criptazione password

Pagine → 1  2 

paed

SCRIVI

14/06/2012 10:11:31

kidemonas ha scritto: ... Se la password viene restituita così com'è, significa che non è criptata o che da qualche parte ne è stata salvata una copia non criptata. Se durante il reset della password viene chiesto di reinserire una nuova password o viene spedita una nuova password via email, è molto probabile che le password siano criptate


Una premessa prima di tutto: sono ignorante e le mie conoscenze in materia sono vicine allo zero.

Quanto detto da kidemonas non mi sembra vero, nel senso che secondo me un sito può restituire la stessa password anche se questa sia "criptata" al gestore.
E comunque sono Sicuro che anche qual'ora fosse inviata una nuova password ciò non garantisce che siano criptate... di fatti kidemonas scrive "è molto probabile"

So che gli attacchi a forza bruta richiedono una grossa quantità di risorse e mezzi in termini di computer, persone fisiche (che devono essere competenti), banda ed anche in termini di capacità di rendersi anonimi visto che moltissimi siti (altervista incluso) dopo un tot di login falliti bannano l'ip. Gli attacchi a forza bruta basati su un dizionario (quelli che provano le password più comuni tipo "pippo" , "forzainter" "mariorossi88") hanno una percentuale di successo bassissima. Quindi penso che le land siano immuni da questi attacchi semplicemente perchè lo sforzo necessario non vale la posta in gioco.
Poi, premesso che sono capace di farlo, forzare un sistema informatico e recuperare le password degli utenti (criptate o meno che siano) mi espone a rischi legali parecchio alti; mi spiego: non ho violato solo una land con una trentina di utenti, ho violato i computer dell'host che la ospitano che di solito sono aziende con parecchi soldi da spendere in faccende legali. Ergo: anche in questo caso non ne vale la pena rischiare.
Correggetemi se ho detto qualche cosa che non torna.

Il mio pensiero è quindi che le land non sono il bersaglio più gettonato dagli hacker e di fatti a quello che ne so io, episodi gravi di sicurezza ce ne sono stati pochi e non sono nemmeno stati denunciati alle autorità. Anche qui correggetemi se sapete il contrario.

Ma la questione che avevo posto non era espressamente sulla sicurezza.
Volevo sapere se i responsabili del progetto SEL andavano a fiducia o avevano metodi per comprovare sulla faccenda delle password criptate.
E poi ci sarebbe un altra questione: dichiarare di avere le password criptate e poi averle in chiaro è davvero illegale? Io non penso che la legislazione italiana si sia espressa al riguardo... ma sono ignorante anche in legge ^^

Lineage IILineage II ↗
Entra in uno sconfinato mondo fantasy dominato da razze in contrasto tra loro. Scatena i tuoi poteri in uno dei Mmo più famosi al mondo!

quota

dyrr

SCRIVI

14/06/2012 12:36:41

L'unico modo per avere la matematica certezza che le password siano criptate nel database sarebbe vedere lo stesso direttamente tramite il phpMyAdmin perchè vedi effettivamente che cosa è salvato sul database.

ci pososno essere degli accorgimenti per cui il gestore volendo può rendere più difficile che si dubiti delle pass criptate.

come?

per esempio nel modulo di cambio pass che solo il giocatore può vedere, far stampare l'hash della pass salvata in maniera che oslo il giocatore di quel pg che ovviamente conosce la pass, possa vedere l'has e se proprio vuole può confrontarlo con uno dei tanti siti che inserita una stringa ne restituiscono l'hash.

Certo un giocatore diffidente al massimo potrebbe anche dire che la password è salvata in chiaro e solo il suo output è stato hashato, ma credo che qui si arrivi a livelli di paranoia abnorme.

Crash Bandicoot ZoneCrash Bandicoot Zone ↗
Caos, libertà e risate: nel GDR ambientato nell’universo di Crash Bandicoot, ogni storia è possibile… e nulla è troppo folle!

quota

leoblacksoul

SCRIVI

14/06/2012 17:01:14

paed ha scritto: Quanto detto da kidemonas non mi sembra vero, nel senso che secondo me un sito può restituire la stessa password anche se questa sia "criptata" al gestore.

Non credo che la questione criptazione delle password sia aperta ai "secondo me". Se hai usato una funzione di hashing per "criptare" non esiste modo di ritrovare la password originale studiando solo l'algoritmo di hashing. Si possono solo trovare altre password che riestituiscono lo stesso hash
---
Non chiedetemi aiuto in privato per questioni di programmazione; chiedete sul forum e eventualmente vi risponderò lì.
http://gdrportal.eu - Hosting per GDR

quota

Discussione seguita da paed

Pagine → 1  2 

Rispondi alla Discussione Segui Discussione Inoltra Discussione Forum Leggi e Legalità Elenco Forum

Articoli, Interviste e altre Risorse!

The Young Riders
The Young Riders
Recensione del play by email The Young Riders ambientato nel selvaggio Far West dei telefilm
Teen Wolf GDR
Teen Wolf GDR
Intervista ai gestori del play by chat urban fantasy Teen Wolf GDR - Choose Your Destiny. Diventa un mannaro!
Combattimento a Cavallo
Combattimento a Cavallo
Manuale per un perfetto combattimento a dorso di cavallo. Scopri i segreti della cavalleria e giocati un ruolo perfetto!
Donne nei GdR
Donne nei GdR
Articolo sulle diverse tipologie di personaggi che le donne muovono nelle land dei play by chat

Pubblicità

Ultime dal Portale

news Dominion Gdr: Aggiornamenti tecnici➡️

news RAID Shadow Legends: RAID Digest di oggi! 🛡️

War Thunder War ThunderAviazione, veicoli corazzati e flotte militari della seconda guerra mondiale. Parteciperai a tutte le principali battaglie!

news The Coven: 🎃 Halloweenie 2025

news Fairy Tail GDR: Nuovo Manuale! 🏹

forum lubeck ha risposto alla discussione: [GDRCD 5.6] - Pacchetto Wapp 2.0

gdrrank I dati del generatore di rank sono stati aggiornati!

Seconda Era Seconda EraVaste terre coperte di ombre e misteri, dove ogni eroe scrive la storia del Mondo di Eidel. Seconda Era, Play By chat

recensione velglarn ha recensito Age of Crystals

news Black Sails Chronicles: ON - Le Danzatrici del Rum

risposta Il gestore di Black Sails Chronicles ha risposto alla recensione di lalalansia

news Storie di Esperia: La realtà lacerata: inizio evento a tema Halloween

CRSED: F.O.A.D. CRSED: F.O.A.D.Brutale sparatutto MMO in cui vince l'ultimo giocatore che resta in vita! Il giocatore sarà accompagnato da armi realistiche e magie!

forum lubeck ha aperto una nuova discussione: [GDRCD 5.6] - Pacchetto Wapp 2.0

news Lubecca: [CODICE] - Migliorie Grafiche I

forum mikee ha risposto alla discussione: Gioco investigativo e politico

news Piume Nere: Informazioni per i Partecipanti alla Cronaca Alpha

Crash Bandicoot Zone Crash Bandicoot ZoneCaos, libertà e risate: nel GDR ambientato nell’universo di Crash Bandicoot, ogni storia è possibile… e nulla è troppo folle!

Pubblicità

Articoli

Epica Omerica Epica Omerica - J.R.R. Tolkien e l'epica omerica in questa interessante tesi

Giochi di Wrestling Giochi di Wrestling - Lista completa dei giochi di ruolo online ambientati nel patinato mondo del Wrestling

Avatar per GdR Avatar per GdR - Raccolta di oltre 1.200 avatar/prestavolto da utilizzare nei giochi di ruolo online

NSA e MmoRpg NSA e MmoRpg - L'Intelligence Americana ha spiato i giocatori di giochi di ruolo online, scopriamo cosa è accaduto!

Fervm Fervm - Intervista a Claudio creatore del play by chat ambientato nell'Antica Roma... Fervm!

Reame di Warrior Within Reame di Warrior Within - Recensione del GDR fantasy Reame di Warrior Within

Statistiche Tecniche 2016 Statistiche Tecniche 2016 - Gdr-online.com pubblica i dati tecnici dei suoi visitatori per l'anno 2016. Spulcia i dati disponibili!