thắc mắc Hỏi về cách lưu mật khẩu trong database

Khiếp, ngủ tí dậy mấy thím Quote lắm thế :D Giờ mà vẫn còn người lưu pwd ở dạng text thuần chắc chỉ có học sinh mẫu giáo làm quen code. Ít nhất hiện nay cũng áp dụng mã hoá 1 chiều. Bảo mật hơn thì salt vài lớp. Đôi khi nó hash lại chính cái đoạn đã áp mã 1 chiều rồi.
Mấy cái trang bốc phét decode pass md5 .v.v. Bản chất nó cũng là trang cho mã hoá online rồi lưu data của user vào db phục vụ việc so sánh chứ đào đếu đâu ra mà dịch ngược được.

Vấn đề mình muốn nói là site quan trọng là dữ liệu user, lộ db rồi thì user lòi hết thông tin thì quan tâm làm gì pwd mã hoá ntn. Chưa kể khi đã chọt tới db khả năng lộ source cũng tương đồng. Việc tìm ra pwd dùng phương thức bảo mật nào để dò danh sách pass trung lặp thiếu gì cách. Hacker nó có quyền edit db thì pass trời nó cũng login được khi đã nắm source.

Đấy là vấn đề kĩ thuật, mấy thím nói đa phần mang yếu tố social engineering. Đã liên quan yếu tố con người thận nó còn hack được nữa là ba cái pwd.


hung_hell_hound said:
haha. vậy là giờ không thể decrypt lại cái pass đó để xem mà chỉ có thể mã hóa 1 chiều pass nhập vô rồi so sánh với chuỗi trong csdl à bác?
Click to expand...
Về bản chất thì pwd lưu ở db là 1 đoạn mã khó/ không thể dịch ngược ra text thuần của user nhập vào.
Khi login, hệ thống sẽ mã hoá text thuần theo thuật toán quy định rồi so sánh chuỗi kết quả với pwd lưu ở db. Nếu đúng thì login.


À mà FB các thím có thể login bằng pwd viết hoa thường ngược lại nhé. Ví dụ pwd là Abc12ba thì có thể login là aBC12BA :D
 
merciless said:
Khiếp, ngủ tí dậy mấy thím Quote lắm thế :D Giờ mà vẫn còn người lưu pwd ở dạng text thuần chắc chỉ có học sinh mẫu giáo làm quen code. Ít nhất hiện nay cũng áp dụng mã hoá 1 chiều. Bảo mật hơn thì salt vài lớp. Đôi khi nó hash lại chính cái đoạn đã áp mã 1 chiều rồi.
Mấy cái trang bốc phét decode pass md5 .v.v. Bản chất nó cũng là trang cho mã hoá online rồi lưu data của user vào db phục vụ việc so sánh chứ đào đếu đâu ra mà dịch ngược được.

Vấn đề mình muốn nói là site quan trọng là dữ liệu user, lộ db rồi thì user lòi hết thông tin thì quan tâm làm gì pwd mã hoá ntn. Chưa kể khi đã chọt tới db khả năng lộ source cũng tương đồng. Việc tìm ra pwd dùng phương thức bảo mật nào để dò danh sách pass trung lặp thiếu gì cách. Hacker nó có quyền edit db thì pass trời nó cũng login được khi đã nắm source.

Đấy là vấn đề kĩ thuật, mấy thím nói đa phần mang yếu tố social engineering. Đã liên quan yếu tố con người thận nó còn hack được nữa là ba cái pwd.



Về bản chất thì pwd lưu ở db là 1 đoạn mã khó/ không thể dịch ngược ra text thuần của user nhập vào.
Khi login, hệ thống sẽ mã hoá text thuần theo thuật toán quy định rồi so sánh chuỗi kết quả với pwd lưu ở db. Nếu đúng thì login.


À mà FB các thím có thể login bằng pwd viết hoa thường ngược lại nhé. Ví dụ pwd là Abc12ba thì có thể login là aBC12BA :D
Click to expand...

Theo thím chrome có mã hoá ko. Khi vào manage pass nó có chức năng show pass đó

Sent using vozFApp
 
Niels Henrik Abel said:
Theo thím chrome có mã hoá ko. Khi vào manage pass nó có chức năng show pass đó

Sent using vozFApp
Click to expand...
Đang nói về vấn đề sv, thím lại đá sang client là tdn. Như mình nói bên trên khi liên quan yếu tố con người thì thận nó còn mổ mất chứ nói gì mấy cái pwd. Cái nữa lưu pass vào chrome thì cũng là máy cá nhân, việc soi pwd từ chrome yêu cầu pass máy tính. Lộ pass từ chrome là do thằng người dùng chủ máy, không phải do thằng coder hệ thống ngu.
 
LonelyWolf1301 said:
Password đa số mọi người xài lại nhiều mà, biết password, mail thì mò qua được các loại tài khoản khác, thậm chí email. Khá quan trọng á.
Click to expand...
ví dụ case dùng bcrypt để mã hóa rồi lưu password
giả sử như như bị lộ sạch db đã mã hóa
theo thím thì làm cách nào để dịch ngược ra lại password ban đầu :(
 
hung_hell_hound said:
haha. vậy là giờ không thể decrypt lại cái pass đó để xem mà chỉ có thể mã hóa 1 chiều pass nhập vô rồi so sánh với chuỗi trong csdl à bác?
Click to expand...
thì xưa giờ mấy cái login đều vậy mà?
mã hóa rồi so sánh trong db, chứ có phải dịch ngược rồi so sánh với pass user nhập đâu :(
 
Mob Psycho said:
ví dụ case dùng bcrypt để mã hóa rồi lưu password
giả sử như như bị lộ sạch db đã mã hóa
theo thím thì làm cách nào để dịch ngược ra lại password ban đầu :(
Click to expand...
Theo mình research thì nếu các thuật toán có mức độ mã hóa yếu, mật khẩu đơn giản (phổ biến), không dùng salt hay pepper mà chỉ hash password thôi thì hoàn toàn có thể dùng rainbow table thì để tìm được password
 
hieple97 said:
Theo mình research thì nếu các thuật toán có mức độ mã hóa yếu, mật khẩu đơn giản (phổ biến), không dùng salt hay pepper mà chỉ hash password thôi thì hoàn toàn có thể dùng rainbow table thì để tìm được password
Click to expand...
thì đấy là do thím dùng mấy cái thím research đơn giản để lưu, vì mấy cái mã hóa đó không ổn nên mới đẻ ra mấy thằng bcrypt, argon
sao thím không dùng nó :(
 
Mob Psycho said:
thì đấy là do thím dùng mấy cái thím research đơn giản để lưu, vì mấy cái mã hóa đó không ổn nên mới đẻ ra mấy thằng bcrypt, argon
sao thím không dùng nó :(
Click to expand...
Mình vẫn dùng mà, ý mình là kể cả khi dùng thì vẫn có rủi ro và làm sao để giảm thiểu rủi ro đó
=> Trong case này mình sử dụng thêm salt random + pepper.
 
Dùng mấy thuật mã hóa 1 chiều để encrypt plaintext password rồi lưu lại bác, hiện tại thì phổ biến bcrypt, hồi xưa thấy hay dùng md5 nữa
 
pwd toàn mã hóa 1 chiều, mà toàn sha,md5 thì các ông nắc cơ có dịch ngược vào mắt à, còn muốn chơi trội thì chế thêm vào cái chuỗi gì đó nữa, ví dụ thêm vào cái name , cái ngày tạo acc vào nữa, bố hacker cũng ko mã hóa ngược đc:D
 
joonkim said:
Trước gặp 1 vụ migrate password cho database cũ => database mới

db cũ chỉ dùng password hash, db mới hash + salt

:LOL:
Click to expand...
Bác cho em hỏi là làm sao để migrate được vậy? Mình lưu lại cái salt rồi cộng pass cũ với salt ạ? Em cũng đang có 1 case gần tượng tự mà chưa biết phải làm thế nào.
 
merciless said:
Khiếp, ngủ tí dậy mấy thím Quote lắm thế :D Giờ mà vẫn còn người lưu pwd ở dạng text thuần chắc chỉ có học sinh mẫu giáo làm quen code. Ít nhất hiện nay cũng áp dụng mã hoá 1 chiều. Bảo mật hơn thì salt vài lớp. Đôi khi nó hash lại chính cái đoạn đã áp mã 1 chiều rồi.
Mấy cái trang bốc phét decode pass md5 .v.v. Bản chất nó cũng là trang cho mã hoá online rồi lưu data của user vào db phục vụ việc so sánh chứ đào đếu đâu ra mà dịch ngược được.

Vấn đề mình muốn nói là site quan trọng là dữ liệu user, lộ db rồi thì user lòi hết thông tin thì quan tâm làm gì pwd mã hoá ntn. Chưa kể khi đã chọt tới db khả năng lộ source cũng tương đồng. Việc tìm ra pwd dùng phương thức bảo mật nào để dò danh sách pass trung lặp thiếu gì cách. Hacker nó có quyền edit db thì pass trời nó cũng login được khi đã nắm source.

Đấy là vấn đề kĩ thuật, mấy thím nói đa phần mang yếu tố social engineering. Đã liên quan yếu tố con người thận nó còn hack được nữa là ba cái pwd.



Về bản chất thì pwd lưu ở db là 1 đoạn mã khó/ không thể dịch ngược ra text thuần của user nhập vào.
Khi login, hệ thống sẽ mã hoá text thuần theo thuật toán quy định rồi so sánh chuỗi kết quả với pwd lưu ở db. Nếu đúng thì login.


À mà FB các thím có thể login bằng pwd viết hoa thường ngược lại nhé. Ví dụ pwd là Abc12ba thì có thể login là aBC12BA :D
Click to expand...

Thì đang nói là bảo vệ password khỏi bị mò ở các site khác chứ site bị lộ DB còn nói làm gì data ở site đó nữa thím.
Thím có quản trị một site, biết hash của pass mà dò được plain pass của user đó cũng đâu có dễ đâu.
 

Similar threads

D
thắc mắc Xử lý Async trong xây dựng hệ thống tải cao
Replies
12
Views
1K
bopbop1211
bopbop1211
raisins
Người quên mật khẩu ví Bitcoin đổ xô tìm cách khôi phục
Replies
11
Views
1K
chuoi18_shop
chuoi18_shop
buiduchanh1995
thắc mắc Cách thiết kế database cho hệ thống lớn
2
Replies
37
Views
3K
khonganhit19
khonganhit19
Bing AI
Ngày Mật khẩu thế giới: Đặt mật khẩu kiểu nào mới an toàn?
4 5 6
Replies
107
Views
7K
Maokai
Maokai
MasterchiefsReborn
Trào lưu độc hại tràn ra đường để quay clip gây bức xúc
2 3 4
Replies
78
Views
7K
quanbhvn1
quanbhvn1

Share this page

Back
Top