Pull to refresh

Comments 17

UFO just landed and posted this here

Двух факторная аутентификация спасет от китайских хакер-ботов, которые попытаются завладеть вашим аккаунтом при сливе базы.


SS7 7 уязвимость это уже целенаправленная атака. Если вас целенаправленно пытаются взломать, то боюсь у вас очень другие проблемы о которых вам надо думать, чем о уязвимостях GSM сетей .

С СМС — это не двухфакторная аутентификация, а двухшаговая проверка (2-step verification), совсем другое и серьезных гарантий не дает.
Когда как. Даёт ложное чувство безопасности, не самая лучшая вещь. Но вообще я к тому, что эти понятия нельзя путать. Комментарий, который всё для меня лично прояснил: https://habrahabr.ru/company/mailru/blog/269337/#comment_8624955

Двух факторная аутентификация = Двух шаговая аутентификация, но
Двух шаговая аутентификация != Двух факторная аутентификация


Вот отличное обсуждение на эту тему https://security.stackexchange.com/a/41981


Что же касается безопасности, то лучше иметь 2SV(2 Step Verification) чем ничего. Это не 2FA, но как я уже и сказал раньше от китайских ботов спасает на ура.


Лучше хоть какая то защита чем полное отсутствие её.

Двух факторная аутентификация ⊂ Двух шаговая аутентификация

//математичкафикс
По статистике около 2% людей постоянно используют одни и те же логины и пароли на разных сервисах

Какое-то очень оптимистичное предположение
Видимо, ещё около 90% людей используют два, максимум три пароля из-за того, что какому-то сайту их обычный пароль не понравился.
Или же это был опрос, и люди не захотели сознаваться.
А вот допустим, что все пароли хэширутся с кучей соли и прочими штуками. Что в таком случае смогуть «пробрутить» хакеры? Ведь если не известен алгоритм генерации хэша, ты не сможешь никак воспользоваться этой информацией

Методы обнаружения алгоритма хеширования:


  • Длина строки. — Для MD5 это 128 бит, SHA-2 это 224, 256, 384 или 512, sha-3 224, 256, 384, 512
  • Схемы хеширования — их буквально 10 — 15. От MD5 до PBKDF2
  • MD5 — Его все еще используют к сожалению.
  • Атака по словарю и радужные таблицы + брутфорс хеш схем
  • Идентификатор хеш функции храниться с самим хешом. Очень удобно если в будущем нужно перейти на новую хеш функцию.

Смешать, но не взболтать.

Хорошо, но что если я использую скажем что-то в духе MD5(«salt» + password + MD5(password.substring(0, password.length / 2))?
Я в этой области не разбираюсь, но мне кажется что в таком случае будет довольно сложно что-то сделать, даже если удастся пробрутить парочку паролей

Эта схема уязвима еще и атаке удлинением сообщения, не говоря о том что очень легко перебирается так как это MD5.


Все что вы описываете это Безопасность через неясность(Security through obscurity)


Безопасность через неясность (англ. Security through obscurity) — принцип, используемый для обеспечения безопасности в различных сферах деятельности человека. Основная идея заключается в том, чтобы скрыть внутреннее устройство системы или реализацию для обеспечения безопасности.

Это было нормальной практикой в криптографии прошлых веков, и она успешно провалилась(см Энигма, Машина Лоренца и т.д и т.п.).


Сегодня криптография строится на втором принципе Керкгоффса


При́нцип Керкго́ффса — правило разработки криптографических систем, согласно которому в засекреченном виде держится только определённый набор параметров алгоритма, называемый ключом, а сам алгоритм шифрования должен быть открытым. Другими словами, при оценке надёжности шифрования необходимо предполагать, что противник знает об используемой системе шифрования всё, кроме применяемых ключей.

Оригинальное описание


Нужно, чтобы не требовалось сохранение системы в тайне; попадание системы в руки врага не должно причинять неудобств;

Чтобы правильно хешировать пароли нужно:


  • минимум 32 байт случайной соли(КСГПСЧ)
  • хешировать с помощью PBKDF2(10000 раундов), bcrypt, scrypt или Argon2.

Ref:


https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet
https://pages.nist.gov/800-63-3/sp800-63b.html
https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%87%D0%B5%D1%80%D0%B5%D0%B7_%D0%BD%D0%B5%D1%8F%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C
https://ru.wikipedia.org/wiki/%D0%90%D1%82%D0%B0%D0%BA%D0%B0_%D1%83%D0%B4%D0%BB%D0%B8%D0%BD%D0%B5%D0%BD%D0%B8%D0%B5%D0%BC_%D1%81%D0%BE%D0%BE%D0%B1%D1%89%D0%B5%D0%BD%D0%B8%D1%8F
https://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B8%D0%BD%D1%86%D0%B8%D0%BF_%D0%9A%D0%B5%D1%80%D0%BA%D0%B3%D0%BE%D1%84%D1%84%D1%81%D0%B0

А если я скажу что в моей формуле salt и длина подстроки пароля являются параметрами алгоритма (ключем), он станет отвечать принципу Керкгоффса?
Похоже станет, но до тех пока вы не надеетесь на нее как на защиту. Т.е. защита сильна настолько, насколько силен был бы просто пароль аналогичной длины и сложности.
UFO just landed and posted this here
Самый крупный новостной ресурс Латвии. Правда в коментарии лучше не заглядывать…
Sign up to leave a comment.

Articles