|
Privatnost i sigurnost podataka i korisnika
Mislim da nam fali jedna tema za sve vijesti ovog tipa pa eto prvi post :goood:.
Citiraj:
https://www.techspot.com/images2/new...20-j_1100.webp |
Enkriptirani passwordi, evo jos jedna sijeda.
Inace funfact svaki al bas svaki apac i vecina latamovaca koje sam intervjuirao koriste iskljucivo enkriptiranje passworda. U americi pola pola a u europi vecina hashira. |
Jesam li u zabludi ako smatram da je hashiranje pouzdanija opcija?
|
Apsolutno, enkripcija je dvosmjerna funkcija dakle naprabljena da se moze vratiti sa kljucem, hashiranje je jednosmjerna. U implementaciji se jos posoli i hashira vise puta, a pametni i lijeni koriste gotov library i onda si miran i niko nece iz breacha izvuc password.
|
Po meni jedina mana hashiranja je što se password ne može povratiti, ali uvijek se može postaviti novi.
|
Ne moze uvijek :D ali ako spremas password moras ga hashat i to je to, strasno je sto previse programera to ne radi, i seniori i leadovi koji su se javljali na te pozicije sa 20+ godina iskustva....
|
Citiraj:
Poanta hashiranja je da nije reverzibilno. U protivnom puno toga ne bi radilo ukkjučujući i potpisivanje certova. |
Citiraj:
Mislim da oni koji to ne rade ne rade zato jer je nekada davno bilo tako napravljeno i jednostavno to nitko nije promijenio jer nitko nije tako naložio. Pa onda padnu razne pentestove i promijene to zato jer im je tako naloženo :D |
Citiraj:
Citiraj:
> Techspot |
Citiraj:
|
Je najbolje je kad negdje zatražim izgubljenu lozinku pa mi je oni vrate u mailu.
|
Dogodilo mi se. Ne jednom :D
|
Ja sam dobio zahtjev za implementacijom raw passworda. Želja je kupcu prikazati password na ekranu kad dođe potpisati ugovor :D
|
Imao sam nešto slicno, rjesio sam tako da sam ima odvojenu tablicu za tempPass, enkriptirano sa hashom emaila i unique saltom, acceptanjem termsa se pass hashira, i temp se hard deletea. Nije idealno al risk accepted
|
Ovo čak nije ni bio temp pass. Glavni razlog je bio "to su kupci koji ne vole mijenjati lozinke te koriste jednu za sve servise jer ne žele pamtiti za svaki servis posebno". Moram priznati da sam ostao bez teksta. Uspio sam ih nagovoriti na 8 random slova i brojeva (ne i random znakova). Da ne pričam da je u jednom momentu uletila ideja o četveroznamenkastom PIN-u :D
|
Bas to je najveci problem sto svi koriste isti pass za sve, hakens na jednom haknio si svagdi. A znam i za takve klijente i ovaj iz skucaja gore je imao slicnu zelju ali kad sam mu sa ozbiljnom pogledom rekao ne shvatio me je ozbiljno pa smo trazili alternative.
Svega sam se nagledao u karijeri, brojevi kreditne kartice, cvv , exp date, drzavna firma, jedno 50k kartica u pure plain textu, site imao sql injectable polja.... to je bilo prije pci dss, sad je to malo bolje, svima naporno ali bolje iako i dalje ima svega. 2 factor auth na svemu bitnom, passkey je dobra stvar ali ja volim znat svoj pass. Razlicit pass na svemu bitnom, a na nebitnom ja jos nakon istog passa dodam domenu, dovoljno da skripte failaju a skripte su 99.999 posto pokusaja hackanja, nece se skripta pretjerano trudit pokusavat skuzit password, par matchanih passworda ce probat ako ne prolazi ide dalje. Isto tako volim korisitit mail+nesto@gmail na gmailu tako da znam odakle breach dolazi, problem je sto dosta sajtova ne dozvoljava + u emailu. Uglavnom se najbitnije zastiti od skripti, jer rijetko kad je osoba ko osoba meta napada, onda se cesce ide na social engineering. Sad sta ce nam ai/ml donit koji je sposoban prokuzit dodavanje domene i emaila u password, tesko je znat, ali opet mala je vjerojatnost da ce neko koristiti skupe resurse da skripta pokusa pogoditi razliku passworda ukoliko nisi highly exposed persona. |
Sve tekve p***rije proizlaze iz odluka onih koji koncept IT-a ni sigurnosti ne razumiju. Al hebiga tako je to kad zivimo u svijetu gdje vlada "Petrov princip" a korisnici ne shvacaju istu dovoljno ozbiljno :fiju:
|
Privatnost i sigurnost podataka i korisnika
Jednostavno rečeno, loš šef će reći: “napravi kako ti se kaže”. Dobar šef će te pitati što treba napraviti…
Za sve ostalo tu je Yubikey :D https://images.squarespace-cdn.com/c...nerDAVE400.jpg Yebemu, Dave… |
Dave će zahebat sve živo a pogotovo zdrav razum 😎
|
Citiraj:
Prije godinu i pol nam ukinuli passworde na poslu. Najbolja fora i odluka ikad. |
Privatnost i sigurnost podataka i korisnika
To i ja pokušavam uvesti već neko vrijeme. Mojim kolegama se to čini kao puno posla jer imamo puno internih appova (developerima pogotovo) a managementu se to čini kao ukidanje autorizacije :)
A svi su svjesni da je hw key puno sigurniji od passworda pogotovo onih zaljepljenih za kućište laptopa :D |
Citiraj:
|
Ako nije biometrijski treba ti PIN za hw key kao i za smart karticu.
|
Dakle, opet naljepnica, ovaj put s pinom.
|
U korporativnon ojruzenju, sto je na kraju sigurnije, pin koji se u pravilu nikad ne mijenja (moze li se na yubikeyu uopce promjeniti bez resetiranja hw keya?) ili pass koji najcesce ima rok trajanja 3-6 mjeseci? Hm hm
|
Citiraj:
Nije bas tak jednostavno. Passkey je idejno barem dobar koncept - kak se bude u praksi pokazalo vidjet cemo. Pain in the ass bude jedino ako ti krepa uredaj koji sluzi kao "baza" pa kad sve to treba isponova authentificirat i prebacit na novi uredaj. Obican korisnik ce popizdit. Ubikey mozes stekat kolko hoces ali ako nemas valjan otisak prsta mos se fuckat. Vektor napada je time osjetno smanjen barem sa te strane. |
Citiraj:
|
Citiraj:
I sam imam hw key s pin-om, ali sam u medjuvremenu skuzio da se pin moze promjeniti bez reseta keya. Vjerojatno se onda moze mijenjati i na yubikeyu (ja imam token2 keyeve): https://www.token2.com/site/page/fid...do2-manage-exe |
Citiraj:
|
Citiraj:
Točno :D Zato i postoje ove solucije ali za po doma će to rijetki koristiti. Zato MS pokušava to progurati u Win11 što iako iritantno nije tak bedasto. Ovdje pričamo više o Enterprise svijetu gdje mnogi te loše navike od doma prenose u službeno okruženje što je jedan veliki "no-no". Većina IT-evaca je kolko tolko svjesna toga no u velikim firmama to što spominješ je ogroman problem. |
| Sva vremena su GMT +2. Sada je 16:43. |
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger