• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

laptop07

Encriptação segura

27 mensagens neste tópico

Preciso de uma encriptação segura como AES-256 ou SHA-256, o problema é que ainda não consegui encontrar nada.  ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Uma coisa, md5 não é seguro, porquê?

Talvez seja mais inseguro o teu sistema do que a senha !

Porque se alguém se conseguir conectar à tua base de dados para que eles querem as tuas senha se podem fazer o que quiser? Achas que se vão estar a preocupar com as senhas?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Uma coisa, md5 não é seguro, porquê?

Porque consegues encontrar colisões "facilmente" derivado a uma falha no algoritmo que torna previsível o resultado. No entanto, isto não acontece com SHA-256.
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

E para que interessa a alguém "desencriptar" uma senha MD5 se tem acesso a todos os dados da tua base de dados?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Saber a password original para completar uma rainbow table p.e.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O que eu queria dizer, é que se alguém consegue aceder ao teu banco de dados o que menos lhe vai preocupar vai ser a senha, pois tem acesso a todos os outros dados e faz o que quiser, entendes? ;S

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O que eu queria dizer, é que se alguém consegue aceder ao teu banco de dados o que menos lhe vai preocupar vai ser a senha, pois tem acesso a todos os outros dados e faz o que quiser, entendes? ;S

Imagina que o "banco de dados" era o do fórum portugal a programar.... wow! ganhaste acesso a 500 mil posts.... isso já tens mesmo sem te registares. Agora... se crackares a password do admin.. ganhas acesso admin ao fórum.. e se o admin for pouco cauteloso, usando a mesma password ainda ganhas acesso ao alojamento, e ficas com uma shell para "brincares".

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Imagina que o "banco de dados" era o do fórum portugal a programar.... wow! ganhaste acesso a 500 mil posts.... isso já tens mesmo sem te registares. Agora... se crackares a password do admin.. ganhas acesso admin ao fórum.. e se o admin for pouco cauteloso, usando a mesma password ainda ganhas acesso ao alojamento, e ficas com uma shell para "brincares".

Imagina que eu me conseguia conectar ao banco do portugal a programar...

Para que queria a senha do admin se podia fazer e ver mais do que um admin?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O que eu queria dizer, é que se alguém consegue aceder ao teu banco de dados o que menos lhe vai preocupar vai ser a senha, pois tem acesso a todos os outros dados e faz o que quiser, entendes? ;S

Não estás a pensar mais além. Imagina que tinhas acesso ao hash da minha password do P@P, não te interessava saberes a password para poderes entrar noutros serviços onde eu use a mesma password mas que tu não consegues invadir?
0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

E para que interessa a alguém "desencriptar" uma senha MD5 se tem acesso a todos os dados da tua base de dados?

Saber a password original para completar uma rainbow table p.e.

Imagina que o "banco de dados" era o do fórum portugal a programar.... wow! ganhaste acesso a 500 mil posts.... isso já tens mesmo sem te registares. Agora... se crackares a password do admin.. ganhas acesso admin ao fórum.. e se o admin for pouco cauteloso, usando a mesma password ainda ganhas acesso ao alojamento, e ficas com uma shell para "brincares".

Além disso, existe muita gente que usa a mesma password para o computador, e-mail, contas em vários sites, etc.

Já pensaste o que podes fazer com isso? Só é necessário descobrires por anda essa pessoa... o que é bastante simples.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ah bom, Tirácio e Skin, agora sim tem alguma lógica...

Mas, mesmo assim... Apesar de ser aconselhável a usar a melhor segurança nesse aspecto, acho que isso já é um problema do utilizador e não do programador, não?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não concordo, então para quê encriptar a password? Se o problema é do utilizador eu sou programador e faço com que o sistema não encripte a pass, fica ali em plain-text à mercê de quem quiser..

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu penso que a encriptação de uma senha não é uma forma de "guardar uma senha às 7 chaves, impossivel de descodificar", mas sim uma maneira de dificultar a vida a quem quer descobrir a senha de alguém para os casos que já referiram. No entanto, eu acho que se alguém consegue aceder ao banco de dados de alguém, consegue fazer muito mais que isso...

Por isso acho que tanto faz encriptar de maneira A, B ou C

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu não chamaria propriamente de "dificultar a vida" a uma string cifrada com Whirlpool.

De qualquer modo, seja em que algoritmo for, até pode ser em ROT13  :eek:... sempre é melhor que plain text.

E repara, normalmente o acesso que se consegue às bases de dados é por SQL injection.... e a primeira que se tenta é fazer um dump das hashes...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mas, ao encriptar uma senha com MD5() estou a garantir a segurança da senha.

Agora, podes dizer: Mas se abc() é mais seguro que md5() para que vou usar md5() em vez de abc() ?

Neste caso, já é diferente, mas como em tudo "o ladrão é melhor que o polícia", ou seja independentemente da segurança as coisas acontecem, e tanto faz encriptares com abc() ou md5() que uma pessoa que tenha conhecimentos e não tenha nada para fazer na vida tanto desencripta uma senha md5 como uma abc...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Não consegues arranjar uma colisão de SHA-256 até morreres, e só com rainbow tables é que podes ser comprometido. Com MD5 não é bem assim. :)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Mas, ao encriptar uma senha com MD5() estou a garantir a segurança da senha.

Agora, podes dizer: Mas se abc() é mais seguro que md5() para que vou usar md5() em vez de abc() ?

Neste caso, já é diferente, mas como em tudo "o ladrão é melhor que o polícia", ou seja independentemente da segurança as coisas acontecem, e tanto faz encriptares com abc() ou md5() que uma pessoa que tenha conhecimentos e não tenha nada para fazer na vida tanto desencripta uma senha md5 como uma abc...

Felizmente isso não é bem assim. Actualmente existem algoritmos cujas hashes podem demorar biliões de anos a ser quebradas. No entanto é a tal coisa, amanha já pode haver hardware que o faça em "apenas" algumas semanas, mas a criptologia entretanto tb vai evoluindo e novos algoritmos vão surgindo.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Felizmente isso não é bem assim. Actualmente existem algoritmos cujas hashes podem demorar biliões de anos a ser quebradas. No entanto é a tal coisa, amanha já pode haver hardware que o faça em "apenas" algumas semanas, mas a criptologia entretanto tb vai evoluindo e novos algoritmos vão surgindo.

Até pode nem ser preciso uma evolução no hardware... O MD5 quando foi criado também se pensava que era seguro (aliás, à partida, qualquer cifra quando é criada é suposto ser segura), mas depois vamos descobrindo ataques à mesma. Nada garante que não venha a ser descoberto um ataque a um qualquer algoritmo criptográfico que comprometa a sua segurança nos próximos tempos.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Felizmente isso não é bem assim. Actualmente existem algoritmos cujas hashes podem demorar biliões de anos a ser quebradas. No entanto é a tal coisa, amanha já pode haver hardware que o faça em "apenas" algumas semanas, mas a criptologia entretanto tb vai evoluindo e novos algoritmos vão surgindo.

Até pode nem ser preciso uma evolução no hardware... O MD5 quando foi criado também se pensava que era seguro (aliás, à partida, qualquer cifra quando é criada é suposto ser segura), mas depois vamos descobrindo ataques à mesma. Nada garante que não venha a ser descoberto um ataque a um qualquer algoritmo criptográfico que comprometa a sua segurança nos próximos tempos.

Nem mais...

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Uma coisa, md5 não é seguro, porquê?

Talvez seja mais inseguro o teu sistema do que a senha !

Porque se alguém se conseguir conectar à tua base de dados para que eles querem as tuas senha se podem fazer o que quiser? Achas que se vão estar a preocupar com as senhas?

MD5, para além de ser um sistema criado pelo homem ( logo com falhas, como qualquer sistema ), ainda tem umas nuances. Foi descoberto à uns tempos que palavras diferentes davam o mesmo hash. Não tenho aqui o link, senão mostrava.

De qualquer modo, isso é uma falha. Já vi muitas vezes esta discussão, e ao que me parece a solução é simples :

Usem o que quiserem, SHA ou MD5. Se forem projectos ditos pequenos, chega perfeitamente.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora