Vlákno názorů k článku Bezpečné přihlašování uživatelů od michal_sjx - Kdyz pouziji hmac, tak tim jen presunu bezp....
-
michal_sjx (neregistrovaný)Kdyz pouziji hmac, tak tim jen presunu bezp. problem smerem na DB - musim chranit i otisky.
Tak kde potrebuji opravdu bezpecnost, tak bud pouzivam postranni kanal a nebo pristupove fraze.
postranni kanal: poslu si overovaci kod treba smskou.... meze se nekladou ;)
pristupova fraze: jako heslo, ale je to napr. minimalne 20 znaku dlouhe a pri prihlasovani se neposila cela fraze, ale jenom nahodne vybrane bity nasledne prevedene do hashe. Kdyz se utocnik dostane ke frazi, tak je samozrejme problem... Ale student ze stredni v prvaku se k ni stejne nedostane ;).
Kdyz bezpecnost, tak postanni kanal. To je muj nazor. -
martin (neregistrovaný)A neni nahodou mechanismus pristupove fraze jenom jina varianta challenge-responze?
Response = F(challenge, passwd)
Vyber bitu, ktere ma klient z hesla vybrat a zahashovat je vlastne challenge, misto hmac_md5 se jen pouzije jina funkce (tj. vyber bitu + nejaky hash).
Zbyva otazka, jestli ten vyber bitu je bezpecnejsi, nez HMAC. -
Ano mas pravdu, ale pristupova fraze se nedostane na sit cela, budou tam chybet informace (bity). Krom toho jeste budou treba prohnany pres hmac. Vysledkem bude, ze utocnik potrebuje odchytit daleko vice prihlaseni a jeste slusne kouzlit s hmac. To se promitne do celkoveho casu potrebneho k uspesnemu utoku. Navic neni zaruceno, ze se v dobe utoku jeste heslo nezmeni.
Odpoved: neni pokud se user prihlasuje treba 100x za minutu. Jinak je to bezpecnejsi. -
junix (neregistrovaný)Popravde nevidim zvyseni bezpecnosti vuci challenge-response. Tady se taky nedostava na sit heslo, ale bavime se o tom, ze ke kompromitaci dojde v pripade, ze se utocnik dostane k databazi otisku. Tohle riziko mi pripada stejne, protoze i v pripade passphrase musi byt nekde ulozena cela, aby se mohly vybrat prislusne casti i na serveru a overit platnost.
-
michal_sjx (neregistrovaný)Me ted jeste napadl jeden bezva kanal, kde se da predavat parametr pro prihlasovaci formular. Neni to nic noveho. Proste obrazek s kodem, ktery user musi opsat. Vyhoda je v tom, ze hacker ho osniffuje, ale musi u toho sedet v realnem case a v realnem case udelat utok rychleji nez se user prihlasi ... to prakticky odboura vetsinu utocniku, kteri by chteli vystavovat desitky hesel na web ;).
-
junix (neregistrovaný)To moc postrani kanal neni. Jak bys chtel overit konkretniho uzivatele? Ten postrani kanal znamena, ze SMS se posle na konkretni cislo, ktere ma ten uzivatel zadane na uctu, takze se podle nej pozna, ze prislo na jeho telefon, a ze je to dost pravdepodobne on.
Ve tvem pripade bys dal ten kod kazdemu, kdo vlezl na prihlasovaci formular? Nebo by se k tomu zadavalo heslo? Pak je obrazek k nicemu, jen treba "schovany" challenge, coz neodstranuje zadne bezpecnostni problemy pri prihlasovani.
ČLÁNKY DO MAILU