cht電腦資訊網路
adm Find login register

用 google 破解密碼 & password salt

eliu
1 用 google 破解密碼 & password salt
Promote 1 Bookmark 12007-12-18quote  


有一個人用 google search 來找到一個入侵駭客設定的 md5sum  hash 的原始密碼。其實有一個網站可以查詢已知的 md5sum 

不過這也顯示出這個網站的問題。為什麼它的 password 沒有用 salt。所謂 salt 是,user 在設定密碼時,system 產生另外一個 random string(salt)。在 datbase 存的是與 salt + passwd 產的 md5sum 及 salt。當要驗證密碼時就把 user 輸入的 string 加上使用者的 salt,產生 md5sum 來比對。理論上用 salt 可以大幅度讓密碼更難破解,相同的密碼除非剛好salt 相同,最後存在 database 上的內容是不一樣的。

Salt 這個概念 UNIX 很早以前就開始用了。man crypt 就可以看到。Windows 不知道現在有沒有,幾年前還是沒有用 salt。 

幾年前,當使用者忘記密碼時,國內某大攝影網站竟然 E-mail寄回來的是原來的密碼,顯然就是原封不動把密碼存在 database,太可怕了。

當然,如果驗證密碼的程式被偷改,被攔截紀錄,那都沒用。所以,最好 .php 等原始程式最好 owner 不要用 apache,以避免被入侵更改驗證程式的可能。

edited: 6
carl_tw
2 用 google 破解密碼 & password salt
Promote 0 Bookmark 02008-05-07quote  

eliu
幾年前,當使用者忘記密碼時,國內某大攝影網站竟然 E-mail寄回來的是原來的密碼,顯然就是原封不動把密碼存在 database,太可怕了。

感同身受,我就收過明文顯示使用者密碼的確認信,實在是很可怕!!

萬一這封信件在寄發的過程中,被有心人士攔截,或是寄到別人的信箱,後果誰要負責?

eliu
3
Promote 0 Bookmark 02008-05-07quote  

確認信密碼是 plaintext 還好,phpbb 好像就是 ?  這不代表存在 database 是 plaintext

所以比較重要的密碼與一般的密碼最好要分開。

edited: 2
eliu
4
Promote 0 Bookmark 02008-06-25quote  
edited: 1
eliu
5 用 google 破解密碼 & password salt
Promote 0 Bookmark 02010-05-09quote  

eliu
幾年前,當使用者忘記密碼時,國內某大攝影網站竟然 E-mail寄回來的是原來的密碼,顯然就是原封不動把密碼存在 database,太可怕了。
今天去 pchome 買手機電池,裏面說忘記密碼可以用手機簡訊傳回,不知道是不是把密碼存起來而不是用 hash 的方式。

pchome 我覺得很爛,訂單 & 傳回的 E-mail 上都不寫郵寄的住址,沒辦法再次確認。

edited: 2

CC: PHP
cht電腦資訊網路
adm Find login register
views:29035