SVETELEKTRO

Ale niekde to heslo v nesifrovanej podobe ulozene byt musi nie? To ze je to zahasovane v DB je sice fajn, ale z coho sa obnovuje to heslo? Z hasu asi nie, alebo sa mylim?

Dalsi madar ?

Password Hashing
All passwords in phpBB are entirely hashed before stored in the database, so you can be sure they're secure. phpBB uses a salted hash based on phpass.

A staci na to phpbb.com a about...ale sak naco to hladaaat, ved debil ako ja sa vzdy najde...

mimik007 napísal:pri obnove hesla sa ti pošle heslo nešifrované

Skadial, ked vsetko je hashnute, to chcem vediet.

Zaujimalo by ma odkial ma mimik tuto info. Pretoze som akurat skusal obnovu hesla a po overeni kodom to VYGENERUJE NOVE HESLO
Tu, na tejto stranke.
Ako je to na obyc phpbb neviem lebo mne asi zase nefunguje mail funckcia...

(Obyc phpbb myslim ciste forum, bez inych sStemov ako tu napr phpnuke atd)

Samozrejme ze ti to heslo posle v plaintexte, povedz mi, ako inak ti ho ma poslat??? Co, zadas mobil a dojde ti sms? Dvojfaktor? Jezis ludia...

To vôbec nemá zmysel riešiť.

Človek, ktorý sa tu na plnú papuľu vyjadruje k bezpecnosti pripúšťa, že by mal rovnaké heslo sem a aj do internetbankingu? A ani ho nenapadne, že prvá vec po obdržaní vygenerovaného hesla má byť jeho zmenenie?

milanbb napísal: prvá vec po obdržaní vygenerovaného hesla má byť jeho zmenenie?

nesuhlasim, ja si chodim raz za pol roka nechat vygenerovat nove heslo do IB do banky. Dostanem ho na papieri a ma asi 20 znakov. Co zistis pri utoku jednoduchsie, heslo typu meno psa 123456789 prip. meno decka + datum narodenia alebo taketo heslo plne random znakov ?

Si si isty?
http://xkcd.com/936/

ehm silné heslo nieje záležitosť ťažká a vôbec nemusí spájať tvoje súkromie napr.

8520TESc0L1DL

koho toto napadne že použiješ za heslo? Dá sa ľahko zapamätať ale ťažko zistiť. Jednoduchí ľudia si dajú ľahké heslá spojené s ich rodinou, súkromím.

ok, zmenil som si heslo na

result = f_open(&fileObj, (TCHAR*)path, FA_OPEN_EXISTING | A_READ);


dufam ze to bude stacit.

ak si to pamätáš a nemáš to niekde na papieriku tak OK

Na gmail sa mi tyzden dozadu pokusal pripojit dajaky rus z Novosibirsk. Kurna. esteze mam gmail ktory toto hned zablokuje.

A idem spať! bru noc

Pokial pouzivas FAT_FS tak to vies naspamat vratane implementacie

right13 napísal:heslo typu meno psa

sorry, ale musim: Všetci mi hovoria, že meno kocúra sa ako heslo pre roota nehodí. Ale keď ja som si tak zvykol na svojho qzb!7kw_2et!

ja som si heslo zmenil asi pred 6-timi rokmi. aj keby niekto zistil moje heslo, tak potrebuje na IB: platobnu kartu, citacku a pin kod. + samozrejme prihlasovacie meno.

right13 napísal:nesuhlasim, ja si chodim raz za pol roka nechat vygenerovat nove heslo do IB do banky. Dostanem ho na papieri a ma asi 20 znakov. Co zistis pri utoku jednoduchsie, heslo typu meno psa 123456789 prip. meno decka + datum narodenia alebo taketo heslo plne random znakov ?

Ide o ochranu pred odchytením hesla zaslaného e=mailom v plain texte, citujem: "To znamená, že je vysoká pravdepodobnosť, že moje nové heslo bolo odchytené a zapísané do databázy nejakej tretej strany na internete."

Existuje nejaký zákon, že si musím zmeniť heslo na nejaké ľahko uhádnuteľné? Zapamätateľné heslo nemusí vždy znamenať ľahko uhádnuteľné.

A na druhej strane nezapamätateľné heslá vytlačené na papieriku obvykle končia nalepené na monitore.

A treba vedieť rozlíšiť, kde má ochrana zmysel. Je zbytočné si komplikovať život tam, kde o nič nejde.

Mne osobne je to jedno,ci je zabezpecenie plnohodnotne,toto je forum nie statna organizacia ci tajna spolocnost.
Ak Admini usudia za vhodne zabespecit lepsiu security pre SvetElektro nech spravia zbierku na to co potrebuju a ja tiez rad prispejem,kedze toto forum zije z reklamy a dobrovolnych prispevkov no hadat sa tu s nikym nema zmysel.
Cas straveny hadkami zabera miesto inym hodnotnejsim prispevkom.
Som rad ze sa tu o to zabespecenie volakto zaujima no doticny uz sa asi aj odregistroval a nemieni sa s nami bavit a poradit ked uz nepridal ziadny prispevok,vlastne ved sa aspon pekne rozlucil.
Ak uz je rec o bespecnosti tak v dnesnej dobe sa Vam pani nabura do pc ktokolvek trosku zdatny cez akukolvek ochranu a nepomoze Vam ani firewall,ani antivirus,ci zabezpeceny heslovany router, ci ine zabespecenie-jednym slovom nic.
Myslim ze vacsina ludi ani nevie co je firewall a dokonca tu som stretol zopar jedincov co ani nevedeli co je antivirus a hesla maju dodnes ulozene rovno v prehliadaci ktory bol v defaultnom nastaveni odkedy ho prvykrat spustili a tym slovo zabespecenie nic nehovori.
Ak chcete byt v bezpeci,jedina ochrana je nepripajat sa na net.
Inak,dnes sa aj tak vsetko uklada na cloud takze aj encryptovane data ludi co nechcu byt sledovany sa raz budu decryptovat ak to bude potrebne.
Cim viac sa branite-tym viac Vas budu sledovat.
Taka je doba a nic s tym nespravime,jedneho by z toho
Asi najvacsia diera v systeme je system sam
Pekny spanok a este krajsi utorkovy den Vam vsetkym zela Roman

right13 napísal:result = f_open(&fileObj, (TCHAR*)path, FA_OPEN_EXISTING | A_READ);

heslo super len by som sa bal toho neinicilizovaneho pointra

chalan sa boji toho co utieklo z ruskeho fora 5mil hesiel asi
vtipna tema

Je zvláštne že od 22. septembra čo bola táto téma založená sa k nej nevyjadrili tí najpovolanejší ako " Autor stránky je Ondrej Závodský(zawin), o graficky design sa stará Ľuboš Fabo(BUFU) " nakoľko je to v sekcií "Kniha prianí a stažností" , ktoré by admini mali prioritne čítať. Celkom som sa tešil na danú skutočnosť.
Nuž možno sa raz dočkáme ...

pocitujlasku napísal:ja som si heslo zmenil asi pred 6-timi rokmi. aj keby niekto zistil moje heslo, tak potrebuje na IB: platobnu kartu, citacku a pin kod. + samozrejme prihlasovacie meno.

Ja mam tiež to iste heslo od kedy mam IB založeny bude tomu cca 4 roky. heslo davaju na papieriku takže nikde na internete sa moje heslo nemohlo (nemalo by) vyskytnuť. a prihlasoval som sa vždy vylučne z mojho počitača alebo mobilu.

DJ edo - a čo si myslíš že ti random vygeneruje heslo, že sa aj pod takým tvarom uloží do DB ?
Do databázy sa heslo ešte zašifruje napr. SHA1 alebo md5. Čiže napr. tebe vygeneruje heslo: d53F5gf7oP .. toto heslo sa zašifruje do databázy pomocou SHA1 alebo md5 (najbežnejšie). Čiže čo tu riešíte, vidím že polka z vás ani nevie ako to funguje. Programoval si niekedy niečo ? Na niektorých webov ti aj prídu tvoje údaje nick alebo email a heslo na tvoj email. Ako vieš že si ten parameter pri registrácii neodchytol a nevytvoril nejaký nový stlpec kde by sa ti ukladalo heslo ako nezašifrované ? Toto čo vy tu riešite je v podstate
Ak je heslo zašifrované v DB tak ty ho neodšifruješ, napr. zašifrovať môžeš cez md5 ale príkaz na odšifrovanie neexistuje a ked je heslo kombináciou viacerých znakov, čisiel, písmen. Tak ani superpočítať by to nerozlúštil so všetkými kombinaciámi Ak sa ty prihlasuješ a píšeš tvoje heslo zjednodušene povedané, tvoje heslo sa zakoduje ako je šifrované v DB a ak je zhodné tak ťa prihlási buď uloží niečo do cookies alebo SESSION. Ak to niekto chce zneužívať nájde si spôsob neboj sa

psichac: - existuje forma, keď požiadáš obnovu hesla, tak ti príde na email link ktorý bude "zašifrovaný" napr. s 1 hodinovou expiráciou. Ak klikneš naň tak ťa presmeruje na stránku a tam si zadáš nové heslo. Ktoré buď ti to pošle na email aké máš a zašifruje do DB alebo ti nepošle nič a len to zašifruje. Tu som zatiaľ nepožiadal o obnovu hesla, tak neviem ako to tu je. Hoci ti aj vygeneruje heslo ktoré ti pošle na email (čisté nezašifrované), ktoré ešte zašifruje do DB.

Táto téma nemá zmysel. Ak chce niekto ukladať hesla v nešifrovanej podobe nájde si spôsob, buď pri registrácii alebo update hesla alebo pri prihlasovaní.

Mas pravdu, ale iba z polovoce.
Z MD5 ani SHA nieje mozne spatne rekonstrukovat povodne heslo. Je ale mozne s dostatocne velkou hrubou silou najst retazec ktoreho hash je rovnaky. Pokial viem pri MD5 aj SHA1 sa to uz podarilo.

áno je to pravda, ale len do určiteho miestneho čísla. Ak si niekto dáva 0000 alebo 1111 alebo najbežnejšie používané hesla tak to prelomí ale použij 8 miestné heslo, malé písmena, velké písmeno aj nejaké číslo uvidíme či to odšifruje alebo za ako dlho. Čítal som článok niekde ako dlho by trvalo prelomenie hesla, len neviem ho už nájsť. Bol tam výpočet kombinácii

Síce nieje to ten čo som niekedy čítal ale i tu je to dobre popísané: http://realhacking.wz.cz/articles/article9.php
keď už spomínaš hrubú silu tak tam je pekne napísane o bruteforce attack