criptazione password

Pagine → 1  2 

paed

SCRIVI

14/06/2012 10:11:31

kidemonas ha scritto: ... Se la password viene restituita così com'è, significa che non è criptata o che da qualche parte ne è stata salvata una copia non criptata. Se durante il reset della password viene chiesto di reinserire una nuova password o viene spedita una nuova password via email, è molto probabile che le password siano criptate


Una premessa prima di tutto: sono ignorante e le mie conoscenze in materia sono vicine allo zero.

Quanto detto da kidemonas non mi sembra vero, nel senso che secondo me un sito può restituire la stessa password anche se questa sia "criptata" al gestore.
E comunque sono Sicuro che anche qual'ora fosse inviata una nuova password ciò non garantisce che siano criptate... di fatti kidemonas scrive "è molto probabile"

So che gli attacchi a forza bruta richiedono una grossa quantità di risorse e mezzi in termini di computer, persone fisiche (che devono essere competenti), banda ed anche in termini di capacità di rendersi anonimi visto che moltissimi siti (altervista incluso) dopo un tot di login falliti bannano l'ip. Gli attacchi a forza bruta basati su un dizionario (quelli che provano le password più comuni tipo "pippo" , "forzainter" "mariorossi88") hanno una percentuale di successo bassissima. Quindi penso che le land siano immuni da questi attacchi semplicemente perchè lo sforzo necessario non vale la posta in gioco.
Poi, premesso che sono capace di farlo, forzare un sistema informatico e recuperare le password degli utenti (criptate o meno che siano) mi espone a rischi legali parecchio alti; mi spiego: non ho violato solo una land con una trentina di utenti, ho violato i computer dell'host che la ospitano che di solito sono aziende con parecchi soldi da spendere in faccende legali. Ergo: anche in questo caso non ne vale la pena rischiare.
Correggetemi se ho detto qualche cosa che non torna.

Il mio pensiero è quindi che le land non sono il bersaglio più gettonato dagli hacker e di fatti a quello che ne so io, episodi gravi di sicurezza ce ne sono stati pochi e non sono nemmeno stati denunciati alle autorità. Anche qui correggetemi se sapete il contrario.

Ma la questione che avevo posto non era espressamente sulla sicurezza.
Volevo sapere se i responsabili del progetto SEL andavano a fiducia o avevano metodi per comprovare sulla faccenda delle password criptate.
E poi ci sarebbe un altra questione: dichiarare di avere le password criptate e poi averle in chiaro è davvero illegale? Io non penso che la legislazione italiana si sia espressa al riguardo... ma sono ignorante anche in legge ^^

World of TanksWorld of Tanks ↗
Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!

quota

dyrr

SCRIVI

14/06/2012 12:36:41

L'unico modo per avere la matematica certezza che le password siano criptate nel database sarebbe vedere lo stesso direttamente tramite il phpMyAdmin perchè vedi effettivamente che cosa è salvato sul database.

ci pososno essere degli accorgimenti per cui il gestore volendo può rendere più difficile che si dubiti delle pass criptate.

come?

per esempio nel modulo di cambio pass che solo il giocatore può vedere, far stampare l'hash della pass salvata in maniera che oslo il giocatore di quel pg che ovviamente conosce la pass, possa vedere l'has e se proprio vuole può confrontarlo con uno dei tanti siti che inserita una stringa ne restituiscono l'hash.

Certo un giocatore diffidente al massimo potrebbe anche dire che la password è salvata in chiaro e solo il suo output è stato hashato, ma credo che qui si arrivi a livelli di paranoia abnorme.

New OrleansNew Orleans ↗
La Città dai Mille Volti: Crime, Feste, Mistero, Voodoo, Natura Incontaminata, Fama, Grattacieli, Luci Splendenti e Ombre Profonde.

quota

leoblacksoul

SCRIVI

14/06/2012 17:01:14

paed ha scritto: Quanto detto da kidemonas non mi sembra vero, nel senso che secondo me un sito può restituire la stessa password anche se questa sia "criptata" al gestore.

Non credo che la questione criptazione delle password sia aperta ai "secondo me". Se hai usato una funzione di hashing per "criptare" non esiste modo di ritrovare la password originale studiando solo l'algoritmo di hashing. Si possono solo trovare altre password che riestituiscono lo stesso hash
---
Non chiedetemi aiuto in privato per questioni di programmazione; chiedete sul forum e eventualmente vi risponderò lì.
http://gdrportal.eu - Hosting per GDR

quota

Discussione seguita da paed

Pagine → 1  2 

Rispondi alla Discussione Segui Discussione Inoltra Discussione Forum Leggi e Legalità Elenco Forum

Articoli, Interviste e altre Risorse!

Kids & Dragons Kids & Dragons
Kids and Dragons: il gioco di ruolo cartaceo per giovani giocatori alla prime armi!
Corso Game Design Corso Game Design
Presentazione del Corso di approfondimento del Game Design: diventa autore di GdR e Libri Game!
Raja Dunia Raja Dunia
Tra verità divine e menzogne eterne, la tua anima è la chiave. Scopri Raja Dunia, e riscrivi il fato del Continente con armi e magia, fede o eresia.
Roma Imperiale Roma Imperiale
Intervista al gestore del Gdr "Roma Imperiale" Antonio Faricelli

Pubblicità

Ultime dal Portale

news Hero Wars: Asherona è qui! 🌋

news Black Sails Chronicles: ON - 3° Serata Gara di Bevute

Sponsorizzati con noi! Sponsorizzati con noi!Sponsorizza il tuo gioco su GDR-online! Trova nuovi giocatori fra i migliaia di appassionati che ogni giorno visitano il portale!

risposta Il gestore di Crystal Tokyo ha risposto alla recensione di stefy90

recensione neropallido ha recensito Undead

news RAID Shadow Legends: Ma quanto è fastidioso Phrygius? 🧌

news Enlisted: Fronte dell'Estremo Oriente

The Coven The CovenNegli scorci di luce delle paludi della Louisiana fioriscono nuove ombre. Estend e la Congrega ti aspettano per vivere emozionanti avventure!

news Feudera: DEVBLOG #2 - Aggiornamenti circa la #0.5

gdrrank I dati del generatore di rank sono stati aggiornati!

news New Orleans: I Regali di Babbo Grinch - La raccolta Ticket!

recensione aver ha recensito Unwritten Destinies GDR

War Thunder War ThunderAviazione, veicoli corazzati e flotte militari della seconda guerra mondiale. Parteciperai a tutte le principali battaglie!

news Ex Gratia GDR: Apriamo i battenti!

news Storie di Agarthi: La Mano Nera si stringe attorno alla Città

news AlterEgo: Il Labirinto (Quest)

news The Line: Reboot 4 Snowlight Village

Crossout CrossoutTuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!

Pubblicità

Articoli

Detective dell’Occulto
Detective dell’Occulto - Who Ya Gonna Call? La lista di tutti i Detective dell’Occulto!
Declino Firefox!
Declino Firefox! - La Volpe e il Golia: Ascesa, Caduta e Futuro Incerto di Firefox
The Coven
The Coven - Negli scorci di luce delle paludi della Louisiana fioriscono nuove ombre. Estend e la Congrega ti aspettano per vivere emozionanti avventure!
The Greater Good
The Greater Good - Intervista ai gestori del play by chat potteriano ambientato negli anni 60 in America!
Scrittori con i Gdr?
Scrittori con i Gdr? - Michela Murgia racconta come è diventata una scrittrice giocando ad un gioco di ruolo online
Hall of Fame
Hall of Fame - Le schede di gioco che hanno avuto il maggior numero di visualizzazioni di pagina uniche!
Alatian
Alatian - Scopri con la nostra recensione il GDR fantasy Alatian
Loot Box
Loot Box - Loot Box nei giochi online: 15 paesi vogliono regolarizzarle: scopriamo i retroscena!