#209887 2009-07-03 18:08 GMT   0

O bay zeki veritabanı çalındığında acaba nasıl korumayı düşünüyor müşteri yada üye bilgilerini ?

Bence olay dahada abartılıp şifre önce md5'le sh1 la o sh1 çıktısıda tekrar md5 le şifrelenip kullanının kendi yazdıgı bir algoritma ilede korunması gerekir.

  #209896 2009-07-04 10:45 GMT   0

Alıntı

---

Caliber :
MD5 + SH1 = X sonra X + MD5 = Kullanıcı şifresi. Normalde bir sunucuya bir eklenti kurarsınız ve eğer eklenti biraz ağır bir eklentiyse sunucuyu bayağı zorlar. Şimdi bunun gibi değilde basit eklentilerin olduğunu varsayalım ve sizin dediğiniz şifrelemeyi varsayalım. Sunucu hem bu şifreleme işiylemi meşgul olsun, şifreleri onaylamaklamı meşgul olsun yoksa eklentilerlemi baş etsin Birde üye sayınızın biraz fazla olduğunu düşünün. Güvenlik fazla olsun diye her tarafı sunucu ilemi doldurcaz? Burada vermiş olduğum eklenti zımbırtısı sadece bir aperatif. Başlı başına şifreleme yöntemi bile sunucu zorlamaya yetecektir...

Birinci cümlenize katılıyorum ama ikincisine değil Güvenlik uzmanı arkadaşımız diyoki şifreleri maskelemeyin direk ellerine verin

---

Sunucu yönetimi konusunda ne derece bilginiz oldugunu bilmiyorum ama "Başlı başına şifreleme yöntemi bile sunucu zorlamaya yetecektir..." demeniz yanlış.

Varsayımlar üzerine değilde testler üzerine konusalim.

1. Şifremiz md5 yapıldı
900150983cd24fb0d6963f7d28e17f72
Sayfa 0.197 saniye oluşturuldu.


2. Şifremiz md5 yapıldı / md5'li çıktı da sha1 la şifrelendi
900150983cd24fb0d6963f7d28e17f72
b349e67445488ae1fad84633400057e759a46fb3
Sayfa 0.203 saniye oluşturuldu.

3. Şifremiz md5 yapıldı / md5'li çıktı da sha1 la şifrelendi / sha1 çıktısı tekrar md5 lendi.
900150983cd24fb0d6963f7d28e17f72
b349e67445488ae1fad84633400057e759a46fb3
3a08a4a7c3c119e57be9835f0646438c
Sayfa 0.205 saniye oluşturuldu.

Ve bu 3 lü şifrelemeyi fonksiyon haline getirip tek seferde şifrelettiğimde.

Sayfa 0.191 saniye oluşturuldu.

Zaten çekirdek destekli fonksiyonları kullanmanız heleki md5 sha1 gibi işlemler, sunucunuzu yormanın yanından bile geçmez. Bunu kafadan atın. Gerçek bir sistem zannettiğinizden çok daha karmaşık işlemleri yapmakta.

Aynı şey bir çok farklı şekilde yapılabilir ama tek bir şekilde en performans yada kalitelisi bulunur. Bunu bulur yada bilirseniz yukarıdaki örnekteki gibi başarıya ulaşırsınız.

  #210058 2009-07-18 23:40 GMT   1

Benim demek istediğimi tam olarak anlamadınız. MD5 i oluşturmayı herkes yapar, onu herkes sha1 e döüştürür sonra istediğini yapar. Ama onu kırması ya imkansızdır yada şifreye göre çok uzun zaman alır.

Şimdi benim demek istediğim:
Gerçek şifre ile benim yazdığım şifreyi sunucunun karşılaştırması lazım. Benim şifrem " 123=213_sadg^3~ " olduğunu varsayalım ve bu şifreyi ben aynen yazdım ancak bir tanesini eksik yazdım. Sunucu bu bir taneden doolayı bana izin vermeyecektir. Şimdi bunu olduğu gibi alıyo bizde maskeleme yapıyoruz ve ne sunucu zorlanıyo nede biz bekliyoruz.

Sizin dediğinize gelirsem bunu md5 e çevirirsem; " cbe618135a70670e6a1bae40b9c604c9 " böyle birşey oluyor.
Sonra o md5'i Sha1 e çeviriyorum ve böyle birşey oluyor. " 2f41efaaa341214106f2c54e1f40bd76dedfb776 "
Sonra bunu tekrar md5 ile şifreliyorum ve bu sefer de böyle birşey çıkıyor. " ffe6a6d7ed699662ed17989b6345517c "

Hadi sunucum benim girdiğim şifre ile bu sonucu karşılaştır ve onayladığın zaman girişimi yap. Başta demiştim. Eğer şifre kolaysa kırılır ama en dandik md5 bile 1 günden fazla zaman alır. Bu benim verdiğim şifreyi değil sunucu en usta cracker lar bile kıramaz.

Demek istediğim buydu. Yani md5 ooluşturmak kolay onu bende saliselerimi vererek yapıyorum. Ama ya doğrulama?

Günümüzde bile bir çok hacker admin paneli şifrelerini ele geçiriyor ama kıramıyor neden çünkü md5 olarak ellerine geçiyor. Kırılabiliyorsa neden hâlen kullanılıyorki? Hackerlar bile kıramıyorsa script nasıl kırsın