החלטתי לפתוח את הדיון הזה מכמה סיבות:
זה נושא מאוד חשוב
זה נושא מעניין
זה לדעתי יעלה את רמת הפורום

לפתוח דיון זה לא ממש מספיק.. אז אני יעלה בעיית אבטחה מסוימת:

אבטחה ב-LOGIN פשוט

יש כמה סכנות שאפשר להתמודד איתם בקלות יחסית:
SQL injection פיתרון- שימוש בפונקציה שמבריחה תווים מסוכנים
Brute force פיתרון- הגבלה של 5 נסיונות ל- 15 דקות (נגיד) והוספת תמונה עם קוד רנדומאלי וכל מיני הפרעות שימנעו מתוכנות לנסות לזהות את הקוד
זיוף עוגיות- הוספת עוגיה של סיסמא כך שיהיה צריך להזין סיסמא בכל מקרה, הבעיה- אי-אפשר למנוע פה Brute force, אפשר לשים בעוגיה מספר התחברות, הבעיה: ראה ב- Session, פיתרון בעייתי כי בעוגיה אנחנו לא רוצים להגביל ל-IP מסוים, לפיתרונכם
זיוף Session פיתרון- הגבלת Session ל- IP מסוים
מציאת הצפנת Hash פיתרון- להוסיף לפונקציה עוד גורמים ולהפוך את הגילוי לקשה במיוחד, למרות שזה לא פיתרון שאני אישית שלם איתו, לפיתרונכם

תציאו גם בעיות ותפתרו, זה יכול להיות דיון נחמד

לעשות אבטחה זה הרבה יותר מתקדם...!

אתה מוזמן להציע דרכים ובעיות אבטחה, זה כל הרעיון של הנושא.. אני התחלתי במשהו קטן..

בקשר למציאת הצפנת hash, זה נקרא salting .. מוסיפים מחרוזת כלשהי בנוסף לסיסמה, מחרוזת כלשהי שמכילה תווים מיוחדים, ככה שיהיה קשה יותר לעשות brute forcing, גם בגלל שהמחרוזת המקורית תהיה ארוכה יותר, וגם בגלל שזה מכיל תווים שלא שמים בדרך כלל, גם ב rainbow tables וגם בפיצוח רגיל..

רעיון נחמד נוסף שהיה לי, זה בנוסף ל salting שמאחסנים איתו את הסיסמאות ב DB, לעשות salting נוסף לסיסמה ששמים בעוגיות... זה רעיון די טוב, מכיוון שהם לא יודעים באיזו מחרוזת אתה משתמש ל salting, ואז גם אם משיגים את הסיסמאות בדאטאבייס, לא ניתן ליצור את העוגיה...
ואז מה שקורה זה, שאם מישהו מוציא סיסמאות מהדאטאבייס, זה שווה לכלום. אין לו מה לעשות עם זה...
הוא לא יכול לפצח, בגלל ה salting, והוא לא יכול להכניס ישר בעוגיה...
אם מישהו לא הבין למה התכוונתי, אז התכוונתי למשהו כזה
נגיד הסיסמא היא 1234
ה salting של ה DB זה abc
וה salting של העוגיה זה def
אז בדאטאבייס יהיה

קוד PHP:

 md5('abc'.'1234') 


ובעוגיה יהיה

קוד PHP:

 md5('def'.md5('abc'.'1234')) 


זה פתרון די טוב...
הוספת salting גם די מונע brute forcing עם עוגיות.. התוקף לא ידע איך להפוך סיסמה למשהו שמתאים לעוגיה...
אז מה שהוא יכול לעשות זה לנסות כל MD5 אפשרי, שזה הרבה מאוד נסיונות, ודי חסר טעם...
(אם אני לא טועה, 16^32 אפשרויות)

בקשר ל Session, אני אוהב לוודא את זה גם על פי ה user agent. למרות ש IP בהחלט מספיק, ולא בעיה לזייף User-Agent, בדרך כלל הוא לא ידע מה ה UA של המשתמש... סתם שכבת הגנת נוספת..

כידוע, יש היום מספר אתרים ברחבי הרשת שמתעסקים בפיצוח צופן ה-MD5.
הם עושים זאת ע"י השוואה צופן ה-MD5 שהמשתמש הכניס בטופס אל שאר צפני ה-MD5 שיש להם במסד הנתונים.

כדי להקשות על גילוי סיסמת משתמש מסוים יש ליצור סיסמא מאוד מורכבת, ארוכה ומסובכת, כיון שהסיכוי שסיסמא כזו נמצאת במסד הנתונים של איזהשהו אתר היא מאוד נמוכה.
דוגמא לסיסמא מורכבת:
f4gsk94-dk_gF5hKff834ksOk4

הבעיה היא בדר"כ שרוב המשתמשים לא עושים סיסמא מורכבת. לכן מה שצריך לעשות זה להפוך את הסיסמא שלהם למורכבת ע"י פונקציות מסוימות כמו:
http://www.php.net/manual/en/function.base64-encode.php

זאת עוד דרך להגן על מציאת סיסמת ה-MD5

בגלל אלגוריתם ההצפנה, אפילו שינוי קטם ביותר במחרוזת ישנה לגמרי את התוצאה, ולכן אף אחד לא שומר ה hash של מילים מסויימות, אלא מריץ התקפה מילונית (בד"כ) עם מוטציות בין המילים, ובין המילה לבין עצמה

דווקא ראיתי אתרים רבים שמשתמשים בשיטה הזו.
אני בטוח שלא מרשים פה לתת קישורים לאתרים האלה (לא חוקי...אני חושב(?)) לכן אני לא יכול להראות לך גם... =\

למה לא חוקי? אני בטוח שאין בעיה עם זה...
http://gdataonline.com/seekhash.php
משתמש בדאטאבייס ^
http://milw0rm.com/cracker/
משתמש ב rainbow tables ^ (שזה גם בערך דאטאבייס)

זה בדיוק השיטה שהוא מדבר עליה.
מאוד לא אפקטיבית לדעתי.

זו השיטה הכי טוב שידועה כיום, עד כמה שאני יודע.
לפחות מבחינת מהירות...

השיטה הזאת טובה רק מבחינת מהירות, אבל הבעיה היא שברוב המקרים היא פשוט לא תעבוד.
ככה שאם התמזל מזלך והסיסמא נמצאת במאגר - זה באמת השיטה המהירה ביותר. אבל אם לא - אז זה אף פעם לא יימצא לך את הסיסמא.

הבאתי לו hash מאוד מאוד פשוט שהוא לא פרץ:
4f37a72aa24ce336d823e855926527c2

שזה abcde בקידוד base64

זה לא משנה. השיטה הזאת לא תעבוד ברוב המוחלט של המקרים, כי אף מקום ששווה לפרוץ לא ישאיר את הסיסמא כפי שהמשתמש כתב אותה. לכן האפשרות היחידה לפי דעתי היא התקפה מילונית עם מוטציות רגילות ומוטציות שמבוססות על התנהגות המתכנת (למשל להטסיף קידוד נוסף לפני שמצפינים md5).

בכל מקרה התקפה מילונית לא יכולה לפצח סיסמה מורכבת ומסובכת שאין לה משמעות כמו:

f4gsk94-dk_gF5hKff834ksOk4

אז הנה עוד דרך שאי אפשר דרכה לפצח את הסיסמא המסובכת

דרך אגב אולי כדאי לתת קישור לאשכול הזה בעוגן ה-FAQ לא?

אבל יש לה בהרבה יותר סיכויים לפרוץ סיסמא מילונית שהתעסקו איתה

כמו שכתבתי פה למעלה.. בדרך כלל משתמשים ב salting...

אני הייתי משלב

salting מספיק בהחלט...
רק שיהיה ברור, מה ששמים ב salting זה לא תווים כמו מספרים ואותיות, אלא תווים שלא משתמשים בהם כמעט... זה מה שעושים בכל מערכת, גם פה, ב vB. אם אני זוכר נכון, יש ב vB 3 תווים שזה מוסיף... וה salt שונה לכל משתמש
(לפי דעתי זו שיטה די מפגרת, הם מוסיפים רק 3, ובגלל שזה יחודי לכל משתמש, הם מאחסנים את זה בדאטאבייס.. אם מישהו פורץ ומוריד את ה DB, הוא גם יוריד את ה salt של כל משתמש..)