criptazione password

14/06/2012 10:11:31

kidemonas ha scritto: ... Se la password viene restituita così com'è, significa che non è criptata o che da qualche parte ne è stata salvata una copia non criptata. Se durante il reset della password viene chiesto di reinserire una nuova password o viene spedita una nuova password via email, è molto probabile che le password siano criptate

Una premessa prima di tutto: sono ignorante e le mie conoscenze in materia sono vicine allo zero.

Quanto detto da kidemonas non mi sembra vero, nel senso che secondo me un sito può restituire la stessa password anche se questa sia "criptata" al gestore.
E comunque sono Sicuro che anche qual'ora fosse inviata una nuova password ciò non garantisce che siano criptate... di fatti kidemonas scrive "è molto probabile"

So che gli attacchi a forza bruta richiedono una grossa quantità di risorse e mezzi in termini di computer, persone fisiche (che devono essere competenti), banda ed anche in termini di capacità di rendersi anonimi visto che moltissimi siti (altervista incluso) dopo un tot di login falliti bannano l'ip. Gli attacchi a forza bruta basati su un dizionario (quelli che provano le password più comuni tipo "pippo" , "forzainter" "mariorossi88") hanno una percentuale di successo bassissima. Quindi penso che le land siano immuni da questi attacchi semplicemente perchè lo sforzo necessario non vale la posta in gioco.
Poi, premesso che sono capace di farlo, forzare un sistema informatico e recuperare le password degli utenti (criptate o meno che siano) mi espone a rischi legali parecchio alti; mi spiego: non ho violato solo una land con una trentina di utenti, ho violato i computer dell'host che la ospitano che di solito sono aziende con parecchi soldi da spendere in faccende legali. Ergo: anche in questo caso non ne vale la pena rischiare.
Correggetemi se ho detto qualche cosa che non torna.

Il mio pensiero è quindi che le land non sono il bersaglio più gettonato dagli hacker e di fatti a quello che ne so io, episodi gravi di sicurezza ce ne sono stati pochi e non sono nemmeno stati denunciati alle autorità. Anche qui correggetemi se sapete il contrario.

Ma la questione che avevo posto non era espressamente sulla sicurezza.
Volevo sapere se i responsabili del progetto SEL andavano a fiducia o avevano metodi per comprovare sulla faccenda delle password criptate.
E poi ci sarebbe un altra questione: dichiarare di avere le password criptate e poi averle in chiaro è davvero illegale? Io non penso che la legislazione italiana si sia espressa al riguardo... ma sono ignorante anche in legge ^^

14/06/2012 12:36:41

L'unico modo per avere la matematica certezza che le password siano criptate nel database sarebbe vedere lo stesso direttamente tramite il phpMyAdmin perchè vedi effettivamente che cosa è salvato sul database.

ci pososno essere degli accorgimenti per cui il gestore volendo può rendere più difficile che si dubiti delle pass criptate.

come?

per esempio nel modulo di cambio pass che solo il giocatore può vedere, far stampare l'hash della pass salvata in maniera che oslo il giocatore di quel pg che ovviamente conosce la pass, possa vedere l'has e se proprio vuole può confrontarlo con uno dei tanti siti che inserita una stringa ne restituiscono l'hash.

Certo un giocatore diffidente al massimo potrebbe anche dire che la password è salvata in chiaro e solo il suo output è stato hashato, ma credo che qui si arrivi a livelli di paranoia abnorme.

14/06/2012 17:01:14

paed ha scritto: Quanto detto da kidemonas non mi sembra vero, nel senso che secondo me un sito può restituire la stessa password anche se questa sia "criptata" al gestore.

Non credo che la questione criptazione delle password sia aperta ai "secondo me". Se hai usato una funzione di hashing per "criptare" non esiste modo di ritrovare la password originale studiando solo l'algoritmo di hashing. Si possono solo trovare altre password che riestituiscono lo stesso hash