Обработка паролей

01-26-2013, 10:54 PM

Здравствуйте!
Подскажите пожалуйста, как обрабатываются пароли при вводе на воблочку?
(так сказать "популярно":
1. по какому принципу хранятся и сравниваются зарегистрированные пароли,
2. что происходит с введеным текстом в поле пароля и тд. )

01-27-2013, 12:09 AM

пасс генерится следующим алгоритмом

PHP Code:


			
$newpassword = md5(md5('password').$salt);

переменная $salt состоит из трех* или тридцати случайных символов, включая %, #, ^ и т.д...
* - три символа использовались до 3.8.4 включительно

01-27-2013, 02:03 AM

Я имел ввиду как они хранятся?
Как и что регистрируется в сессии входа?
(например, пароль 11111 - , а введен 2222 !
_как и что сравнивает,что 2222 не подходит под пароль?
_где и как хранится пароль (т.е. может ли он быть теоретически или практически раскрыт непосредственно из базы данных?))
_хранится ли история входов и какие данные сохраняются ?
Ситуация следующая- запамятовал что 2222 не пароль и ввел его! Система естественно отклонила! Однако 2222 валидный пароль от другой учетной записи! Спустя некоторое краткое время есть основания полагать,что в учетку входили! (трояны,вирусы,кейлогеры и т.п. исключаются)

01-27-2013, 02:17 AM

пароли хранятся в таблице user в БД, в виде хэша (алгоритм создания хэша я привел выше)
сравнивается пасс по этому же алгоритму
т.е. введенное узером в поле формы авторизации значение, обрабатывается функцией и сравнивается с хэшем из БД

01-27-2013, 02:17 AM

Quote:

Originally Posted by niklay

Я имел ввиду как они хранятся?

В базе хранится соль (salt) и хэш сгенерированный по вышеуказанному алгоритму.

Quote:

Originally Posted by kerk

$newpassword = md5(md5('password').$salt);

Quote:

Originally Posted by niklay

_как и что сравнивает,что 2222 не подходит под пароль?

PHP Code:


			
if (

            $vbulletin->userinfo['password'] != iif($password AND !$md5password, md5(md5($password) . $vbulletin->userinfo['salt']), '') AND

            $vbulletin->userinfo['password'] != iif($md5password, md5($md5password . $vbulletin->userinfo['salt']), '') AND

            $vbulletin->userinfo['password'] != iif($md5password_utf, md5($md5password_utf . $vbulletin->userinfo['salt']), '')

        )

Quote:

Originally Posted by niklay

_где и как хранится пароль (т.е. может ли он быть теоретически или практически раскрыт непосредственно из базы данных?))

Непосредственно - не может. Только подбором/перебором значений.

Quote:

Originally Posted by niklay

_хранится ли история входов и какие данные сохраняются ?

По умолчанию хранятся только неудачные попытки входа. (таблица strikes)

01-27-2013, 02:49 AM

Quote:

Originally Posted by OldEr

Цитата:
Сообщение от niklay
_хранится ли история входов и какие данные сохраняются ?
По умолчанию хранятся только неудачные попытки входа. (таблица strikes)

т.е. что значит "по умолчанию"? (есть варианты?)
что значит неудачные попытки ввода? (в смысле логи вида - " тогда-то и тогда-то была неудачная попытка входа! все!"
___ или - " тогда-то и тогда то, там -то и там то вводилось то-то и то-то" ?!)

01-27-2013, 04:34 AM

niklay, что мешает открыть БД и посмотреть?

01-27-2013, 02:30 PM

Quote:

Originally Posted by niklay

т.е. что значит "по умолчанию"? (есть варианты?)

Это значит, что можно расширить возможности продуктами.

Quote:

Originally Posted by niklay

что значит неудачные попытки ввода? (в смысле логи вида - " тогда-то и тогда-то была неудачная попытка входа! все!"

Неверная комбинация логин/пароль. Дата, IP, имя пользователя. (Смотрите таблицу strikes)

Quote:

Originally Posted by niklay

___ или - " тогда-то и тогда то, там -то и там то вводилось то-то и то-то" ?!)

Вы желаете узнать пароль пользователя? = )

01-28-2013, 12:55 PM

Quote:

Originally Posted by OldEr

Неверная комбинация логин/пароль

т.е. содержание неверной комбинации логин/пароль?
или констатация факта - о "неверной комбинации"?!

niklay добавил 28.01.2013 в 10:55

Quote:

Originally Posted by OldEr

Вы желаете узнать пароль пользователя? = )

Друзья, если человек задает такого уровня вопросы - абсолютно очевидно,что он не обладает возможностями(познаниями) осуществлять подобные действия)))
пс. интересовала информация уровня "достоверный ликбез" :
1.защищенность основных паролей как таковая.
2.защищенность введенных комбинаций в поле пароля (которые могут являться паролями от иных учеток и ресурсов) и потенциальными данными для хищения.

01-28-2013, 03:12 PM

Quote:

Originally Posted by niklay

т.е. содержание неверной комбинации логин/пароль?
или констатация факта - о "неверной комбинации"?!

Запись о попытке входа. Введённый пароль не сохранятся, разумеется.

Quote:

Originally Posted by niklay

Друзья, если человек задает такого уровня вопросы - абсолютно очевидно,что он не обладает возможностями(познаниями) осуществлять подобные действия)))

Совершенно верно, и желает получить такие познания. = )

Quote:

Originally Posted by niklay

1.защищенность основных паролей как таковая.
2.защищенность введенных комбинаций в поле пароля (которые могут являться паролями от иных учеток и ресурсов) и потенциальными данными для хищения.

Помимо человеческого фактора, других уязвимых мест в системе регистрации/авторизации нет.