Панель

[codedivision]

Нуждаюсь в панели без жс и с поддержкой хеширования пасса в sha256 + динамическая соль.

Возможно сотрудничество с веб кодерами на постоянной основе.

 

[L.Luciano]

Тебе сюда: https://xss.pro/forums/137/
А этот раздел для программистов.
P.S. Добавил бы побольше деталей, может и побольше людей бы уже отписало: язык программирования, для чего панель будет служить и т.д.

А вот хэширование пасса в sha256 это сомнительная затея.
https://habr.com/post/210760/

• MD5: 16000 M/s
• SHA-1: 5900 M/s
• SHA256: 2050 M/s
• SHA512: 220 M/s
• NTLM: 28400 M/s
• bcrypt: 8,5 k/s

В PHP, к примеру, есть функция, позволяющая использовать хэширование с рандомной солью "из коробки": password_hash

 

[codedivision]

P.S. Добавил бы побольше деталей, может и побольше людей бы уже отписало: язык программирования, для чего панель будет служить и т.д.

Подробнее могу написать в личные сообщения, но не на публику.

А вот хэширование пасса в sha256 это сомнительная затея.
В PHP, к примеру, есть функция, позволяющая использовать хэширование с рандомной солью "из коробки": password_hash

Лучше пусть брутят пасс в 64 символа, чем использовать возможно дырявую криптографию.

 

[L.Luciano]

Подробнее могу написать в личные сообщения, но не на публику.


Лучше пусть брутят пасс в 64 символа, чем использовать возможно дырявую криптографию.

В OpenBSD и SUSE юзалось, а потом раз - и оказалось, что есть уязвимость... Алгоритм с 99-го года существует, реализация открытая. Какие-либо доводы, что алгоритм может оказаться "дырявым" (я так понимаю, что имелось ввиду некриптостойким)? Возможно ты являешься криптоаналитиком и проводил криптоанализ данного криптографического алгоритма?

 

[codedivision]

Какие-либо доводы, что алгоритм может оказаться "дырявым" (я так понимаю, что имелось ввиду некриптостойким)? Возможно ты являешься криптоаналитиком и проводил криптоанализ данного криптографического алгоритма?

Начнем с того, что я этого не утверждал, а указал возможность.

Во-первых, blowfish может быть взломан с большой вероятностью (атака на основе открытых текстов).
Во-вторых, bcrypt практически не исследовался специалистами.
В-третьих, лично для меня это криптография Неуловимого Джо. Я лучше возьму sha2, 3 и пасс от 50 символов с применением динамической соли по собственному алгоритму, если в этом есть необходимость (например, открытые коммерческие проекты).

 

[Desoxyn]

L.Luciano да правда, ты чего? Парень верно мыслит, не важно какой алго (ну понятно что не бэйс64 xD), если ты укажешь пасс $%&*&*(PUdey46R%FIK^%EY6fvukKYRY%$UTG я посмотрю на мегохэшера у которого rainbow tables стопицот мильёнов гиг именно таких символьнобуквенноциферных блин. И мощности соответствующие. Тут даже соль нахер не нужна, а если еще динамика - да обкакаетесь.

 

[Dark Koder]

L.Luciano если ты укажешь пасс $%&*&*(PUdey46R%FIK^%EY6fvukKYRY%$UTG

замечу один нюанс)

если будут присутствовать хоть 2 одинаковых символа - скорость подбора в разы растёт) не раз этот факт помог быстрее расшифровать забытые рар-ки)

 

[codedivision]

если будут присутствовать хоть 2 одинаковых символа - скорость подбора в разы растёт) не раз этот факт помог быстрее расшифровать забытые рар-ки)

Как это? С помощью радужных таблиц?

 

[Dark Koder]

нет, даже по обычной маске можно сделать. это по-моему, даже в мане по хэшкату описано.
маска для хэшката

 

[codedivision]

нет, даже по обычной маске можно сделать. это по-моему, даже в мане по хэшкату описано.

И как ты узнаешь про одинаковые символы?

 

[Dark Koder]

по-разному.

можно нагенерить, можно сравнить отпечаток открытого текста с зашифрованным...

конечно, если брутим что-то чужое и неизвестное, то ясеен пень что чистый брутфорс.

 

[codedivision]

можно сравнить отпечаток открытого текста с зашифрованным

Как?
Радужные таблицы не тестил?

 

[Dark Koder]

радужку качал и генерил (ооочень долго генерилась).
в моем случае - примерно так... открытых текстов

 

[Desoxyn]

А как же коллизии парни? Да и не в ту степь тему понесло. Лучше и правильнее будет создать отдельную. Генерить толковые радужки? это чрезвычайно геморройно, как по мне.

 

[codedivision]

А как же коллизии парни?

Коллизии еще актуальны, когда юзается sha512 + динамическая уникальная соль в 50 символов под каждую строку?

 

[Quasar3с48]

codedivision, Сделай просто несколько проходов sha(sha(sha(...(pass))))

 

[codedivision]

codedivision, Сделай просто несколько проходов sha(sha(sha(...(pass))))

Зачем? Чем лучше одного хеша?

 

[Quasar3с48]

codedivision Как я понимаю, при использование соли, хеш берется от нее и от пароля, потом результат объединяется и от него берется общий хеш, если соль будет расскрыта, то перебор не составит проблем. Каждый проход хегирования усиливает стойкость против перебора. Естественно если это используется в местах где не критична скорость, например на входе в панель.

 

[codedivision]

codedivision Как я понимаю, при использование соли, хеш берется от нее и от пароля, потом результат объединяется и от него берется общий хеш, если соль будет расскрыта, то перебор не составит проблем. Каждый проход хегирования усиливает стойкость против перебора. Естественно если это используется в местах где не критична скорость, например на входе в панель.

Соль можно использовать только для проектов с регистрацией (внесение инфы в базу) и логином (взятие инфы из базы). При этом идет чек инфы.
И было это особенно актуально с мд5 и ша1. Ша2 и ша3 уже не нуждаются в этом. Как написал персонаж выше, можно юзать алго, которые рекомендует пхп. Это на усмотрение разработчика.
На мой взгляд, использование нескольких хешей - лишнее и бесполезное занятие.

Для приватных проектов (в данном случае, панелей) можно юзать одноразовые пароли или ша2, ша3 хеши, без логинов, а с привязкой к айди.