Ameaças com senha do VOL

13. Re: Ameaças com senha do VOL

Samuel Leonardo
SamL

(usa XUbuntu)

Enviado em 16/03/2021 - 13:22h


saitam escreveu:

Apenas para lembrar que os passwords não se diz criptografia, pois é aplicado hash do password.

Existem as funções que aplicam hash do password: md5, sha256, bcrypt, sendo os dois primeiros não são recomendados, porque gera o mesmo hash para o mesmo password, enquanto no bcrypt de complexidade 10 gera um hash único mesmo sendo o mesmo password.

Faz um teste, aplique 100x o password com string qualquer para md5, sha256 e bcrypt. Irá notar que nos casos de md5 e sha256 irá gerar o mesmo hash para a mesma string, enquanto no bcrypt é hash único na mesma string do password.

Eu citei o md5 como exemplo pra uma entrada num MLP para md5. Mesmo que seja repetido pra alguns passwords, não faria diferença porque seria um MLP por usurário, ou seja, mesmo que venha a usar md5 e gerar dois ou mais hashes iguais, ainda assim seriam pra users diferentes, ou, um conjunto de pesos sinápticos pra cada user. Então, cada MLP responderia a aquele hash em específico do user tal. Nada de hash é salvo pra logar ou salvar no banco o usuário. E além do mais, tentar 100x seguidas logar no VOL tendo o recaptcha ai, acho muito improvável tal método funcionar.


____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"


  


14. Re: Ameaças com senha do VOL

leandro peçanha scardua
leandropscardua

(usa Ubuntu)

Enviado em 16/03/2021 - 15:46h


SamL escreveu:


saitam escreveu:

Apenas para lembrar que os passwords não se diz criptografia, pois é aplicado hash do password.

Existem as funções que aplicam hash do password: md5, sha256, bcrypt, sendo os dois primeiros não são recomendados, porque gera o mesmo hash para o mesmo password, enquanto no bcrypt de complexidade 10 gera um hash único mesmo sendo o mesmo password.

Faz um teste, aplique 100x o password com string qualquer para md5, sha256 e bcrypt. Irá notar que nos casos de md5 e sha256 irá gerar o mesmo hash para a mesma string, enquanto no bcrypt é hash único na mesma string do password.

Eu citei o md5 como exemplo pra uma entrada num MLP para md5. Mesmo que seja repetido pra alguns passwords, não faria diferença porque seria um MLP por usurário, ou seja, mesmo que venha a usar md5 e gerar dois ou mais hashes iguais, ainda assim seriam pra users diferentes, ou, um conjunto de pesos sinápticos pra cada user. Então, cada MLP responderia a aquele hash em específico do user tal. Nada de hash é salvo pra logar ou salvar no banco o usuário. E além do mais, tentar 100x seguidas logar no VOL tendo o recaptcha ai, acho muito improvável tal método funcionar.


____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

O método que eu tinha pesquisado era baseado em clusterização, era basicamente estatística. O resultado não era perfeito mas era bom. Com rna deve ficar ainda melhor. Tem bastante coisa q pode ser feita p proteger as senhas. Uma possibilidade é salgar(salt). Assim a mesma senha gera dois hashs diferentes. Ou seja cada hash uma senha. Vai dificultar bastante os ataques de dicionário. Mas com tempo e recurso qq um consegue o q quer. Parabenizando o fábio pela filha eu sei como é ter uma criança pequena em casa sem creche durante a pandemia. É uma loucura!!!



15. Re: Ameaças com senha do VOL

Mauricio Ferrari
maurixnovatrento

(usa Slackware)

Enviado em 21/03/2021 - 09:27h


fabio escreveu:

Grande Samuel,

realmente fiquei lhe devendo uma resposta. Deixei teu email como "não-lido" na minha inbox, mas ele se perdeu no meio de outros. Sei que não devo satisfações da minha vida, mas essa pandemia atrasou todo o meu cronograma, que era o de reformar o VOL na virada do ano.

Com o lance de aulas escolares se tornarem remotas, minha filha (8 anos) veio morar comigo e além de todas as minhas atividades, agora tenho que acompanhar aulas online, fazer dever de casa, cozinhar, limpar casa, controlar horário de banho, escovar os dentes, brincar e tudo o que tem direito. Não tenho ajuda.

E como não escondo de ninguém, o VOL não gera receita o suficiente para bancar minhas contas. Pós-pandemia ele passou a render o salário de um programador júnior, fato que obviamente me impossibilita de encará-lo como atividade profissional principal.

A ideia é muito boa sim, mas como lhe disse outrora, qualquer reforma significativa agora resultará em trabalho dobrado posteriormente, pois vamos fazer um refactory completo no código do VOL. E nesse refactory o código será aberto e todos estarão convidados a colaborar no repositório. Quem sabe você mesmo não implementa isso, seria top!


A ideia é legal. Pena que eu também não tenho conhecimento suficiente para trabalhar em sites como esses, principalmente se a linguagem a ser utilizada não fizer parte da minha base de conhecimentos.

___________________________________________________________
Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts