilis OlenHVKarvaneAhvjam1ind3iKotiMis4rvad mida üheski eelarvutatud tabelis kindlasti pole
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
16.03.2018 01:21:58
|
|
|
Tean, et oleme kõik aru saanud, siiski panen kirja, kuna kirjutasin juba valmis
Ning olen nõus - salt teeb parooli lahtimurdmise kordades keerulisemaks, sest peab iga kord "otsast alustama" ehk häsh tabelit uuesti looma hakkama, ei saa kasutada globaalset tabelit.
Näiteks, järgnev:
salt = "Lj4H9HzymgAaMfJmzmmkDU01";
user1 = "LKits";
pwd1 = "suvalineparool";
user2 = "napoleon";
pwd2 = "suvalineparool";
pwdhash1 = md5(md5(user1+pwd1)+salt)
pwdhash2 = md5(md5(user2+pwd2)+salt)
Ehk:
pwdhash1
md5(LKitssuvalineparool) => 055BA8D1EC956E0AFBC03C283DB4C6C7
md5(055BA8D1EC956E0AFBC03C283DB4C6C7Lj4H9HzymgAaMfJmzmmkDU01) => 8F4780ACA20B3DF80A8CBB33533E2BFA
pwdhash1 = "8F4780ACA20B3DF80A8CBB33533E2BFA"
pwdhash2
md5(napoleonsuvalineparool) => F30B8C61B381F8CEF2CD8B7874212F38
md5(F30B8C61B381F8CEF2CD8B7874212F38Lj4H9HzymgAaMfJmzmmkDU01) => C77A0CDEF8019A1BDFEA10524811C9CE
pwdhash2 = "C77A0CDEF8019A1BDFEA10524811C9CE"
Ehk isegi, kui meil on sama parool ning samas andmebaasis, siis kasutajanime erisuse tõttu on meil lõpptulemuse hash erinev.
Ning sisselogimisel on üpris lihtne - edastatakse kasutajanimi ning md5(user+password) - parool toorel kujul serverini ei jõua.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
16.03.2018 01:27:58
|
|
|
| LKits, mille vastu see täpselt kaitseb? Ainult keyloggeri vastu vist, Man-in-the-middle rünnaku vastu see meede ei aita, hash murdmise osas on võrdväärne salt-ga.
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
The_Boss
HV Guru

liitunud: 13.01.2009
|
|
| Kommentaarid: 360 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
284 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
16.03.2018 01:41:08
|
|
|
| napoleon kirjutas: |
| LKits, mille vastu see täpselt kaitseb? Ainult keyloggeri vastu vist, Man-in-the-middle rünnaku vastu see meede ei aita, hash murdmise osas on võrdväärne salt-ga. |
Selle vastu, et kui andmebaasis on häshitud parool+salt, siis sama parooliga kasutajatel on häsh võrdne.
häsh(parool+salt) ei ole piisav, sest kui sul on sama parool, mis minul, siis häsh on meil mõlemal sama.
Ning see on juba väga kõva võrdluse alus - sealt saab edasi uurida. Kas me elame lähestikku? Vanus? Naiste nimed?
Üks hale juhtum oli nii, kus salaküsimuste vastused olid küll häshitud, AGA! Küsimused ei olnud! Ning kui mõlemal kasutajal, kellel häshitud parooli oli sama, olid küsimused nähtavad, siis need vihjasid teineteisele ja salaküsimuse vastust ei olnud just raske ära arvata.
Ning keyloggeri vastu see just pigem ei aita. Aitab MITM ja üleüldise turvalisuse vastu - parool ei jõua kunagi serverini.
EDIT:
Jah, täiesti normaalne, brute-force.
Aga ikkagist ei saa kasutada juba eelnevalt genereeritud hash-tabelit, kus võib olla sadu miljardeid sagedamini levinud paroole.
Peab kõik häshid otsast peale genereerima ja siis olemasolevatega võrdlema.
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
16.03.2018 01:56:16
|
|
|
Huvitav arutelu, moded võiks lilla täpi asemel need postid turvateemasse liigutada.
Aga LKits, mina olen kogu aeg eelduse võtnud, et salt ei ole igal kasutajal sama. Kui saadad frontendist serverisse hashi mis on parool+kasutaja siis ründaja teab seda. ManInTheMiddle rünnaku vastu ei aita see mitte kuidagi, kuna ikka tuleb saata sama hash. Serveri poolelt teab server kasutajat ka. Tegelikult teab ka see mees, kes vahepeal tegutseb kuna sisse logides tuleb ikka kasutaja ka öelda.... või noh, ei tule, aga siis on ainus mille vastu võrrelda see hash, mida ikka saab korduvalt saata.
Pealtkuulamise vastu on pigem SSL, paroolide turvalisuse teemad on mujal.
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
16.03.2018 02:36:45
|
|
|
Turvateema tundub mõistlik - kui vaja, siis kannatan ka lilla ära (hea arutelu on seda väärt).
Aga MITM rünnaku all ma pigem ei mõtle selle konkreetse kasutaja ründamist, vaid pigem tema parooli hashi kasutamist teiste kasutajate peal.
Sest kui edastatakse parool või parooli hash, siis seda annab ju võrrelda teiste paroolide või parooli hashidega.
Aga kui on häshitud kasutajanimi+parool, siis otseselt võrrelda ei saa, vaid peab järjekordselt koostama eraldiseisva hash tabeli. Tänapäeval käib see küll kiirelt, aga siiski lisatakistus.
Ning, kui on oht, et kasutajanimi ja parool on paljudes kohtades kasutusel, siis võib võtta veel ühe parameetri mängu - domeeninimi.
hash(domeen+kasutaja+parool) ehk kui kellegi teisega võrreldes on parool sama, siis hash ei ole sama ning ei saa otseselt võrrelda ning andmebaasist otsida.
EDIT: Ehk näiteks, kui on läinud rändama paroolide andmebaas ning mõnel kasutajal on ka MITM rünnak tehtud, siis parooli hashi edastamisel:
* MITM rünnaku tulemusel saadakse teada hash(parool)
* Andmebaasis on teada globaalne salt;
* Ning MITM rünnaku kasutaja hash andmebaasis hash(hash(parool)+salt)
Nüüd, kui ka mõnel teisel kasutajal on sama parool, siis sealt tuleb see kohe välja.
Kui on aga kasutusel hash(domeen+kasutaja+parool), siis on serverisse edastavav "parool" igal kasutajal unikaalne ning hash tabelis saltiga sidudes ei ühti.
Loomulikult kõikide kasutajate läbi loopimine ei ole hirmus aeganõudev tegevus, kuid siiski lisatakistus.
EDIT2: Ehk kokkuvõtvalt - see kõik on vajalik selleks, et üksikjuhtum ei kahjustaks teisi.
Kui andmebaas läheb rändama, muudetakse globaalne salt ära ning iga kasutaja peab muutma parooli (saadetud e-posti peale mingi link vms).
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
strohher
HV veteran

liitunud: 15.02.2004
|
16.03.2018 10:54:42
|
|
|
Proovisin PS4-ga F1 2017 demo. Päris vahva oli, kuid puldiga sõitmine tundub paras peavalu. Samas näen siin korduvalt müügil Playseate ja G27 roole. Käivad käest kätte. Kas sellest võidusõidust tüdineb tegelikult suhteliselt ruttu ära, et peale paari kuud kihutamist asjad järelturule pannakse? Arusaadavalt on huvid erinevad, aga mis see üldine tendenst on? Viskab käbe kopa ette?
_________________ Tunguusia tundraahv |
|
| Kommentaarid: 33 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
30 |
|
| tagasi üles |
|
 |
jeesus188
kodustatud

liitunud: 14.04.2003
|
16.03.2018 11:55:13
|
|
|
Mis klaviatuuriga on tegu sellel pildil?
Spoiler 
_________________ This message was sent from space using stargate
Inimene on troopiline AHV Aga kes on naine? Valge on ka inimene !
"Vaese inimese juttu räägid. Kui tundub kallis, siis on see kellelegi teisele mõeldud" |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
64 |
|
| tagasi üles |
|
 |
Winterwind
One

liitunud: 19.05.2002
|
|
| Kommentaarid: 1009 loe/lisa |
Kasutajad arvavad: |
   |
:: |
3 :: |
1 :: |
728 |
|
| tagasi üles |
|
 |
nexus4
Kreisi kasutaja

liitunud: 01.03.2012
|
16.03.2018 11:58:00
|
|
|
| jeesus188 kirjutas: |
Mis klaviatuuriga on tegu sellel pildil?
Spoiler 
|
ffs! google annab esimese vastusega õige kätte
|
|
| Kommentaarid: 29 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
26 |
|
| tagasi üles |
|
 |
jeesus188
kodustatud

liitunud: 14.04.2003
|
16.03.2018 12:01:54
|
|
|
| nexus4 kirjutas: |
| jeesus188 kirjutas: |
Mis klaviatuuriga on tegu sellel pildil?
Spoiler 
|
ffs! google annab esimese vastusega õige kätte |
Hmm, Logitech Craft
_________________ This message was sent from space using stargate
Inimene on troopiline AHV Aga kes on naine? Valge on ka inimene !
"Vaese inimese juttu räägid. Kui tundub kallis, siis on see kellelegi teisele mõeldud" |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
64 |
|
| tagasi üles |
|
 |
rtfm99
HV kasutaja
liitunud: 08.04.2007
|
16.03.2018 13:35:54
|
|
|
| strohher kirjutas: |
| Proovisin PS4-ga F1 2017 demo. Päris vahva oli, kuid puldiga sõitmine tundub paras peavalu. Samas näen siin korduvalt müügil Playseate ja G27 roole. Käivad käest kätte. Kas sellest võidusõidust tüdineb tegelikult suhteliselt ruttu ära, et peale paari kuud kihutamist asjad järelturule pannakse? Arusaadavalt on huvid erinevad, aga mis see üldine tendenst on? Viskab käbe kopa ette? |
häid võidusõidumänge pole eriti palju ps4 mida rooliga mängida. töökaaslane ostis gran turismo jaoks musta reede pakkumisegu kusagilt netist 190 eurose rooli mis meil maksis tol ajal üle 400 pisut.
_________________ |
|
| Kommentaarid: 1 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
1 |
|
| tagasi üles |
|
 |
erko
Kreisi kasutaja
liitunud: 11.07.2004
|
16.03.2018 15:53:11
|
|
|
| jeesus188 kirjutas: |
Mis klaviatuuriga on tegu sellel pildil?
Spoiler 
|
Heh, ma olen paar viimast päeva seda Craft klaviatuuri netist uurinud. Hind on kirves aga kui kõik töötab nii nagu reklaamides näha, siis Adobe Lightroom + Photoshop kasutajana ma väga tahan seda Hiirega heebleid sikutada on ebatäpne.
Kahjuks netist loetud tagasiside põhjal on Crafti tarkvara pool veel veidi toores ning mõnikord kalab ka klaviatuuri traditsiooniline osa.
|
|
| Kommentaarid: 26 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
26 |
|
| tagasi üles |
|
 |
jeesus188
kodustatud

liitunud: 14.04.2003
|
16.03.2018 15:55:55
|
|
|
Ilus jne edasi näeb välja, paraku mulle see lihtsalt ei sobi.
K800 vajaks uuendamist
_________________ This message was sent from space using stargate
Inimene on troopiline AHV Aga kes on naine? Valge on ka inimene !
"Vaese inimese juttu räägid. Kui tundub kallis, siis on see kellelegi teisele mõeldud" |
|
| Kommentaarid: 71 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
64 |
|
| tagasi üles |
|
 |
erko
Kreisi kasutaja
liitunud: 11.07.2004
|
16.03.2018 16:03:40
|
|
|
| Mul ilmselt varsti jääb väga vähe kasutatud Fujitsu LX901 kombo üle. Nordic asetusega. Muidu väga hea klaver ja mugav hiir kuid viimane on veidi ebatäpne just fototöötluse jaoks.
|
|
| Kommentaarid: 26 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
26 |
|
| tagasi üles |
|
 |
jägaja
HV Guru

liitunud: 06.08.2004
|
16.03.2018 23:30:49
|
|
|
Noh, maakodumehed, arboristid ja muud metsamehed
Milline hea oksapurusti soovitus teil varrukast tõmmata on ka. Jääks elektriliste purustajate juurde, need bensukad on liiga kallid.
Põhimõtteliselt on kahte tüüpi lõiketeradega neid.
Selline veab ise ette ja purustab vist natuke jämedamaid oksi, kuid väidetavalt ka jämedama fraktsiooniga purustatud tulemus.
Sellise teraga olen kunagi laenutanud, mingi Viking150 vist oli, purustas muidu kenasti, kui tera terav oli, oksi pidi sisse suruma ja kui liiga palju surusid, kiilus oks tera kinni ja pidi lahti masina alati kruttima. (Eelneval teretüübiga masinal on kinnijäämise jaoks ka revers lüliti)
_________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine." |
|
| Kommentaarid: 145 loe/lisa |
Kasutajad arvavad: |
   |
:: |
1 :: |
0 :: |
130 |
|
| tagasi üles |
|
 |
olavsu1
külaline
|
17.03.2018 00:37:30
|
|
|
| mul on siiani kogemused olemas 80mm laia metallifreesiga. 3/4" jämedamate okstega kiilub kinni.
|
|
| tagasi üles |
|
 |
sakinaga
HV Guru
liitunud: 30.08.2006
|
17.03.2018 00:44:01
|
|
|
Paroolide hashimise kohta: Parooli local hashimine ei oma mõtet. Seda ei arva ma oma peaga, see on praktika suurte internetiettevõtete poolt, näiteks Google ja Facebook.
_________________ Tsensuur HinnaVaatluse foorumis |
|
| Kommentaarid: 164 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
1 :: |
155 |
|
| tagasi üles |
|
 |
napoleon
Unknown virus

liitunud: 08.12.2008
|
17.03.2018 01:10:29
|
|
|
| sakinaga kirjutas: |
| Paroolide hashimise kohta: Parooli local hashimine ei oma mõtet. Seda ei arva ma oma peaga, see on praktika suurte internetiettevõtete poolt, näiteks Google ja Facebook. |
Nii on, vahet pole kas serveri poole kupatatakse hash või parool ise, kui serveri omanikku/haldajat/valdajat ei usalda, siis ei tasu seda lehte kasutada või vähemalt pole mõistlik sinna sensitiivset infot jätta. Need kes ainult javascripti valdavad, ei saa paraku aru, et kliendi pool turvalisust puudutavaid asju lahendada ei saa, saab ainult mõne kontrolli dubleerida.
|
|
| Kommentaarid: 78 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
60 |
|
| tagasi üles |
|
 |
Rasmus
HV veteran
liitunud: 30.12.2002
|
17.03.2018 08:27:22
|
|
|
| LKits kirjutas: |
| Rasmus kirjutas: |
| LKits kirjutas: |
Kas mitte-rääkimine on varjamine?
Ehk, kas endana mitte-esitlemine on varjamine?
Minu silmis mitte, sest ei näe põhjust, miks peaksin ennast igal pool endana esitlema. Aga see selleks - ma kasutan paroolihaldurit nagunii. Kasutajanimed on pooleldi random ja paroolid täielikult suvalised. |
1. Kui eeldatakse rääkimist, siis on mitterääkimine varjamine.
2. Kui endana mitteesitlemine toimub, siis on tegemist jah identiteedi varjamisega ehk väitelise isikusamasusega.
Kui isikusamasus on nõutud, siis on isikusamasuse varjamine õigusvastane tegu. |
1. Aga kas lähed siis iga inimese juurde ja ütled talle otse kõik välja, mis arvad? Või vesteldes kaaslasega, räägid koguaeg kõigest?
2. Aga äkki saab tõlgendada endana mitte-esitlemist mitte isiku varjamisena, vaid enda mitte-esitlemisena?
Mina küll ei leia, et peaks igal pool 100% kõigest rääkima, ennast 100% endana esitlema. Aina rohkem ma seda teen, sest andmete privaatsus on nagunii näiline, siis milleks varjata mõttetuid andmeid (telefon, e-post). |
Loe mu vastused uuesti üle ja sa saad aru, et sa räägid hoopis aiaaugust.
| napoleon kirjutas: |
| Rasmus kirjutas: |
| LKits kirjutas: |
Kas mitte-rääkimine on varjamine?
Ehk, kas endana mitte-esitlemine on varjamine?
Minu silmis mitte, sest ei näe põhjust, miks peaksin ennast igal pool endana esitlema. Aga see selleks - ma kasutan paroolihaldurit nagunii. Kasutajanimed on pooleldi random ja paroolid täielikult suvalised. |
1. Kui eeldatakse rääkimist, siis on mitterääkimine varjamine.
2. Kui endana mitteesitlemine toimub, siis on tegemist jah identiteedi varjamisega ehk väitelise isikusamasusega.
Kui isikusamasus on nõutud, siis on isikusamasuse varjamine õigusvastane tegu. |
Aga kui annan varjunime all raamatu välja? Või olen popartist ja kasutan avalikult artisti nime nii, et päris nime teavad vähesed?
Kuskil netikeskkonnas nickname/aliase kasutamine on täpselt sama ja mitte keegi ei sunni igas keskkonnas sama nickname/aliast kasutama.
Ma ei tea kas Rasmus on su päris nimi ja tegelikult pole ka minu asi, aga miks sul siin foorumis ainult eesnimi kasutajanimes on? Varjad mingit koledat saladust?  |
Loe mu vastused uuesti üle ja sa saad aru, et sa räägid hoopis aiaaugust.
|
|
| Kommentaarid: 49 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
47 |
|
| tagasi üles |
|
 |
LKits
HV Guru

liitunud: 06.09.2007
|
17.03.2018 10:54:21
|
|
|
Lugesin vastused üle ning eeldamine ei ole nõudmine.
Eeldus võib olla ühepoolne ning vägagi erinevalt tõlgendatav.
Minu meelest, kui üks osapool eeldab rääkimist, siis teise osapoole kõige-mitte-rääkimine ei kategoriseeru varjamise alla, kuna esimene osapool, kes rääkimist eeldab, on lihtsalt rumal ning ei saa aru info üleküllusest.
Kas kõikidel inimestel on kohustus esitleda ennast igal pool täpselt selle isikuna, mis on talle määratud (või valitud) riigi poolt? Aliased ei eksisteeri? Saan aru, et identiteedivargus jääb välja.
Lisaks, mille alusel peab teise osapoole nõudmist täitma, kui too nõuab autentset isikut? Mingi õigusakt või volitus riigi(organi) poolt, et on õigus/kohustus teostada isikutuvastus?
_________________
itLahendused - Arvutite remont ja hooldus, veebilehtede loomine, soodne veebimajutus. Võta ühendust! Tel: +372 555 268 97 ja e-post info@itlahendused.ee |
|
| Kommentaarid: 13 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
13 |
|
| tagasi üles |
|
 |
masmre
Kreisi kasutaja

liitunud: 08.02.2004
|
17.03.2018 16:57:19
|
|
|
| Millist käsi tolmuimejat osta arvuti juppide puhastamiseks? Et oleks võimas ja lisa otsikutega.
|
|
| Kommentaarid: 82 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
76 |
|
| tagasi üles |
|
 |
Hiid
HV Guru

liitunud: 23.03.2002
|
17.03.2018 17:09:17
|
|
|
tolmuimejat ei kasutatagi selliseks otstarbeks
_________________ Hapud viinamarjad |
|
| Kommentaarid: 663 loe/lisa |
Kasutajad arvavad: |
   |
:: |
3 :: |
0 :: |
512 |
|
| tagasi üles |
|
 |
bladerunner
HV Guru
liitunud: 17.01.2002
|
17.03.2018 17:10:32
|
|
|
Hiid, jälle sul rohud võtmata et plõksid siin?
_________________ Experience is what you get when you don't get what you want. |
|
| Kommentaarid: 169 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
158 |
|
| tagasi üles |
|
 |
Hiid
HV Guru

liitunud: 23.03.2002
|
17.03.2018 17:13:29
|
|
|
võtsin rohtu
Seda teab ju lapski, et tolmuimejaga raali kallale ei minda
_________________ Hapud viinamarjad |
|
| Kommentaarid: 663 loe/lisa |
Kasutajad arvavad: |
   |
:: |
3 :: |
0 :: |
512 |
|
| tagasi üles |
|
 |
masmre
Kreisi kasutaja

liitunud: 08.02.2004
|
17.03.2018 17:29:58
|
|
|
| Hiid kirjutas: |
võtsin rohtu
Seda teab ju lapski, et tolmuimejaga raali kallale ei minda  |
minnakse ikka, kõik käivad, aga sa Hiid ära igaks juhuks proovi, midagi võib nihu minna...
|
|
| Kommentaarid: 82 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
76 |
|
| tagasi üles |
|
 |
Killer85
HV veteran
liitunud: 13.06.2002
|
17.03.2018 17:39:18
|
|
|
| Suruõhuga puhastad ikka, mitte tolmuimejaga.
|
|
| Kommentaarid: 69 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
67 |
|
| tagasi üles |
|
 |
|