Шёл 2020 год... / password :: пароли :: security :: безопасность

Шёл 2020 год...

Украинский хостинг решил не хранить пароли в открытом виде...

Повышение уровня безопасности почты Inbox
☆
Новости компании Хос... 14:34
to me v
:
hosting
ui-snain
Добрый день,
Для повышения уровня безопасности и соответствия требованиям сертификации PCI DSS принято решение хранить все пароли в захешированном виде. Решение отказаться от хранения

Подробнее
Повышение уровня безопасности почты Inbox ☆ Новости компании Хос... 14:34 to me v : hosting ui-snain Добрый день, Для повышения уровня безопасности и соответствия требованиям сертификации PCI DSS принято решение хранить все пароли в захешированном виде. Решение отказаться от хранения паролей в открытом виде давалось не легко, так как мы понимаем, насколько удобно посмотреть в панели управления пароль к почте, зайти одним кликом в почтовый ящик или подключиться к FTP. В то же время всё большее количество клиентов пользуются услугами хостинга, хранят почту на наших серверах, поэтому, понимая возложенную ответственность, при выборе между удобством и безопасностью выбор сделан в пользу безопасности.
безопасность,пароли,security,password,песочница

Еще на тему

песочница(701804)

Развернуть

Комментарии 2424.01.202000:00ссылка10.8

где хостинг, а где pci dss для банковских карточных данных...

Smithik 24.01.202000:58 ответить ссылка 1.9

Это походу Hostinger, он никогда не отличался серьезностью.
P.S. и так то компания не украинская,а литовская

Berhshloss 24.01.202011:07 ответить ссылка 0.1

https://www.ukraine.com.ua/

svga 24.01.202012:28 ответить ссылка ↑ 0.4

Сама новость https://www.ukraine.com.ua/news/hosting/povishenie-urovnya-bezopasnosti-pochti.html
Комментарии жгут не меньше.

blockan 24.01.202013:30 ответить ссылка ↑ 0.3

поясните дауну без знания систем хранения паролей. Они чо их там в текстовом файлике хранили?

warrcan 24.01.202011:31 ответить ссылка 0.3

Скорее без шифрования

Monah91 24.01.202011:40 ответить ссылка ↑ 0.1

нормальные люди вместо пароля хранят его хеш, обычно с солью, обычно криптостойкий

когда делается иначе, базу сливают и любители ставить везде одинаковый пароль не могут потом зайти в свои одноклассники\танки\вконтакте\нужное подчеркнуть

RawCode 24.01.202011:43 ответить ссылка ↑ 2.4

Ну, справедливости ради замечу, что большинству это не поможет - имея хеш и способ его получения, перебор паролей превращается в рутину и пароли 80-90% пользователей будут таки получены.

Hellsy 24.01.202018:37 ответить ссылка ↑ -0.7

"имея хеш и способ его получения" способ получения не всегда известен, доступ к базе данных не гарантирует доступа к коду который её использует. не зная алгоритма использования хеш функции и/или соли(hash sals) процент подобранных паролей может и вовсе равнятся нулю. также у перебора(bruteforce) есть два важных критерия 1) время 2) хардварные ресурсы для перебора. допустим мы готовы потратить на перебор 1 месяц, если брать хеш функцию md5 и хеш функцию используемую в wordpress(sha1 если не ошибаюсь), то время на перебор будет колосально отличаться, в итоге банальное использование sha1 даст выгоду в том плане что взломщик сможет перебрать в разы меньше паролей. опять же если вдаваться в подробности, то процент удачно подобранных паролей, при равных факторах(хеш функция/алгоритм использования хеш функции/мощности железа/времени для перебора), будет значительно отличаться если сравнивать например форум любителей котят и какой нибудь habr или lor.

РаспиздяйКакНадо 24.01.202023:52 ответить ссылка ↑ 0.0

Если утекла база - утечет и соль. Надеяться на то, что соль не утечет - это security by obscurity, а если уж ступил на этот путь, то лучше вообще свой алгоритм хеширования навелосипедить - дело нехитрое, а потенциальный мамкин хакер обалдеет.

Прост обычно утечка паролей означает утечку базы, а утечка базы это такой пиздец сам по себе, что о паролях думать уже как бы и смысла нет.

Я не призываю отказываться от шифрования паролей - это копеечная операция, которая считается признаком хорошего тона. Я говорю, что смысла от нее немного - поможет лишь тем, у кого сложный пароль, что тоже неплохо.

Hellsy 25.01.202000:02 ответить ссылка ↑ -0.5

"Если утекла база - утечет и соль." я уже говорил что не обязательно =)
1) адекватные люди не хранят соль там же где и хеш
2) база не обязательно находится на том же сервере где и сервис, который её использует
3) наличие данных хранящихся в базе не обязательно как то поможет в получение доступа к сервису, который их использует и где хранится соль

ээээ не хочу показаться грубым, но ты только что написал в_одном_посте "Надеяться на то, что соль не утечет - это security by obscurity" и тут же "то лучше вообще свой алгоритм хеширования навелосипедить - дело нехитрое, а потенциальный мамкин хакер обалдеет", упорот штоли)?

РаспиздяйКакНадо 25.01.202000:20 ответить ссылка ↑ 0.0

Обрати внимание на зачем-то выброшенную тобой часть предложения: "а если уж ступил на этот путь".

И я еще раз подчеркну, что решение с хешингом паролей - это просто симуляция защиты. К таблицам в БД в принципе не должно быть прямого доступа.

Hellsy 25.01.202000:32 ответить ссылка ↑ -0.9

" К таблицам в БД в принципе не должно быть прямого доступа." было бы странно обратное лол)) не понял к чему это

"Обрати внимание на зачем-то выброшенную тобой часть предложения" а тут проблема что человек либо за либо против, я увидел два противоречивых мнения в посте, о чем и решил сообщить. к "безопасность через неизвестость" у меня лояльное отношение, хм, такая техника обмазана грязью почем напрасно. проблема в том что зачастую её используют как основополагающий барьер защиты, которым она естественно совсем не является. а как дополнительный барьер она очень даже подходит, о чем собственно я и хотел донести говоря о грамотном хранении соли и нестандартных применениях алгоритмов хеширования

РаспиздяйКакНадо 25.01.202000:43 ответить ссылка ↑ 0.0

> не понял к чему это

К тому, что все обращения к БД должны быть ограничены лишь обращением к хранимым процедурам у которых есть права на работу с таблицами. Таким образом исключаются и SQL-инъекции и даже каким-либо образом утекший пароль, с помощью которого бэкэнд обращается к БД (или, если БД ограничена локалхостом, то - доступ к шеллу), не дает злоумышленнику возможности получить все пароли и/или хеши от паролей, равно как и пользовательские данные. Но во многих проектах принято напрямую херачить CRUD запросы и даже не всегда экранировать аргументы. А для "безопасности" гордо хешировать пароль.

Я еще раз подчеркну, что нет ничего плохого в хешировании пароля, прост это не мера внешней безопасности, а внутренней - чтобы те, у кого есть рабочий доступ к БД не слили базу паролей. Но даже в таком качестве оно работает не очень хорошо.

Hellsy 25.01.202013:13 ответить ссылка ↑ -0.1

что за бред, не буду комментировать, удачи в разработке

РаспиздяйКакНадо 25.01.202013:58 ответить ссылка ↑ -0.6

И тебе не хворать. Но рекомендую все же ознакомиться с хранимыми процедурами и разграничением прав доступа на уровне СУБД, если хочешь вырасти из работы с устаревшими похапешными фреймворками. Нынче даже этот ваш убогий мускуль может многое.

Hellsy 25.01.202014:43 ответить ссылка ↑ -0.1

я знаком с ними, более чем). вот только разработкой не занимаюсь, я ищу косяки в разработке, и занимаюсь этим уже десяток лет. никакие процедуры и другие абстракции, на которые так судорожно пытаются переложить ответственность, не спасут от ошибок, потому что косячат люди. но вы продолжайте, у меня всегда будет работа =)

РаспиздяйКакНадо 25.01.202016:04 ответить ссылка ↑ 0.0

От ошибок не спасает вообще ничто. Я вот давеча на одном проекте видел предельно суровую защиту, но какой-то дятел для отладки сделал возможность получить дамп всех пользователей, проводивших транзакции за последние 24 часа, а потом забыл убрать и тестеры это проморгали - так оно на продакшин и уехало.

Тем не менее, когда говорят о безопасности, то подразумевают многослойную защиту - типа, если человек накосячит неумышленно, то многослойная защита не позволит злоумышленнику получить данные. Отказ от прямой работы с таблицами, а точнее - запрет для используемого бэкэндом аккаунта СУБД на любые CRUD-операции, гарантирует, что даже если злоумышленник из-за чьего-то дебильного косяка получит шелл-доступ и реквизиты для работы с СУБД - он ничего не сможет оттуда достать.

В популярных проектах, разрабатываемых на территории бСССР это, разумеется, не принято - считается вообще в порядке вещей, чтобы скрипты подключались к СУБД с полными правами и без пароля. Да что там, в куче мест у пользователя под которым крутится вебсервер есть даже право на изменение файлов самих скриптов, потому как "ну и чо? Все так делают, чего париться...".

Hellsy 25.01.202016:14 ответить ссылка ↑ 0.0

"Тем не менее, когда говорят о безопасности, то подразумевают многослойную защиту - типа, если человек накосячит неумышленно, то многослойная защита не позволит злоумышленнику получить данные. "

я обратного не утверждал, в этом плане кстати совершенно согласен, система многослойна и уровни доступа, а также защита, должны быть многослойными.

"В популярных проектах, разрабатываемых на территории бСССР это, разумеется, не принято - считается вообще в порядке вещей, чтобы скрипты подключались к СУБД с полными правами и без пароля. Да что там, в куче мест у пользователя под которым крутится вебсервер есть даже право на изменение файлов самих скриптов, потому как "ну и чо? Все так делают, чего париться.."

пиздёшь =) доступы используются как read-only, так и с ограниченными правами, так и root, в зависимости от того что нужно. там где php узается fpm из под www-data, файлы все chown root только на чтение и всё это в docker, чтобы оттуда получить доступ хотя бы к целевой системе, нужно хорошо запотеть

РаспиздяйКакНадо 25.01.202016:29 ответить ссылка ↑ 0.0

"то лучше вообще свой алгоритм хеширования навелосипедить" не учи людей плохому! не надо велосипедить свои алгоритмы хеширования, я уже написал в прошлом посте "не зная алгоритма использования хеш функции", нужно хеш функцию использовать необычно, саму хеш функцию изобретать не надо =)

РаспиздяйКакНадо 25.01.202000:25 ответить ссылка ↑ 0.0

Место хранение не принципиально, хотя чаще всего это все-таки база данных. Главное как ты их хранишь: 1) просто текстом, т.е. как ты ввел так и сохранили в БД, при этом любой кто получит доступ к базе может узнать твой пароль, 2) твой пароль обрабатывается специальным алгоритмом и в результате получается другая строка(хэшированная) и уже она кладется в базу, а когда ты логинишься введенный тобой пароль так же хэгируется и проверяется на соответствие той что в базе. Во 2м случае, если алгоритм хэширования не имеет уязвимости, узнать твой настоящий пароль нереально.

Torrion 24.01.202011:43 ответить ссылка ↑ 2.0

У меня хуилион паролей на ukraine.com.ua От FTP, от баз данны, от почтовых ящиков, SSH... На десятках проектов. И все они сгенерированы автоматом. Их решение в пользу безопасности это блядь пиздец!!!! Хорошо, что пока только в отношении почты

Кровавый Пастор 24.01.202014:33 ответить ссылка 0.2

ощутил безопасность ? ради пользователей и старались.

забавно было бы глянуть на отрытую базу паролей гугла или пусть даже мылояндекс. эпоха 12345678 ведь ушла

nefr1t 24.01.202019:04 ответить ссылка ↑ -0.1

никуда она не ушла