Jump to content

Segurança no registo de utilizadores


nuno_couto
 Share

Recommended Posts

Viva.

A minha questão tem a ver com a segurança dos sistemas de registo de utilizadores.

Como é que se garante que um "bot" não consiga criar automaticamente novos utilizadores?

Estava a pensar em criar um script que obrigue ao envio de um email que contenha um link de confirmação do registo, e para alem disso não permita dois emails iguais... Mas acho que isto não deve ser suficiente.

O famoso sistema da confirmação dos caracteres da imagem é aconselhável? E já agora, o que se deve fazer para que o bot não possa identificar a imagem e apartir poder ser programado para introduzir o texto "x" para a imagem "x"?

portalmundial.net »» criamos sites

Link to comment
Share on other sites

Em relação à confirmação por email, o bot não poderá estar feito para criar contas de email ou redireccionamentos de email num determinado domínio e receber as confirmações?

E relativamente às imagens, se existirem (por exemplo) 20 imagens, 01.jpg 02.jpg ... etc... o bot não pode estar programado para verificar qual o ficheiro e ter já o texto introduzido pelo programador que o criou?

portalmundial.net »» criamos sites

Link to comment
Share on other sites

Por falar em segurança de registo de utilzadores para nao estar a criar um topic novo aproveito este, ate que ponto é seguro ou náo ter a password encriptada com md5 ou sha1 or whatever na base de dados?

Ja vi sites em que na parte que toca a segurança convem ser mto bem protegida e ao fazermos "recuperar a password" ele enviam-nos para o e-mail a nossa password, ou seja para enviar-nos a nossa password ela nao deve estar encriptada na base dados, digo eu...  ?

Link to comment
Share on other sites

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

md5 e sha não são algoritmos de encriptação... sao algoritmos de hashing... ou seja... algoritmos de um só sentodo em que a insformação se perde.

Assim sendo não existe nenhum decriptador destes algoritmos.

Os sites que enviam a pass por email não a podem ter guardade depois de u algoritmo de hash.

md5 e sha não permitem devolver a situção, mas há tecnicas para encontrar um palavra que valide com o mesmo md5 que a original.

Normalmente os ataques são por força bruta... coisa que um bom webmaster prevê e evita, por exemplo com um limite temoporal de 10 segundos.

Link to comment
Share on other sites

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

md5 e sha não são algoritmos de encriptação... sao algoritmos de hashing... ou seja... algoritmos de um só sentodo em que a insformação se perde.

Assim sendo não existe nenhum decriptador destes algoritmos.

Os sites que enviam a pass por email não a podem ter guardade depois de u algoritmo de hash.

md5 e sha não permitem devolver a situção, mas há tecnicas para encontrar um palavra que valide com o mesmo md5 que a original.

Normalmente os ataques são por força bruta... coisa que um bom webmaster prevê e evita, por exemplo com um limite temoporal de 10 segundos.

o md5 e sha não deixam de ser encriptadores e ja existem alguns desencriptadores de md5 😄

Link to comment
Share on other sites

esse tipo de desincriptadores cheira-me que é igual aos muitos que andam por ai que apenas procuram em base de dados enormes por alguma hash que tenham, se não tiverem registo dela, não descobrem.

Mas já existe um algoritmo para descodificar hashes md5... há algum tempo e eu não fazia ideia até à uns dias atras lol e que o código para isso tava na net... vou começar a mudar tudo pa sha-1 pk ai acho que ainda não conseguem descobrir nada.

http://it.slashdot.org/article.pl?sid=05/11/15/2037232

Link to comment
Share on other sites

esse tipo de desincriptadores cheira-me que é igual aos muitos que andam por ai que apenas procuram em base de dados enormes por alguma hash que tenham, se não tiverem registo dela, não descobrem.

Mas já existe um algoritmo para descodificar hashes md5... há algum tempo e eu não fazia ideia até à uns dias atras lol e que o código para isso tava na net... vou começar a mudar tudo pa sha-1 pk ai acho que ainda não conseguem descobrir nada.

http://it.slashdot.org/article.pl?sid=05/11/15/2037232

eu nao conheco nenhum algoritmo pa desencriptar md5, so conheco uma cena ke se chama rainbow tables, tabelas que podem chegar a ter 30gb(sim, gigas) de tamanho, onde tao todos os hashes possiveis e imaginarios ate um determinado numero de caracteres

Fika aki o exemplo duma estrutura: (os hashes tao a balda)

portugal - 123456789123456789123456

a - 987654321987654321

programar - 25454651451212121

dps e so buscar o hash que tamos a procura, e ver qual a palavra ou expressao ke kom ele coincide

Proud LEIC-A@IST student!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.