Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Что удобнее? БАЗА паролей или проверка по генерации? 26.11.01 02:55 Число просмотров: 644
Автор: RHoST Статус: Незарегистрированный пользователь
|
Итак на обсуждение выносится давно замучавший меня вопрос.
Бредисловие: Сущ. программа типа ICQ для собственного пользования внутри локальной сети. Когда я писал ее, то проблема неавторизованного доступа остро не стояла, но со временем стала достаточно актуальной. А имеено с выходом движка программы в Инет.
Проблема в следующем, сам сервер висит удаленно на чужом серваке и глядит своим портом в Инет, кто хочет тот и подключается.НЕобходимо повесить на нее парольную защиту, чтобы подключаться могли только Личности с паролем и логином. Есс-но для создания парольной защиты необходимо добавить в программу несколько ф-ий связанных с РЕГИСТРАЦИЕЙ нового человека, занесением его в базу данных паролей, работа с этой базой и(или) удаления человека из базы. Все это не очень геморойно, НО, с точки зрения защиты, возможность взломать становится даже больше :) Почему? Да потому что добавление удаление и работа с базой, это дополнительный анализ команд, а дополнительный анализ текста это возможность провести или DoS или вообще взлом :)
Плюс еще к тому же эту самую базу паролей могут посмотреть те кому это нужно (это 2).
Тогда я решил сделать вход не по соответствию пароля, а по ПРОВЕРКЕ генерации пароля.
О чем я? Предположим, что у нас есть ник "MOSEL"
Теперь возьмем битовую маску для данного слова и прокрутим это все через мясорубку из нескольких циклических сдвигов
ror eax,5
shl eax,3
теперь разобьем их на группы из 6 бит (недостающие добьем нулями)
и каждую группу проксорим числом которым являлся eax после ror увеличенным на единицу для каждой группы.
Полученные группы опять преобразуем в char(что не влезло то впихиваем добавлением 32) и получим примерно следующее "x#1s+"
Теперь скажите мне! Если этот алгоритм заранее неизвестен ТЕОРЕТИЧЕСКОМУ злоумышленнику, то сколько времени у него займет поиск Алгоритма преобразования НИК-ПАРОЛЬ если вообще-то по паролю ник НЕ ВОССТАНАВЛИВАЕТСЯ (shl дает потери бит слева. да и еще можно маской обнулять биты напрмиер обнулить 0,1,4,7 биты), и если алгоритм содержит скажем шагов 15 разных?
Я просто не большой спец в Криптографии, и поэтому мне интересно, есть ли смысл заморачиваться с базой если такой алгоритм я напишу за пол часа????? А взлом такого алгоритма займет столько времени, что мне потом проще будет поменять несколько шагов местами и взломщик опять останется НИ С ЧЕМ?
Прошу не наезжать по поводу ламерского вопроса, но уж очень долго я спорю со всеми по этому поводу: Я считаю что в данном случае ГЕНЕРАЦИЯ паролей входа является БОЛЕЕ УДОБНЫМ ПО ВРЕМЕНИ ИСПОЛНЕНИЯ и ПО НАДЕЖНОСТИ УДОВЛЕТВОРЯЕТ минимальным требованиям.
Если же вы считаете по-другому, то обьясните ПОЧЕМУ?
Много-ли народу решится потратить несколько дней(недель(месяцев))) на взлом такого алгоритма??? ОСОБЕННО если Хакер и не знает что пароль генерированный. А такое преобразование я думаю на глаз заметить невозможно.(если еще расширять длину пароля то вообще НЕРЕАЛЬНО)
|
- Что удобнее? БАЗА паролей или проверка по генерации? - RHoST 26.11.01 02:55 [644]
|
|
|