Καλώς ορίσατε στο dotNETZone.gr - Σύνδεση | Εγγραφή | Βοήθεια
σε

 

Αρχική σελίδα Ιστολόγια Συζητήσεις Εκθέσεις Φωτογραφιών Αρχειοθήκες

Users passwords encryption

Îåêßíçóå áðü ôï ìÝëïò zeon. Τελευταία δημοσίευση από το μέλος Thiseas στις 24-08-2010, 09:49. Υπάρχουν 8 απαντήσεις.
Ταξινόμηση Δημοσιεύσεων: Προηγούμενο Επόμενο
  •  03-08-2010, 21:54 59628

    Users passwords encryption

    Στο παρελθόν σε διάφορες asp.net εφαρμογές έχω εφαρμόσει μεθόδους για encryption και storing σε database passwords χρηστών, αλλά αυτές οι εφαρμογές ήταν σε επίπεδο intranet ή τέλος πάντων όχι τόσο μαζικές και τώρα υπάρχει αναγκαιότητα για asp.net εφαρμογή σε μεγάλο range χρηστών (βασικά σε όλο το διαδύκτιο) θα ήθελα κάποιος έμπειρος να μου πει την άποψή του αν με τα παρακάτω είμαι οκ ή τέλος πάντων σχετικά οκ.
    Παίρνω το password που δίνει ο χρήστης και προσθέτω prefix και suffix. Εκτελώ md5 και αποθηκεύω αυτό που παίρνω.
    Prefix και suffix μπορώ να βάλω με διάφορους τρόπους και ανάλογα με το record ίσως.
    Το θέμα είναι πως μπορώ να έχω όσο το πιο δυνατόν "καλύτερα" suffix και prefix? Να μην μπορεί κάποιος να τα "μαντέψει/βρει"? Ή κάτι τέτοιο δεν χρειάζεται να με απασχολεί?
    Και δεύτερον με αυτό τον τρόπο, μπορώ να κοιμάμαι σχεδόν ήσυχος?
    Ποιες άλλες μεθόδους μπορώ να ακολουθήσω για ακόμα καλύτερη ασφάλεια? Να κάνω ας πούμε ανενεργό ένα χρήστη αν δοκιμάσει κάποιες φορές λάθος pass?

    Ευχαριστώ εκ των προτέρων
  •  06-08-2010, 14:21 59639 σε απάντηση της 59628

    Απ: Users passwords encryption

    Θεωρώ ότι μπορείς να κοιμάσαι ήσυχος αν χρησιμοποιήσεις το ASP.NET Membership το οποίο έχει λύσει προ πολλού όλα αυτά τα θέματα που αναφέρεις. Δεν χρειάζεται να ασχοληθείς με το πώς γίνεται το storage του password (hashed ή encrypted, salt, κλπ), το πότε γίνεται locked-out ο χρήστης, το πώς γίνεται recover το password, και ένα σωρό άλλα τέτοια. Από εκεί και πέρα καλό θα είναι να διαβάσεις το security guide από το patterns & practices (http://msdn.microsoft.com/en-us/library/aa302415.aspx) και να έχεις στο μυαλό σου ότι το θέμα του security είναι πολύ ιδιαίτερο, τόσο που αξίζει/συμφέρει/πρέπει να κάνεις κάτι δικό σου, μόνο αν το κατέχεις σε βάθος το πράγμα.


    Vir prudens non contra ventum mingit
  •  06-08-2010, 15:02 59640 σε απάντηση της 59628

    Απ: Users passwords encryption

    Συμφωνώ και εγώ για τη λύση του ASP.NET Membership Provider,σε καλύπτει σχεδόν στα πάντα.Όσον αφορά τις ερωτήσεις σου,το MD5 δεν είναι ασφαλές εδώ και μια πενταετία,το SHA-1 είναι σχετικά ασφαλέστερο και υποστηρίζεται από το .NET (έχουν βρεθεί αδυναμίες του αλλά δεν έχει πρακτικά "σπάσει") και το SHA-2 ακόμα δεν έχει υποστεί επιθέσεις.Τα prefix και suffix για να είναι αποτελεσματικά πρέπει να είναι random,δες την τεχνική που ονομάζεται salting για περισσότερες λεπτομέρειες.Τέλος για να κάνεις δύσκολη τη δουλειά αυτού που προσπαθεί να "σπάσει" το σύστημα μπορείς να κάνεις τα εξής : καλό validation του user input προτού το επεξεργαστείς καν, να επιβάλεις στους χρήστες σύνθετους κωδικούς (με ειδικούς χαρακτήρες κ.τ.λ ) που να κάνουν δύσκολη τη χρήση dictionary στις επιθέσεις,να περιμένεις δύο δευτερόλεπτα ανά δύο διαδοχικές προσπάθειες και ανά 5 λάθος προσπάθειες να επιβάλεις γεωμετρικά αυξανόμενη αναμονή με τις δύο τελευταίες τεχνικές να κάνουν εφιάλτη τις brute force τεχνικές.
  •  07-08-2010, 08:57 59641 σε απάντηση της 59628

    Απ: Users passwords encryption

    Ενδιαφέρον το ASP.NET Membership και μάλιστα στο 2010 είναι και σχετικά ή μάλλον απλά εύκολο. Όσο όμως μένεις στα βασικά που δίνονται. Αν θέλω να κάνω store σε δικιά μου βάση, να καρατάω περισσότερα στοιχειά για τους χρήστες, να κάνω reset το password μπλέκει δυστυχώς το θέμα. Εκτός αν εγώ δεν το έχω πιάσει καλά.
  •  07-08-2010, 09:47 59642 σε απάντηση της 59641

    Απ: Users passwords encryption

    Βιάζεσαι να βγάλεις συμπέρασμα χωρίς να έχεις μελετήσει το θέμα. Όλα αυτά που λες γίνονται μια χαρά. Δες εδώ http://www.asp.net/security/tutorials για περισσότερα.

     


    Vir prudens non contra ventum mingit
  •  07-08-2010, 09:57 59643 σε απάντηση της 59642

    Απ: Users passwords encryption

    KelMan:

    Βιάζεσαι να βγάλεις συμπέρασμα χωρίς να έχεις μελετήσει το θέμα. Όλα αυτά που λες γίνονται μια χαρά. Δες εδώ http://www.asp.net/security/tutorials για περισσότερα.

     



    Εκεί είμαι ... με 2 ώρες ύπνο :D

  •  07-08-2010, 11:02 59644 σε απάντηση της 59643

    Απ: Users passwords encryption

    Χαχα, οκ, ψυχραιμία! Θα πρέπει να αφιερώσεις λίγο χρόνο και όταν πρόκειται για τέτοιες καταστάσεις (research, learn, κλπ) χρειάζεται ξεκούραστο μυαλό.

     


    Vir prudens non contra ventum mingit
  •  08-08-2010, 07:08 59647 σε απάντηση της 59644

    Απ: Users passwords encryption

    Όλα καλά τελικά. Ευχαριστώ πολύ και τους δυό σας για τις απαντήσεις. Το asp.net membership με κάλυψε

  •  24-08-2010, 09:49 59719 σε απάντηση της 59628

    Απ: Users passwords encryption

    1. Όταν χρησιμοποιείς κάτι έτοιμο έχεις πάντα ένα ρίσκο: Όταν (και όχι άν) βγει ένα 0-day, απλά έχασες.

    2. Στο θέμα του security και ειδικά της μεθόδου login/password pair θα συμφωνήσω με αυτό που είπε ο Μάνος ("...και να έχεις στο μυαλό σου ότι το θέμα του security είναι πολύ ιδιαίτερο, τόσο που αξίζει/συμφέρει/πρέπει να κάνεις κάτι δικό σου, μόνο αν το κατέχεις σε βάθος το πράγμα.") και να προσθέσω: Αξίζει/Πρέπει να το κατέχεις καλά το θέμα και να φτιάξεις κάτι δικό σου χρησιμοποιόντας ή/και επεκτείνοντας κάποιες ήδη έτοιμες τεχνικές.

    3. Για τις ερωτήσεις που κάνεις (αν είναι ασφαλές το prefix, suffix salts + MD5 κλπ) εμένα προσωπικά με κάλυψε 100% ο darklynx οπότε δεν θα φλυαρίσω παραπάνω.

    4. Για το αν και πότε πρέπει να κοιμάσαι ήσυχος πάντως μία είναι η λύση: Ξεκνάς με 1 Lexotanil. Αν δεν δεις προκοπή πας στα πιο σίγουρα: tavor. Άλλη λύση (fmo) δεν υπάρχει... Wink

    5. Aναφέρθηκες όμως μόνο στο login/pass storage που είναι η μία όψη του νομίσματος, από την μεριά του server (και δη της database). Υπάρχει και ο client. Εκεί θα παίξεις με session cookies? Θέματα σαν το Cross Site Request Forgery και το Session Fixation πρέπει να σε απασχολήσουν.

    Νομίζω οτι η παρακάτω παρουσίαση που έγινε στο Athcon 2010 θα σε βοηθήσει να πάρεις μια πρώτη ιδέα:
    http://p0wnbox.com//index.php?showtopic=1798

    When you 've got a hammer everything starts to look like a nail...
Προβολή Τροφοδοσίας RSS με μορφή XML
Με χρήση του Community Server (Commercial Edition), από την Telligent Systems