Registruotis Prisijungti Forumas Ieškoti DUK |
Slaptazodziu (password) encryption (sifravimas)
6 pranešimai(ų)
• Puslapis 1 iš 1
Slaptazodziu (password) encryption (sifravimas)
Sveiki,
eisiu iskarto prie reikalo.
Ar imanoma pakeisti slaptazodziu sifravimo buda?
T.y siuo metu l2j serveriai sifruojami "sha1" sifravimo kodais. Mano klausimas butu toks: ar imanoma, si sifravimo buda pakeisti? Noreciau pakeisti i "sha256" (ar kazka panasaus) + salt. Jei imanoma, tai kur galeciau rasti informacija apie pakeitime paciuose serverio failuose?
ačiū už atsakymus.
eisiu iskarto prie reikalo.
Ar imanoma pakeisti slaptazodziu sifravimo buda?
T.y siuo metu l2j serveriai sifruojami "sha1" sifravimo kodais. Mano klausimas butu toks: ar imanoma, si sifravimo buda pakeisti? Noreciau pakeisti i "sha256" (ar kazka panasaus) + salt. Jei imanoma, tai kur galeciau rasti informacija apie pakeitime paciuose serverio failuose?
ačiū už atsakymus.
Re: Slaptazodziu (password) encryption (sifravimas)
Nežinau ar galima, bet keitimas būtų iš javos pusės, login serverio packetų, taippat reikėtų pakoreguot account table
Re: Slaptazodziu (password) encryption (sifravimas)
Žinoma įmanoma:
Duomenų bazėj prie kiekvieno passwordo galėtum saugot salt'ą (nebent visur naudosi tokį pat, kas nebūtų labai saugu). Tada password lauką turėtum praplėst nuo 128bit'ų (32 simboliai - MD5) iki 512bit'ų (64 simboliai - SHA512) ir naudot SHA512 su salt'u.
* Čia pvz su Apache Commons biblioteka: http://deveshsharma.info/2013/02/28/sha ... h-in-java/
* Čia pvz naudojant vien tik Java. Pirmam atsakyme, kaip paverst į byte array, o antras atsakymas, kaip paverst į hex stringą (tą kur į db saugot)): http://stackoverflow.com/questions/2208 ... ncy-castle
Visą šitą reikalą reikia realizuot toj vietoj, kurioj kuriamas accountas (jeigu auto create, tai loginimosi paketuose greičiausiai). O taip pat ir ten, kur vyksta loginimosi validavimas - loginimose paketuose.
P.S. Čia ne saptažodžių encryptinimas (nes encryptą galima decriptint), o slaptažodžių hash'avimas nadojant one-way hash algoritmus.
P.S.S. Aš nesu labai plačiai susipažinęs su one way hash'ais. Bet siūlyčiau naudot SHA512, nes iš mano turimos informacijos ji kol kas lyg ir saugiausia.
Duomenų bazėj prie kiekvieno passwordo galėtum saugot salt'ą (nebent visur naudosi tokį pat, kas nebūtų labai saugu). Tada password lauką turėtum praplėst nuo 128bit'ų (32 simboliai - MD5) iki 512bit'ų (64 simboliai - SHA512) ir naudot SHA512 su salt'u.
* Čia pvz su Apache Commons biblioteka: http://deveshsharma.info/2013/02/28/sha ... h-in-java/
* Čia pvz naudojant vien tik Java. Pirmam atsakyme, kaip paverst į byte array, o antras atsakymas, kaip paverst į hex stringą (tą kur į db saugot)): http://stackoverflow.com/questions/2208 ... ncy-castle
Visą šitą reikalą reikia realizuot toj vietoj, kurioj kuriamas accountas (jeigu auto create, tai loginimosi paketuose greičiausiai). O taip pat ir ten, kur vyksta loginimosi validavimas - loginimose paketuose.
P.S. Čia ne saptažodžių encryptinimas (nes encryptą galima decriptint), o slaptažodžių hash'avimas nadojant one-way hash algoritmus.
P.S.S. Aš nesu labai plačiai susipažinęs su one way hash'ais. Bet siūlyčiau naudot SHA512, nes iš mano turimos informacijos ji kol kas lyg ir saugiausia.
Re: Slaptazodziu (password) encryption (sifravimas)
Labas, ačiū už atsakymus.
Na, as pats realiai serverio nekursiu ir visiskai nieko apie juos neismanau. Ka ismanau, tai yra svetaines ir ju kurimas, apsauga ir t.t. Klausiau ne siaip sau. Esu pakures sha256 + salt apsaugos sistemike (salt sukuria randoma, o ne statini). Del sha512, tai taip - gal ir neblogai butu, bet is patirties sakau, kad tai +- kaip ir minusas butu. Ne visiems jis tinka, ypac kas liecia l2 svetaines. Taip pat privalau pamineti, kad netolimoje ateityje, kaip papildoma apsauga, bus prijungtas https/ssl protokolas, kas +- kazkiek uztikrins didesne apsauga.
Kuriu web sistema, kurios licenzija stumdisiu internete.
ačiū už atsakymus.
Na, as pats realiai serverio nekursiu ir visiskai nieko apie juos neismanau. Ka ismanau, tai yra svetaines ir ju kurimas, apsauga ir t.t. Klausiau ne siaip sau. Esu pakures sha256 + salt apsaugos sistemike (salt sukuria randoma, o ne statini). Del sha512, tai taip - gal ir neblogai butu, bet is patirties sakau, kad tai +- kaip ir minusas butu. Ne visiems jis tinka, ypac kas liecia l2 svetaines. Taip pat privalau pamineti, kad netolimoje ateityje, kaip papildoma apsauga, bus prijungtas https/ssl protokolas, kas +- kazkiek uztikrins didesne apsauga.
Kuriu web sistema, kurios licenzija stumdisiu internete.
ačiū už atsakymus.
Re: Slaptazodziu (password) encryption (sifravimas)
nustebau kad l2j.lt bendruomenėje yra rimtų žmonių, šaunuoliai.
Re: Slaptazodziu (password) encryption (sifravimas)
tai rimtu zmoniu yra, bet jie nesirodo. Iskilo problema - paklausiau. Gavau rimta atsakyma ir tiek. Ko daugiau noret?
6 pranešimai(ų)
• Puslapis 1 iš 1
Grįžti į L2j serverio kūrimo klausimai
Dabar prisijungę
Vartotojai naršantys šį forumą: Registruotų vartotojų nėra ir 1 svečias