ugrás a tartalomhoz

Elvesztett jelszó elméletben

Anonymous · 2006. Júl. 8. (Szo), 10.30
Sziasztok!

Töröm a fejem hogy elvesztett jelszó esetén milyen módon lenne biztonságos az új jelszót eljuttatni a felhasználóhoz. Eddig a jelszavakat nem kódoltam, így nagyon egyszerű volt a felhasználóhoz tartozó jelszót elküldeni. Most viszont md5el kódolom. Hogy célszerű ezt megoldani? Köszönöm a válaszaitokat!!
‹ Multipart e-mail küldése PHP mail() fügvénnyel Checkbox bejelöltségének megtartása PHP-vel ›
 
1

Az md5 egyirányú

Granc Róbert · 2006. Júl. 8. (Szo), 10.56
Mivel az md5 egyirányú (visszafejthetetlen, legalábbis véges számítási kapacitással), ezért nem fogod tudni elküldeni neki a jelszavát. Ilyenkor küldj neki egy véletlenszerűen generált jelszót, amit aztán az első belépéskor meg tud változtatni...
2

Meg KELLene

janoszen · 2006. Júl. 8. (Szo), 11.40
Üdv!

Nem csak meg lehet, hanem jobb is, ha meg kell, mert ha valaki rájön a jelszógenerálási algoritmusodra (ne adj' Isten valamilyen adat MD5-je) akkor könnyen beléphet a feledékeny userek nevén, akik jelszó menedzsert használnak. Meg más szempontból is kívánatos a jelszavak módosítása. (pl. lehet, hogy valaki figyeli az e-mail-jét, nem ez lenne az első eset.)

Üdv

J
3

problémás

Anonymous · 2006. Júl. 8. (Szo), 11.54
Ezzel az a baj hogy ha valaki tudja milyen e-maillel regisztrált akkor könyen kitolhat vele. Igaz a felhasználó be tud lépni késöbb mivel az új jelszót megkapta, de azért senkise örülne neki ha állandóan vissza kellene a jelszavát állítani.

Most úgy oldottam meg hogy a user megadja az emailcímét, ha ez megtalálható az adatbázisban akkor egy sor értékét a dbben átírja egy random generált számra. Ezt a számot az user megkapja emailben, majd megadja az oldal egyik felületén, ha létező ez a kód akkor továbbléphet arra a felületre ahol megadhatja a kódhoz tartozó felhasználó jelszavát.

Lehet kicsit bonyolultan írtam le, remélem tudjátok mire gondolok. :) Ha van valami jobb ötletetek írjatok. Köszönöm a hozzászólásokat!
4

hitelesítés

Anonymous · 2006. Júl. 8. (Szo), 12.30
1,elfejeltett jelszó esetén generálsz egy kódot, de nem írod felül a régi jelszót

2,kiküldesz egy urlt, ami kicseréli az új jelszót a régire

3,Az url tartalmazzon valami hosszú azonosítót, lehetőleg ne egy szám legyen, mert így elég könnyen meg lehetne változtatni a többiek jelszavát is. (valami hasonlót, mint a sessionId)
5

Idő

Anonymous · 2006. Júl. 8. (Szo), 12.39
Ha nem létfontosságú szolgáltatásról van szó, akkor jó alternatívának tűnik az is, hogy havonta csak egyszer lehet az elfelejtett jelszót visszaigényelni.
7

Igen, csak már feltörték

vbence · 2006. Júl. 9. (V), 14.03
Mind az MD5, mind az SHA1 fel van törve.
http://en.wikipedia.org/wiki/MD5#History_and_cryptanalysis

Ettől függetlenül mindenki ezt használja, csak mondom, hogy a
visszafejthetetlen, legalábbis véges számítási kapacitással
nem annyira helytálló...

Ez mindig addig igaz, amég egy matematikus nem talál egy kiskaput.
10

Figyelmesebben

Rici · 2006. Júl. 27. (Cs), 15.05
Egy kicsit pontosabban kéne fogalmazni, mert az itt említett "törések" közül egyik sem egy meglévő hash-hez talál ősképet elfogadható időn belül. Másról van szó, két olyan ősképet találnak, amiknek a hash-ük megegyezik. Ez azért nem ugyanaz.
6

E-mail ellenőrzés

vbence · 2006. Júl. 9. (V), 13.50
Én úgy szoktam, hogy van egy aktiválási kód, ami mondjuk 3 napig él (a PayPal-en ez 3 óra).

Ha valaki elfeleji a leszavát (havonta max 2szer, 3 óránként max 1szer), kap egy levelet az új aktiválsi kóddal (a jelszava eközben uyganúgy működik), az aktiválási kóddal meg tudja változtatni (amég a kód él).

Ha valaki más vicceli meg, akkor nem gond, mert nem változik meg a jelenlegi jelszava, csak kap egy mailt (amibe benne van, hogy ha nem várta, akkor nyugodtan törölje, semmi nem fog történni).

Azt nyugodtan feltételezhetjük, hogy a mailcíméhez csak ő fér hozzá (ez a gyakorlat).

Plusz biztonság érdekében megfejelheted biztonsági kérdésekkel (anya születési helye, első barátnő neve stb...), és így a kettő együtt elég bizonságot nyújt. (a paypalnek legalábbis ez elég)
8

érdeklődés

Anonymous · 2006. Júl. 27. (Cs), 12.26
Engem az érdekele, hogy az e-mail cimem jelszavát elfelejtettem, igaz hogz van jelszó emlékezetetöm de már arra sem tudom a választ!!!
Ilyenkor mit lehet tenni?
9

Kenguru

Anonymous · 2006. Júl. 27. (Cs), 12.56
Találgatni... :)
md5-höz meg nem kell matematikus. ugyanarra a forrtásra ugyanazt az eredményt adja. tehát egy kis ciklus és ha egyezik a két md5 kód akkor már meg is van az eredeti jelszó....
11

igaz

Fekete Ferenc GDA · 2006. Júl. 27. (Cs), 16.01
ez igaz, csak kicsit sok időbe telik megtalálni azt a karaktersorozatot (vagy ha úgy tetszik, szót). brute force
12

találd ki

Kenguru · 2006. Júl. 28. (P), 16.01
Nem több mint 3 perc 8-10 karakter esetén :)
A jelszó meg nem szokott több lenni.

Aki nem hiszi próbálja ki!
13

Aki nem hiszi, próbálja ki?

Balogh Tibor · 2006. Júl. 28. (P), 16.55
Ja, persze, ahogy azt Móricka gondolja! A jelszó általában az angol abc betűiből, számokból plusz néhány egyéb karakterből (például szóköz, stb) állhat. A megengedett karakterek: betűk(2*26)+számok(10)+szóköz(1) = 63. Ezt úgy is érthetjük, hogy egy 63-as alapú számot keresünk.

63^8 - 63^10 = 248.155.780.267.521 - 984.930.291.881.790.849

Szerinted mennyi idő alatt tudsz egy szerver felé több mint 2 ezer milliárd kérést elküldeni, visszakapni, feldolgozni? Sok sikert a fejtegetéshez! :)
14

morika még nem csináltál soha...

Kenguru · 2006. Júl. 30. (V), 00.07
Nem kell szerver. A generált kódot ismerem. lemásolom és egy kis progival végig futtatom. Ha meg van az eredmény újra jöhet a net.
Ezért gyors...
16

kódot ismered?

Hodicska Gergely · 2006. Júl. 30. (V), 09.44
Honnan?


Felhő
17

Értsd: Móricka === Kenguru

Balogh Tibor · 2006. Júl. 31. (H), 15.03
Nem kell szerver.
???
az e-mail cimem jelszavát elfelejtettem...

Néha rám is jellemző, hogy elhamarkodottan mondok valamit, de azoknak legalább van alapja: a megelőző tanulmányaim. És azért az iszonyatosan sok hülyeségem között minden bizonnyal a többiek találtak értékes dolgot is... :)

De ez egy marhaság, amit írsz. Itt a szerver:
[levelező szerver] <=> [az én gépem] <=> [én]

Egyébként összességében nincs értelme, én nem is értem - biztos az én hibám -amit az előbb írtál. Mármint magyarul van, meg a szavakat képes vagyok felfogni, de nem értem a tartalmát.

A kérdezőnek: Írj levelet a szerver üzemeltetőjének. Ha segítőkészek, megváltoztatják a jelszavad, ha nem - így jártam pl. a freewebbel én is - akkor keresztet vethetsz a leveleidre.
15

Biztos?

Rici · 2006. Júl. 30. (V), 00.43
Esetleg tudnál valami meggyőzőbb érvet is mondani, azonkívül, hogy "próbáljuk ki"? Engem az is meggyőz, ha mondasz egy működő programot, amivel kipróbálva ennyi idő alatt tényleg megtalálja a 8 karakteres jelszót.

Gondolj bele, hogy hány lehetőséget kéne végignézni, és abba is, hogy milyen órajelen megy a géped.