Admin trang web có biết password của mình trong database không?

vuacanlong

Member
Mình mới đăng kí tài khoản 1 trang web cái nó gửi password của mình về email đăng kí luôn vl:waaaht:
Web mình đăng kí có vẻ là khách hàng của cái công ty này (Mình không PR đâu nhé): https://cls.vn/
 
Có, khi thằng hacker nó hack xong cái dữ liệu web thì nó túm cổ user và pass ráo nạo.
Bữa trộn hồ nghe 2 thằng IT nói thế.
 
sao lại không? nó decode đc thì xem đc thôi, web đó nó viết mà

Password không ai lưu trữ dạng plain text hoặc mã hoá đơn giản đâu, đúng chuẩn của nó là mã hoá 1 chiều (không thể decode được). Còn nó viết mà show ra được cái password dưới dạng plain text thì sai nguyên tắc rồi.

via theNEXTvoz for iPhone
 
Mình mới đăng kí tài khoản 1 trang web cái nó gửi password của mình về email đăng kí luôn vl:waaaht:
Web mình đăng kí có vẻ là khách hàng của cái công ty này (Mình không PR đâu nhé): https://cls.vn/
có phải password tài khoản ngân hàng đâu mà lo, mấy trang web tào lao cho nó cái acc luôn cũng được, chết chóc gì
 
thường thì pass của người dùng lưu trong DB sẽ được mã hóa md5 hoặc sha cái này giống căn bản trong bảo mật tính năng đăng nhập
tôi thì thường chọn phương án trộn các lớp bảo mật lại để hacker khó hơn trong bruceforce
thí dụ
123abc -> md5 -> sha
Các tool phá md5 hiện giờ là dùng từ điển và bruceforce
 
Ông decode cái md5 dùm tôi cái.
tài hèn sức mọn chỉ biết có nhiêu đây
MD5CryptoServiceProvider hashmd5 = new MD5CryptoServiceProvider();
keyArray = hashmd5.ComputeHash(UTF8Encoding.UTF8.GetBytes(toEncrypt));
 
Em không học kỹ vụ bảo mật nhưng đọc tài liệu bên mkyong với mấy blog thì người ta toàn khuyên là dùng bcrypt + salt để lưu password là bảo mật tốt còn md5 với sha thì có thể bị trùng với cả có thể bị phá, nhưng tại sao bây giờ mọi người vẫn dùng md5 với sha để lưu các bác nhỉ?
 
tài hèn sức mọn chỉ biết có nhiêu đây
MD5CryptoServiceProvider hashmd5 = new MD5CryptoServiceProvider();
keyArray = hashmd5.ComputeHash(UTF8Encoding.UTF8.GetBytes(toEncrypt));

Screenshot_126.png


MD5 không thể giải mã ngược lại đc nha. "one way hash function"

Hiện tại những cách mà mấy trang giải mã md5 cung cấp, chẳng qua là tổng hợp database của các loại password từ plain text sang md5. Sau đó user đưa md5 vào, nó check trong database xem có k rồi đưa ngược ra plain text


Mình mới đăng kí tài khoản 1 trang web cái nó gửi password của mình về email đăng kí luôn vl:waaaht:
Web mình đăng kí có vẻ là khách hàng của cái công ty này (Mình không PR đâu nhé): https://cls.vn/


Còn của ông thớt, thì có 2 cách:
Cách 1: Là lúc reg acc xong, nó có đc password plain text, nó send email luôn. Sau đó nó mới mã hoá password rồi lưu về database với mật khẩu đã đc mã hoá
Cách 2: Là nó lưu thẳng password plain text, không mã hoá gì cả vào database, rồi mới send email đến cho thớt

Nếu thật sự nó dùng cách 2, thì thằng dev ngu hết chỗ nói :D, còn thật sự nó dùng cách nào thì chỉ có mình nó biết
 
Vào đọc toàn mấy thằng dốt, lưu dưới dạng hash để tránh hacker lấy password nếu db có lở bị expose ra ngoài. Còn thằng admin nó cố tình muốn lưu dưới dạng plain text thì nó sửa code mấy hồi. Xenforo hay Vbulletin thì cũng vậy thôi.
 
Back
Top