![]() |
|
![]() ![]() ![]() |
|
REZiaMIX |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 346 Регистрация: 3.11.2007 Репутация: нет Всего: 4 |
По сети передается пара login/pass от клиента к серверу.
Сервер соответственно должен найти в списке login проверить pass (дальше по усмотрению). Задумал реализовывать так : На сервере хешировать пары login/pass. Клиент посылает хеш , сервер сверяет из списка. Будет ли это правильной реализацией?(Расчет идет на большое кол-во записей) Если это в большей степени правильно,подскажите хеш-функцию с достаточной устойчивостью к коллизиям (поиск будет происходить по большой базе, немалую важность играет производительность). -------------------- ![]() |
|||
|
||||
ksili |
|
|||
![]() Эксперт ![]() ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 2069 Регистрация: 3.11.2005 Где: Красноярск Репутация: 2 Всего: 17 |
Насколько я знаю, самыми распространёнными являются хэш-функции SHA, MD4, MD5. Думаю все они удовлетворяют вашим требованиям
-------------------- Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с) |
|||
|
||||
RockClimber |
|
|||
Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 848 Регистрация: 5.5.2006 Где: планета 013 в тен туре Репутация: нет Всего: 15 |
"Хотя функция хэширования MD4 очень быстрая, она довольно легко взламывается [24], поэтому не стоит ее использовать."
Брюс Шнаер, Нильс Фергюсон, "Практичсекая криптография", ISBN 5-8459-0733-0, стр. 108. [24] - это Dobbertin H. Cryptoanalysis of MD4 // J. Cryptology. - 1998. 11(4). - P. 253-271. Пару лет назад в "Компьютерре" писали о найденной уязвимости MD5 на основе коллизий, но она на тот момент была далека от практического применения. -------------------- Хорошо кинутый дятел далеко летит, крепко встревает, долго торчит. |
|||
|
||||
mmvds |
|
|||
![]() Бывалый ![]() Профиль Группа: Участник Сообщений: 230 Регистрация: 22.12.2007 Репутация: 1 Всего: 6 |
Она и сейчас далека от применения, на ее основе вполне реально создать два бинарника с одним хэшем, но для строковых данных уязвимость не подходит http://forum.vingrad.ru/forum/topic-206366.html Это сообщение отредактировал(а) mmvds - 30.5.2008, 22:23 |
|||
|
||||
Alexandr87 |
|
|||
![]() дыкий псых ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1459 Регистрация: 27.11.2004 Где: Алматы, Казахстан Репутация: 1 Всего: 39 |
судя из описанной ситуации здесь вообще не нужен криптографический хэш: хэш применяется исключительно для ускорения поиска, и никаких функций безопасности не несет.
|
|||
|
||||
ksili |
|
|||
![]() Эксперт ![]() ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 2069 Регистрация: 3.11.2005 Где: Красноярск Репутация: 2 Всего: 17 |
Как раз в описанной ситуации (хэширование паролей) нужен именно криптографический хэш. -------------------- Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с) |
|||
|
||||
Alexandr87 |
|
|||
![]() дыкий псых ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1459 Регистрация: 27.11.2004 Где: Алматы, Казахстан Репутация: 1 Всего: 39 |
||||
|
||||
v2v |
|
|||
![]() Эксперт ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1620 Регистрация: 20.9.2006 Где: Киев Репутация: нет Всего: 56 |
в данной ситуации на скорость больше повлияет перебор/поиск по базе нужных логина / пароля чем сама операция хеширования.
а вообще ты плохо придумал. почитай темы из раздела "Технология защиты". твой протокол обмена очень легко взламывается... |
|||
|
||||
REZiaMIX |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 346 Регистрация: 3.11.2007 Репутация: нет Всего: 4 |
Спасибо за ответы
-------------------- ![]() |
|||
|
||||
ksili |
|
|||
![]() Эксперт ![]() ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 2069 Регистрация: 3.11.2005 Где: Красноярск Репутация: 2 Всего: 17 |
Ну я думаю он помешает сбрутить перехваченный хэш. -------------------- Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с) |
|||
|
||||
Alexandr87 |
|
|||
![]() дыкий псых ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 1459 Регистрация: 27.11.2004 Где: Алматы, Казахстан Репутация: 1 Всего: 39 |
а зачем его брутить, когда им (непосредственно дайджестом) можно воспользоваться для аутентификации на сервисе. ЗЫ. Вероятнее всего, что хэш подразумевалось использовать не для защиты (потому как защитных функций он не предоставляет), а для уменьшения требуемого машинного времени на сервере при аутентификации. Как проходит поиска по бд: данные хэшируются и на основе их хэша производится быстрый поиск по БД. В данном случае не нужно производить хэш на сервере. В теории это позволяет несущественно уменьшить нагрузку на сервер, в чем по-моему и заключась суть этих манипуляций. Это сообщение отредактировал(а) Alexandr87 - 2.6.2008, 07:59 |
|||
|
||||
ksili |
|
|||
![]() Эксперт ![]() ![]() ![]() ![]() Профиль Группа: Завсегдатай Сообщений: 2069 Регистрация: 3.11.2005 Где: Красноярск Репутация: 2 Всего: 17 |
в некоторых случаях нужен и сам пароль (когда его будет использовать человек, например, чтобы зайти под чужим логином) С остальным согласен -------------------- Ничто так не развивает аналитическое мышление, как отладка сложной программы без возможности пошагового выполнения (с) |
|||
|
||||
REZiaMIX |
|
|||
![]() Опытный ![]() ![]() Профиль Группа: Участник Сообщений: 346 Регистрация: 3.11.2007 Репутация: нет Всего: 4 |
Мне нужен был хеш ,
1) Для ускорения поиска 2) Чтобы логин/пасс не передавались "голышом". На данный моммент выбрал MD5
В точку) Это сообщение отредактировал(а) REZiaMIX - 8.6.2008, 17:37 -------------------- ![]() |
|||
|
||||
![]() ![]() ![]() |
Правила форума "Алгоритмы" | |
|
Форум "Алгоритмы" предназначен для обсуждения вопросов, связанных только с алгоритмами и структурами данных, без привязки к конкретному языку программирования и/или программному продукту.
Если Вам понравилась атмосфера форума, заходите к нам чаще! С уважением, maxim1000. |
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) | |
0 Пользователей: | |
« Предыдущая тема | Алгоритмы | Следующая тема » |
|
По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности Powered by Invision Power Board(R) 1.3 © 2003 IPS, Inc. |