bcrypt; روش امن و مرسوم برای ذخیره کردن هش پسورد به همراه سالت و شیوه هش کردن در دیتابیس

Рет қаралды 13,648

Күн бұрын

در ویدئوهای مربوط به هک اسنپ، یه بحثی بود که چرا سالت، به عنوان فیلدی از دیتابیس ذخیره شده. من اول گفتم این برام جذاب نیست چون می‌شه از هر فیلد یونیکی (مثلا یوزر آی دی) براش استفاده کرد؛ حتی اگر این در ترکیب با یه سالت دیگه (پپر) از بیرون دیتابیس باشه. اما بعضی از دوستان گفتن که این اشکال خاصی هم نداره و شاید باعث تمیزتر بودن دیتا باشه یا چیزهای دیگه.
این شد که گفتم در مورد بی کریپت هم یه ویدئو بدم که در ادامه صحبت‌های قبلی در مورد ذخیره پسورد و هشش و اینها، بدونیم دقیقا بست پرکتیس‌ها و روش‌های اثبات شده و خوب برای نگهداری پسورد چه تیپ چیزهایی هستن (:
به حامیان کانال بپیوندین (:
/ @jadimirmirani

Пікірлер: 94

@moein84 Жыл бұрын

اول: از همه تولد مبارک جادی عزیز🎉، دوم: عالی توضیح دادید مثل همیشه سوم :تازگیها فعالیتت بیشتر شده خوشحالم و ممنون❤

@Ahmad20990 Жыл бұрын

از افغانستان سلام برایت استاد عزیز ویدیو های شما را تهیه کردم واقعا به عشق و حال درس میدین تا حال چنین دوره آنلاینی را تجربه نکرده بودم❤️❤️

@JadiMirmirani Жыл бұрын

خوشحالم مثبت بوده (:

@sajadabp-lu8kw Жыл бұрын

چقدر جالب که از یه دیتا بیس لیک شده ای که خیلی ساده ما از کنارش رد شدیم تو کلی تحلیلش کردی و چیز یاد گرفتی. موفقیت ینی این =))

@mohamadfadavi3319 Жыл бұрын

هنوز تا آخر ندیدم ولی تکمله‌ای که به بحث قبل زدی عالی بود! کلا با این موضوع «ادامه دادن بحث» توی ویدیوهای مختلف بسیار موافقم.

@fatemehsalem3850 Жыл бұрын

چقدر لذت میبرم ، اموزنده و خیییلی کاربردی🙏🏻🙏🏻

@QVMaster Жыл бұрын

زادروزت فرخنده و به تندرستی و شادی باشه جادی خیلی عزیز 🎉🌹♥️👑💯 دنیا به انسان‌هایی مانند شما شدیدا نیاز داره. مثل شما بیش باد 🙏🙏🙏🙏🙏

@manigaroosi Жыл бұрын

ایول فعالیتت دوباره زیاد شده ❤🎉

@mohammadnematollahi717 Жыл бұрын

استاد جادی گل بسیار ممنون بسیار شیوا و قشنگ توضیح میدید

@hasankarami1991 Жыл бұрын

ساعت ۶ و نیم صبح رو با این ویدئو عالی شروع کردم. خیلی آموزنده بود.

@oswaldcobolpot8978 Жыл бұрын

بوس به کله ات جادی عزیز 😘😘😘 میلادت هم شادباد 🥂🥂

@MohammadAliAzimi Жыл бұрын

Thanks!

@JadiMirmirani Жыл бұрын

Welcome!

@mechassistant Жыл бұрын

واییییی عالییییی بود کلی چیز باحال یاد گرفتم بازم ❤

@alir8zana635 Жыл бұрын

thanks again Mr Jadi Great video as always

@fatemehrz6830 Жыл бұрын

happy birthday jadi joooon ❤

@Kor0sh Жыл бұрын

ممنون جادی بسیار لذت بخش و رووان بو

@amirmahdi6939 Жыл бұрын

Good work jadi❤❤❤

@alisrj5654 Жыл бұрын

سلام ممنون از ویدیو خوبتون به عبارت OrpheanBeholderScryDoubt در رمزنگاری nothing-up-my-sleeve میگن طراحان الگوریتم های رمزنگاری و هش فانکشن‌ ها اگه از یک initial vector یا عبارت ثابت استفاه کنن باید علت انتخاب کردن این عبارت ها رو توضیح بدن تا احتمال اینکه این عبارت به منظور ایجاد یک آسیب پذیری و backdoor استفاده شده باشه پایین بیاد.

@matineshaghi3184 Жыл бұрын

جادی جان. میشه درباره اینکه با کامپیوتر های کوانتومی چطوری این شیوه رمز نگاری به خطر میوفته هم صحبت کنی؟

@CodingLovers Жыл бұрын

قوی مثل همیشه 💜🍻

@sajadnamdar3283 Жыл бұрын

دمت گرم خیلی خوب و مفید بود

@Tootoosomi Жыл бұрын

هزار بار هم از یک موضوع حرف بزنی،باز هم نکته تازه ای برای گفتن داری😊

@sepehr__byt Жыл бұрын

Love your content

@atajahangiri5861 Жыл бұрын

VERY very GOOD video

@Morancher Жыл бұрын

بینهایت عالی هستی🍻

@anew666 Жыл бұрын

مثل همیشه عالی..

@0_0-ro6vu Жыл бұрын

چه قدر باحال بود ایننن ❤❤❤

@nima9625 Жыл бұрын

تولدت اینجا هم مبارک جادییییییی 🤩🍀🍻

@kermanianmitra9508 Жыл бұрын

دمت گرم🎉

@mohsenheydari4551 Жыл бұрын

تولدت مبارک جادی جان ❤🎉😊

@MHA-kh5vx Жыл бұрын

ممنانم

@MahdiMashayekhi Жыл бұрын

ممنون جادی عزیز ❤🎉 راستی از کدوم توزیع لینوکس استفاده میکنی؟

@sepsot Жыл бұрын

you rock

@mammadsafar6581 Жыл бұрын

😍😍😍دوباره جادیی

@samrasoli Жыл бұрын

useful, thanks

@TheRockMilad Жыл бұрын

جادی جان خیلی ممنون ، من دقیقا همین رو توی Nodejs داشتم کار میکردم ، با توضیحاتت بیشتر گرفتم این دقیقا چطور کار میکنه

@its_P.S.A Жыл бұрын

جادی یه برنامه پایتون برامون بنویس که رینبو تیبل بسازه ، می خوام با مال خودم مقایسه کنم

@Kor0sh Жыл бұрын

ضمن اینکه تولدتو تبریک میگم جادی عزیز و امیدوارم بتونم زمانی ، تمام چیزهایی که به من اموختی(اخلاق و علم) رو جوری بهت برگردونم ، میخواستم ببینم ممکنه درموردArgon2 و AES-256 هم کمی صحبت کنی ، و این توی این ژانراز ویدیو هات ، سمت این الگوریتم ها هم بریم. به شخصه علاقه زیادی به Argon2 دارم و برام سواله چرا باوجود الگوریتم های سیف تر ، هنوزم توی اکثر مواقع در ایران از bcrypt استفاده میشه .

@OmidAtaollahi Жыл бұрын

متشکرم

@Mehdi-D77 Жыл бұрын

Very good

@k1tajfar714 Жыл бұрын

عالی. من یه ایده باحال هم دارم که اپن سورس میخوام روش کار کنم هنوز خیلی خامه ولی دوست داشتم ایمیل بزنم برای اولین بار بهت (هیچ موقع نمیخوام وقتتو بگیرم) و هم تولدتو تبریک بگم و ایده رو مطرح کنم هم روش کار کنیم اگه باحال بود هم اپن سورس و فری سافتور ویدیو یوتویوبی چیزی ازش آموزشی بگیری اگه وقت داشتی. ایده هکریه همینطوری هش و اینا. و همینطور پیاده سازی با راست شاید خیلی جذاب بشه ولی خودم فقط سی و پایتون بلدم.

@alikazemkhanloo9514 Жыл бұрын

24:21 that's what she said :)

@imanmahtabi3906 Жыл бұрын

یک سوال دارم اکر هکر قبل از هک کردن یک پروفایل برای خودش درست کرده باشه(پروفایل برای همونجایی که قراره هک کنه)...در این صورت دسترسیش به هش پسورد که خیلی راحتته و حتی ممکنه بتونه با چندتا اکانت مختلفی که میسازه سالت رو هم یه جورایی بهش برسه؟؟؟ ( یه ادم غیر متخصص میپرسه این سوالو) این ویدیویی که درست کردین با این روش توضیح خیلی جذابتر شده...

@kavooss4205 Жыл бұрын

سالت یک استرینگ نسبتا بلند و بی معنی هست چجوری میخواد بهش برسه هش که قابلیت دیکریپت نداره و همچنین و سرعت هم هر چقدر زیاد باشه باز نمیتونه سالت رو از توی هوش پیدا کنه

@JadiMirmirani Жыл бұрын

ایده خیلی باحالی است (: بهش می گیم فکر کردن شبیه یه هکر (: از نظر الگوریتمی نمی تونه به سالت برسه و معمولا سالت رندم بزرگی است ولی در نهایت ایده خوبیه یکسری دیتا خودش بذاره و ببینه چه شکلی شدن بعد از رمز شدن و شاید دید بهتری بده

@JadiMirmirani Жыл бұрын

دقیقا درسته. معمولا سالت اینقدر طولانی است که نمی شه با حدس و سعی خطا بهش رسید. ولی در نهایت ایده خوبیه

@shayanrb139 Жыл бұрын

good

@behzadayubifar8071 Жыл бұрын

awesome ❤

@dav1d.ahmadzadeh Жыл бұрын

Jadi❤

@amir_hosein_e3 Жыл бұрын

🔥

@ar_besharati Жыл бұрын

❤❤❤❤ دیتابیس های هوشمند در مورد ویدیو بسازید

@JadiMirmirani Жыл бұрын

مثلا چی؟

@aboozarsobboohi827 Жыл бұрын

❤

@blacktro Жыл бұрын

❤❤❤❤❤

@vans909 Жыл бұрын

🎉

@mr.amin0007 Жыл бұрын

🤘🏻🤘🏻🤘🏻🤘🏻

@Icarus_TV Жыл бұрын

یک سوال وقتی در پایگاه داده عبارت ۸ سالت و مقدار سختی همه با هم ذخیره می‌شود و از آنجایی که برنامه بیکریپت یک عبارت را به یک حش جدید تبدیل می‌کند آیا نمی‌شود از این اطلاعات ذخیره شده در پایگاه داده استفاده کرد و با کمک خود بیکریپت جدول رمبو را ساخت چون هم سایت را داریم هم مقدار سختی را و هم ۸ را

@kavooss4205 Жыл бұрын

هر بار که پسورد رو میزاریم تو دیتابیس یک سالت جدید میسازیم، درسته که سالت کنارشه ولی اون هش کنارش هم با همین سالت ساخته شده و سالت و هش هر کاربر فرق داره یعنی رینبو تیبل هم بسازه بعد از کلی وقت و هزینه فقط می‌تونه پسورد یک کاربر رو بگیره

@vahidsarani8264 Жыл бұрын

سلام جادی .مدل دقیق لپتاپت چیه ؟

@alirezanet Жыл бұрын

یکی از تفاوت های اصلی bcrypt که اشاره نکردید اینه که هر بار که هش رو تولید میکنید با یه پسوورد خروجی متفاوتی میده به همین جهت نمیشه دوبار یه متن رو هش کرد و هش هارو مقایسه کرد باهم. باید از خود الگوریتم برای مقایسه استفاده کنیم.

@parhamm1 Жыл бұрын

درود، بنظر شما حرکت معقولیه برای امنیت بیشتر سورس رو دستکاری کنیم و این عبارت رو عوض کنیم؟ دیگه طرف عمرا بره پکیجامونم بخونه این وسط

@alisrj5654 Жыл бұрын

انتخاب این عبارت صرفاً به منظور یک عبارت ثابت و شروع فرآیند blowfish block cipher هست و امنیت bcrypt به بخاطر این عبارت نیست. عوض کردن این عبارت هم اگه هوشمندانه انجام نشه ممکنه خودش یک آسیب پذیری در این الگوریتم ایجاد کنه. در مبحث رمزنگاری نباید الگوریتم دستکاری شه و چیزی از الگوریتم پنهان باشه تنها چیزی که باید پنهان باشه کلید هست.

@HamidAbbaszadeh Жыл бұрын

از نسخه‌ی ۴.۰.۰ با استفاده از Rust پیاده‌سازی شده است.

@ahoura612 Жыл бұрын

❤

@arminover2247 10 ай бұрын

salam chetori sagaro ezafe konim be Terminal khodemoon?

@JadiMirmirani 10 ай бұрын

سگ ها رو؟ اگر منظورت اون گاو اول است دستورش هست cowsay hi

@MahdiAmeri Жыл бұрын

3:28 احتمالا اون هش های ۴۰ کاراکتری برای دوران زود فوده

@JadiMirmirani Жыл бұрын

فکر کنم منم می گم تو ویدئو این حدس رو (:

@behrouzbehi10 Жыл бұрын

💙💙

@ParsaNaderiX Жыл бұрын

سلام جادی, من چک کردم و دیدم که بیشترین مقداری که میشه برای راوندز گذاشت 31 هست پس یه جایی بلاخره استفاده از بی کریپت به محدودیت ختم میشه.

@ParsaNaderiX Жыл бұрын

حالا رفتم گشتم و دیدم امروز راوندز که معمولا ازش استفاده میشه همون دیفالت خودش یعنی 12 هست.

@ParsaNaderiX Жыл бұрын

که یعنی اگه از همین امروز فرض کنیم کامپیوترها هر 18 ماه قدرتشون 2 برابر میشه, 28.5 سال آینده یعنی تقریبا تو 2052 دیگه نمیشه اون عدد راوندز رو یکی ببریم بالاتر که یعنی دیگه نمیتونیم از بی کریپت استفاده کنیم؟!؟

@kavooss4205 Жыл бұрын

احتمالا تا اون موقع یک آپدیت میدن و این قضیه رو با یک روش دیگه حل میکنن

@JadiMirmirani Жыл бұрын

معمولا ایده اینه که تمرکز هش ها می ره به سمت چیزهایی که محدودیت هایی بیشتر از سی پی یو داره. مثلا ممکنه بریم به سمت هش هایی که نیاز به رم بیشتر دارن که فعلا تهیه کردنش گرونتر از سی پی یو است

@saeedmirshams8533 Жыл бұрын

وای این هودی را هنوز داری؟ من هم لباسهام خیلی عمر میکنن.

@kuroshghaffari1416 Жыл бұрын

سلام جادی دمت گرم کسی میدونی قضیه این نوت کوینای تلگرام چیه؟

@arshiaalidosti8818 Жыл бұрын

خدایی الان وقتش نیست که یکم Fun project with Rust داشته باشیم؟ 😅

@JadiMirmirani Жыл бұрын

منم بهش فکر کردم. و حتی یکی هم شروع کردم و دو قسمت ضبط کردم ولی دیدم احتمالش کمه ادامه اش بدم (: بازم اگر شد حتما . بامزه است بخصوص که زبون پر دردسری است و هی اشتباه می کنم می خندیم (:

@arshiaalidosti8818 Жыл бұрын

@@JadiMirmirani ممنون! حتمی کلی یاد میگیریم و خوش میگذره! 😀

@sobhanmovassagh6792 Жыл бұрын

ممنون ولی من یک چیزی را متوجه نشدم اگه سالت در همون دیتا بیس ذخیره میشه و نمایش داده میشه، پس بود و نبودش چه فرقی می کنه؟؟ خب اگه کسی به قسمت دیتا بیسها دسترسی پیدا کنه باز هم باید فقط قسمت پسورد را تغییر دهد تا به جواب برسد.

@JadiMirmirani Жыл бұрын

فکر کنم می گم دیگه. اگر الگوریتم رو داشته باشی و بخوای جدول رنگین کمان درست کنی برای حمله شکستن رمز، فقط یه رمز رو می تونی بشکنی / سعی کنی بشکنی چون سالت ها فرق می کنن

@sobhanmovassagh6792 Жыл бұрын

الان فهمیدم چی شد. اگه هکر لیست رنگین کمانی از قبل داشته باشه بدردش نمی خوره ولی اگه بخواد برای هک کردن وقت بذاره و لیست جدید درست کنه شدنیه. فکر کنم با عوض کردن پسورد سالت هم عوض بشه که کار را خیلی سخت می کنه. ولی اگر یک شرکت بزرک یا یک کشور بخواد شخصی را هک کند بخاطر سخت افزار قوی خیلی راحتتر بتونی این کار را بکنه@@JadiMirmirani