Στο παρελθόν σε διάφορες asp.net εφαρμογές έχω εφαρμόσει μεθόδους για encryption και storing σε database passwords χρηστών, αλλά αυτές οι εφαρμογές ήταν σε επίπεδο intranet ή τέλος πάντων όχι τόσο μαζικές και τώρα υπάρχει αναγκαιότητα για asp.net εφαρμογή σε μεγάλο range χρηστών (βασικά σε όλο το διαδύκτιο) θα ήθελα κάποιος έμπειρος να μου πει την άποψή του αν με τα παρακάτω είμαι οκ ή τέλος πάντων σχετικά οκ.
Παίρνω το password που δίνει ο χρήστης και προσθέτω prefix και suffix. Εκτελώ md5 και αποθηκεύω αυτό που παίρνω.
Prefix και suffix μπορώ να βάλω με διάφορους τρόπους και ανάλογα με το record ίσως.
Το θέμα είναι πως μπορώ να έχω όσο το πιο δυνατόν "καλύτερα" suffix και prefix? Να μην μπορεί κάποιος να τα "μαντέψει/βρει"? Ή κάτι τέτοιο δεν χρειάζεται να με απασχολεί?
Και δεύτερον με αυτό τον τρόπο, μπορώ να κοιμάμαι σχεδόν ήσυχος?
Ποιες άλλες μεθόδους μπορώ να ακολουθήσω για ακόμα καλύτερη ασφάλεια? Να κάνω ας πούμε ανενεργό ένα χρήστη αν δοκιμάσει κάποιες φορές λάθος pass?

Ευχαριστώ εκ των προτέρων

Θεωρώ ότι μπορείς να κοιμάσαι ήσυχος αν χρησιμοποιήσεις το ASP.NET Membership το οποίο έχει λύσει προ πολλού όλα αυτά τα θέματα που αναφέρεις. Δεν χρειάζεται να ασχοληθείς με το πώς γίνεται το storage του password (hashed ή encrypted, salt, κλπ), το πότε γίνεται locked-out ο χρήστης, το πώς γίνεται recover το password, και ένα σωρό άλλα τέτοια. Από εκεί και πέρα καλό θα είναι να διαβάσεις το security guide από το patterns & practices (http://msdn.microsoft.com/en-us/library/aa302415.aspx) και να έχεις στο μυαλό σου ότι το θέμα του security είναι πολύ ιδιαίτερο, τόσο που αξίζει/συμφέρει/πρέπει να κάνεις κάτι δικό σου, μόνο αν το κατέχεις σε βάθος το πράγμα.

---

Vir prudens non contra ventum mingit

Συμφωνώ και εγώ για τη λύση του ASP.NET Membership Provider,σε καλύπτει σχεδόν στα πάντα.Όσον αφορά τις ερωτήσεις σου,το MD5 δεν είναι ασφαλές εδώ και μια πενταετία,το SHA-1 είναι σχετικά ασφαλέστερο και υποστηρίζεται από το .NET (έχουν βρεθεί αδυναμίες του αλλά δεν έχει πρακτικά "σπάσει") και το SHA-2 ακόμα δεν έχει υποστεί επιθέσεις.Τα prefix και suffix για να είναι αποτελεσματικά πρέπει να είναι random,δες την τεχνική που ονομάζεται salting για περισσότερες λεπτομέρειες.Τέλος για να κάνεις δύσκολη τη δουλειά αυτού που προσπαθεί να "σπάσει" το σύστημα μπορείς να κάνεις τα εξής : καλό validation του user input προτού το επεξεργαστείς καν, να επιβάλεις στους χρήστες σύνθετους κωδικούς (με ειδικούς χαρακτήρες κ.τ.λ ) που να κάνουν δύσκολη τη χρήση dictionary στις επιθέσεις,να περιμένεις δύο δευτερόλεπτα ανά δύο διαδοχικές προσπάθειες και ανά 5 λάθος προσπάθειες να επιβάλεις γεωμετρικά αυξανόμενη αναμονή με τις δύο τελευταίες τεχνικές να κάνουν εφιάλτη τις brute force τεχνικές.

Ενδιαφέρον το ASP.NET Membership και μάλιστα στο 2010 είναι και σχετικά ή μάλλον απλά εύκολο. Όσο όμως μένεις στα βασικά που δίνονται. Αν θέλω να κάνω store σε δικιά μου βάση, να καρατάω περισσότερα στοιχειά για τους χρήστες, να κάνω reset το password μπλέκει δυστυχώς το θέμα. Εκτός αν εγώ δεν το έχω πιάσει καλά.

Βιάζεσαι να βγάλεις συμπέρασμα χωρίς να έχεις μελετήσει το θέμα. Όλα αυτά που λες γίνονται μια χαρά. Δες εδώ http://www.asp.net/security/tutorials για περισσότερα.

 

---

Vir prudens non contra ventum mingit

KelMan:

Βιάζεσαι να βγάλεις συμπέρασμα χωρίς να έχεις μελετήσει το θέμα. Όλα αυτά που λες γίνονται μια χαρά. Δες εδώ http://www.asp.net/security/tutorials για περισσότερα.

 

Εκεί είμαι ... με 2 ώρες ύπνο :D

Χαχα, οκ, ψυχραιμία! Θα πρέπει να αφιερώσεις λίγο χρόνο και όταν πρόκειται για τέτοιες καταστάσεις (research, learn, κλπ) χρειάζεται ξεκούραστο μυαλό.

 

---

Vir prudens non contra ventum mingit

Όλα καλά τελικά. Ευχαριστώ πολύ και τους δυό σας για τις απαντήσεις. Το asp.net membership με κάλυψε

1. Όταν χρησιμοποιείς κάτι έτοιμο έχεις πάντα ένα ρίσκο: Όταν (και όχι άν) βγει ένα 0-day, απλά έχασες.

2. Στο θέμα του security και ειδικά της μεθόδου login/password pair θα συμφωνήσω με αυτό που είπε ο Μάνος ("...και να έχεις στο μυαλό σου ότι το θέμα του security είναι πολύ ιδιαίτερο, τόσο που αξίζει/συμφέρει/πρέπει να κάνεις κάτι δικό σου, μόνο αν το κατέχεις σε βάθος το πράγμα.") και να προσθέσω: Αξίζει/Πρέπει να το κατέχεις καλά το θέμα και να φτιάξεις κάτι δικό σου χρησιμοποιόντας ή/και επεκτείνοντας κάποιες ήδη έτοιμες τεχνικές.

3. Για τις ερωτήσεις που κάνεις (αν είναι ασφαλές το prefix, suffix salts + MD5 κλπ) εμένα προσωπικά με κάλυψε 100% ο darklynx οπότε δεν θα φλυαρίσω παραπάνω.

4. Για το αν και πότε πρέπει να κοιμάσαι ήσυχος πάντως μία είναι η λύση: Ξεκνάς με 1 Lexotanil. Αν δεν δεις προκοπή πας στα πιο σίγουρα: tavor. Άλλη λύση (fmo) δεν υπάρχει...

5. Aναφέρθηκες όμως μόνο στο login/pass storage που είναι η μία όψη του νομίσματος, από την μεριά του server (και δη της database). Υπάρχει και ο client. Εκεί θα παίξεις με session cookies? Θέματα σαν το Cross Site Request Forgery και το Session Fixation πρέπει να σε απασχολήσουν.

Νομίζω οτι η παρακάτω παρουσίαση που έγινε στο Athcon 2010 θα σε βοηθήσει να πάρεις μια πρώτη ιδέα:
http://p0wnbox.com//index.php?showtopic=1798

---

Nothing to declare...