Wpis z mikrobloga

Skopiuj link

konto usunięte 07.02.2019, 21:45:58

#programista15k #security #kiciochpyta

Właśnie zaczelo mnie nurtować pytanie w jaki sposób przechowywane są hasła w sytuacji gdy uzywane jest maskowane hasło przy logowaniu (np w Alior banku)
W "normalneej" sytuacji login + hasło, haslo jesty hashowane, solone i pieprzone ;), potem hash przechowywany jest w bazie, nastepnie hash jest porównywany z tym co wysłał formularz od użytkownika.
A jak jest sytuacji gdy uzytkownik podaje tylko 1,3 i 5 literę hasła ?

intuicyjnie przychodzi mi do głowy, ze haslo jest w plain tekscie i serio porownywane sa znaki, ale to jest zbyt głupie zeby było prawdziwe. Przechowywanie hashy stałych sekwencji ? np. zawsze prosi o 3,5,7 oraz 2,6 i 8 cyfrę (wtedy #!$%@? 2 sekwencje)
Jak to jest realizowane ?

Filala

07.02.2019, 21:48:17 via Android

@cluer w sumie nigdy się nad tym nie zastanawiałem, aż do teraz

Bump

snejdan

07.02.2019, 21:55:03

@cluer: https://security.stackexchange.com/questions/4830/how-do-some-sites-e-g-online-banks-only-ask-for-specific-characters-from-a-pa

fizyk20

07.02.2019, 21:57:51

@cluer: @Filala: https://zaufanatrzeciastrona.pl/post/kryptografia-hasel-maskowanych-czyli-magia-matematyki/

c.....r

konto usunięte 07.02.2019, 22:06:21

@fizyk20: dzięki ! dobre :)

WyjmijKija

08.02.2019, 08:49:23

@cluer: dobre pytanie, a znając to co dzieje się w bankach nie zdziwiłbym się i tak jak by przechowywali w plain texcie z wiarą w to, że przecież im nikt z bazy nie weźmie