Dekripcija gesel iz mysql baze
12 naročnikov
12 naročnikov
Eno vprašanje glede gesel, ki se shranjujejo v mysql bazo...
Uporabnike ene izmed svojih strani bi rad preko emaila obvestil o njihovih uporabniških imenih in geslih, ker je stran dolgo mirovala in jih 99% sigurno sploh ne ve več teh podatkov.
Zdaj pa me zanima, kako naj iz mysql tabel ven dobim njihova gesla, s katerimi se lahko potem na stran prijavijo. Gesla so kot vedno v obliki df268da7f7835be588d21ba2c356
Je to sploh možno? Če ni, prosim za kako idejo, kako bi lahko to naredil...
21 odgovorov
Tudi malce sporno bi znalo biti. Mnogi uporabljajo enaka gesla pri različnih ponudnikih.
To da lahko ti izves njihovo geslo, bi jih utegnilo malo razkaciti.
Hja, ampak ko se nekam registriraš, tudi v bistvu dobiš potrditveni mail, da si se uspešno registriral in je pogosto tudi geslo noter zapisano...
No, saj nima veze. Kot sem že omenil, bom potem raje kar nova zgenerirana gesla naredil za vse, pa bo. Zraven bo pa link do login strani, pa še link do spremembe gesla.
Ja, to geslo je noter napisano preden se zadeva shrani noter v bazo skozi md5 ali salt+md5
Edina varianta je da uporabis eno od gigantskih md5 baz, ki so na voljo na netu, pa se potem ne bos dobil vseh gesel.
Tako da raje poslji nove.
Oziroma poslji vabilo na nova gesla, ce si jih zelijo oz. ce jo jih pozabili...
Jure:
Tudi malce sporno bi znalo biti. Mnogi uporabljajo enaka gesla pri različnih ponudnikih.
To da lahko ti izves njihovo geslo, bi jih utegnilo malo razkaciti.
Točno tako.
Mene je kakšne 3 leta nazaj zjezal Študentski servis, ker je vsake 2 meseca preko e-maila in preko navadne pošte pošiljal moje uporabniško ime in geslo. Prvič in drugič sem pozabil na to, ko sem dobil tretjič sem zamenjal geslo povsod, kjer sem to geslo uporabljal. Ko pa sem navadno pošto dobil v 10to, se mi je dvignil pokrov in sem napisal en zelo "prijazen" email. V roku 2h ur sem dobil opravičilo, in od takrat od njih nisem dobil niti enega obvestila. :)
maatej:
Hja, ampak ko se nekam registriraš, tudi v bistvu dobiš potrditveni mail, da si se uspešno registriral in je pogosto tudi geslo noter zapisano...No, saj nima veze. Kot sem že omenil, bom potem raje kar nova zgenerirana gesla naredil za vse, pa bo. Zraven bo pa link do login strani, pa še link do spremembe gesla.
Tam kjer dobiš geslo tako, za varnost ni poskrbljeno tako kot je lahko oziroma kot bi bilo lahko potrebno. Email je lahko prestreči (večinoma se ne pošilja/prejema preko SSL). Če to počnejo druge strani, še ne pomeni, da je to dobra praksa.
@Jure: kaj potemtakem pa je dobra praksa? :D Sej če nekdo zahteva novo geslo je le to posredovano na isti email :D Ko prideš do ideje da je bolj pametno da uporabnik sam vpiše geslo, pa tudi veš kaj dobiš. :D
Pošiljat geslo po elektronski pošti kar tako, brez da bi ga uporabnik zahteval, je po moje že tako zgrešen način.
Ne posljes gesla. Nikoli.
Ce ga kdo pozabi, ima moznost vpisa email naslova, dobit link + hash in je preusmerjen na stran, kjer si naredi novo geslo.
Da ti posljejo sem-pa-tja geslo, ze ves kako je to geslo v bazi shranjeno...
carli:
@Jure: kaj potemtakem pa je dobra praksa? :D Sej če nekdo zahteva novo geslo je le to posredovano na isti email :D Ko prideš do ideje da je bolj pametno da uporabnik sam vpiše geslo, pa tudi veš kaj dobiš. :DPošiljat geslo po elektronski pošti kar tako, brez da bi ga uporabnik zahteval, je po moje že tako zgrešen način.
Nikoli ne pošiljaš geslo, ampak ima uporabnik možnost restiranja gesla.
Najprej klikne Lost password, se mu pošlje email, ki ga preusmeri na spletno stran, kjer lahko spremeni geslo. Ta zadnja stran se prenaša preko HTTPS.
Edit: perunpro prehitel...
Ja verjetno res najbolje, s tem da moraš spet pazit kak je ta hash, da ni samo nek md5 emaila, ali kaj podobnega.
dekripcija ni možna. so pa seznami za md5 collision (seznami enkrtiptanega stringa in njihovih pripadajočih stringov na voljo po vsem spletu.
postopek ki ga iščeš je hash collision, do neke mere negira moj prvi stavek. če imaš slučajno na ovljo najmočnejši procesor na svetu, boš dekriptal poljubno enkripcijo kake pol leta.