View Full Version : چرا پسوردها باید دکود بشن؟
hadiaj168
شنبه 17 مرداد 1388, 18:10 عصر
سلام
می خواستم بدونم چرا پسورد کاربرها برروی سرور باید دکود بشه؟
فرض کنیم یک هکر تونسته وارد دیتابیس بشه در این صورت چه نیازی به پسور کاربر داره؟(اصلا یک هکر میتونه رمز دیتا بیس رو به دست بیاره؟)
ممنون
Bandeye_khoda
شنبه 17 مرداد 1388, 19:00 عصر
با سلام خدمت دوست عزیز
اگه سرور امن باشه هکر نمیتونه وارد سرور بشه و سعی میکنه از طریق برنامه یا اسکریپتی که شما استفاده میکنید وارد سرور بشه و یا ادمین اون اسکریپت یا برنامه رو به دست بیاره که بتونه توی صفحاتش تغییر بده و یکی از راههای معمول برای این کار استفاده از sql injection هستش
البته کار خوبی نیست که من این لینک رو اینجا میزارم ولی برای درک بهتر میتونی به آدرس زیر بری و ببینی که من چطوری تونستم یوزر و پسورد سایت زیر رو به دست بیارم
http://www.mobilecountyal.gov/Default.asp?ID=137&pg=News&action=view&nid=-999+UNION+all+SELECT+1,2,unhex%28hex%28Password%29 %29,unhex%28hex%28LoginName%29%29,5,6+From+teamcmp _mobile_county.tblusers--
خوب اگه پسورد ها رو هش کنیم اون موقع هکر نمیتونه به پسورد دسترسی داشته باشه و اگه پسورد یه کم قوی باشه دیگه اصلا نمیتونه اون رو از هش دربیاره
نکته: هش کردن همون انکد کردن نیست. یعنی وقتی پسوردی رو انکد میکنید نیاز به کلیدی هستش که اون رو انکد کنید ولی وقتی هش میکنید مثل این که یه چیزی مثل اثر انگشت برای پسورد ایجاد میکنید که برای تمام کلمات فرق میکنه.
Bandeye_khoda
یک شنبه 18 مرداد 1388, 17:16 عصر
البته الگوریتم هایی برای دیدن مقدار هش نوشتن ولی , بهتره که هش کنی بعدا دیتابیس دست کسی افتاد اطلاعات لاکین کاربر رو نتونه داشته باشه !
سلام دوست عزیز
به هیچ وجه نمیشه هش رو به حالت اولیه در آوری مگر اینکه بیایین هش متن های مختلف رو حساب کنیم و اون رو با هش مورد نظر مقایسه کنیم (کاری که سایتهایی مثل http://www.passcracking.com/ انجام میدن) که اونم اگه پسورد درست حسابی باشه احتمال جواب دادن این روش خیلی کمه.
hadiaj168
یک شنبه 18 مرداد 1388, 21:01 عصر
خب نشد عزیزان
خب اگه از sql injection استفاده کنیم چه فرقی میکنه که پسورد هش شده باشه یا نه؟
حالا اگه دیتا بیسم دست کسی افتاد دیگه چه نیازی به پسورد داره خب هر کاری که بخواد میکنه.
Bandeye_khoda
دوشنبه 19 مرداد 1388, 02:00 صبح
سایت رو دیدم , جالب بود . بله شدنی نیست . ولی از طرف یکی از دوستانم مطلع شده بودم کارایی هستش که در دنیا انجام دادن که می تونی برگردونی .
یعنی شما میگید هشی که از یه فایل 80MB گرفته شده رو میشه برگردوند؟؟
خب نشد عزیزان
خب اگه از sql injection استفاده کنیم چه فرقی میکنه که پسورد هش شده باشه یا نه؟
حالا اگه دیتا بیسم دست کسی افتاد دیگه چه نیازی به پسورد داره خب هر کاری که بخواد میکنه.
دو تا دلیل واسه این کار هستش
1. دوست عزیز این کاری که شما میگید کار هر کسی نیست.
2. چون توی این دنیا به کسی نمیشه اعتماد کرد پس به هاستینگ هم اعتماد نکن و اطلاعات priv8 رو همیشه مخفی نگهدار.
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.