Как НЕ записывать пароли в базе данных

  Рет қаралды 14,645

Volodya Mozhenkov

Volodya Mozhenkov

Күн бұрын

Пікірлер: 67
@RDguffi
@RDguffi 11 жыл бұрын
Благодарю за столь информативный контент. Мне, как человеку впервые столкнувшемуся с вопросами безопасности хранения паролей, это видео просто заменило часы поисков. Удачи вам Владимир в начинаниях! А главное, не бросайте канал, хорошее дело делаете :)
@VladimirMozhenkov
@VladimirMozhenkov 11 жыл бұрын
Благодарю за ваши слова. Забрасывать канал я не планирую, если всё пойдёт как должно, то буду даже его развивать, чтобы он стал чем-то большим.
@richardcobain246
@richardcobain246 5 жыл бұрын
Привет из 2019
@kl45gp
@kl45gp 9 жыл бұрын
спасибо большое, устал уже смотреть ваши видео, но все равно смотрю, безумно интересно и просто! еще раз спасибо!
@sts5847
@sts5847 11 жыл бұрын
Отлично разсказал,причем так хорошо что наверно поймет любой человек, ну как минимум который ознакомился с ПК
@nmg_prm
@nmg_prm 2 жыл бұрын
Спасибо что делитесь знаниями в доступном формате!
@LeGul_in_lab
@LeGul_in_lab 3 жыл бұрын
Приветствую из 2021-го.) Благодарю за содержательный контент, информация для общего понимания вопроса все еще актуальна. Надеюсь на дальнейшее пополнение этого плейлиста.
@nickk.9470
@nickk.9470 3 жыл бұрын
Про разные соли для разных пользователей не знал. Спасибо.
@MrAeroification
@MrAeroification 4 жыл бұрын
действительно, божественно, привет 2020
@alexb.2616
@alexb.2616 3 жыл бұрын
Спасибо за видео. Привет из 2021.
@vendetty911
@vendetty911 7 жыл бұрын
Дуже класне відео!!!
@MasterZiv
@MasterZiv 4 жыл бұрын
Чёрд, почему так мало лайков у такого правильного видоса?
@xambey
@xambey 4 жыл бұрын
Все еще актуально, но думаю будет полезно сделать видео про JWT токены и асимметричное шифрование, в дополнение для актуализации
@theDenQ
@theDenQ 10 жыл бұрын
Хорошая лекция, так и делаю всегда. Но есть один минус. Если сервис высоко нагруженный, то учитывая вес операции аутентификации, работа сервиса может "загнуться". Если конечно не позаботиться за ранее об этом. Что-то типа системы токенов, после авторизации. Хранить в key-value хранилище на сервере и в куке на клиенте(к примеру). Думаю, что есть еще более лучшие варианты.
@ai-katrin
@ai-katrin 7 жыл бұрын
Есть ещё более крутой вариант. Делаем внутренний микросервис, который хранит ключ, и генерирует хэш из пароля и соли. Таким образом, если апликуху с юзерами хакнули и стырили базу с солью и хэшем, то они не смогут получить ключ. Но обычно ключ хранится в апликухе с юзерами, так что такой ключ заполучить вполне возможно при взломе.
@kartezist
@kartezist 4 жыл бұрын
11:33 прочитали о соли, но не правильно поняли и стали наркоманами
@vu4er
@vu4er 9 жыл бұрын
Если по предложенному Вами способу генерировать разную соль для разных логинов, то эту соль же надо где то хранить? А если известен логин и соль, то даже при хэшировании разве нельзя восстановить пароль?
@VladimirMozhenkov
@VladimirMozhenkov 9 жыл бұрын
+vu4er Смотрите, если у вас 1 соль, то я начинаю генерировать хеши и сразу проверяю всех ваших пользователей. А если соль разная, то мне надо будет увеличить свои усилия в столько раз, сколько у вас пользователей. А на счёт восстановления, нет. Если хеш хороший, то это почти невозможно. P.S. Посмотрите вторую обновлённую версию этого видео: kzbin.info/www/bejne/gqGsYqltgL6WZrM
@АсенькаАлей
@АсенькаАлей 4 жыл бұрын
Я, как пользователь, обхожу стороной сайты, которые мне предлагают логиниться через мои соцсети, а уж тем более, через мою почту)
@i2YouOrg
@i2YouOrg 4 жыл бұрын
Привет от Covid 2020 ;)
@solowey
@solowey 9 ай бұрын
Спасибо!
@david_shiko
@david_shiko 5 жыл бұрын
В чем проблема сделать хэш по логину + паролю. Сайт не даст создать 2 одинаковых логина, поэтому итоговая строка, как и хэш, будут уникальными, нет?
@АлександрБобер-у4х
@АлександрБобер-у4х 6 жыл бұрын
Привет из 2018 :-)
@sergeykkk8681
@sergeykkk8681 7 жыл бұрын
Здравствуйте! Функция PWDENCRYPT в ms sql возвращает разные хеши для одного и того же пароля. Однако, PWDCOMPARE возвращает истину при сравнении запрашиваемого пароля и соответствующего ему хеша. Как это работает?
@pazukpazukowicz3102
@pazukpazukowicz3102 4 жыл бұрын
Привет из будущего. Сейчас 2020-й год. Java 15 и мир охвачен глобальной пандемией.
@shamkhan2636
@shamkhan2636 3 жыл бұрын
7 лет прошло. Одна неясность. Если каждый раз новая соль, то как вообще проверяеться пароль в следующий раз? Откуда восстановить ту изначальную соль именно для этого пароля?
@ibnkhaleed
@ibnkhaleed 3 жыл бұрын
Привет из 2021!
@ИльяПопов-ф4ь
@ИльяПопов-ф4ь 3 жыл бұрын
привет из 2020
@worldofsoftware8219
@worldofsoftware8219 5 жыл бұрын
Благодарю
@lisafox9026
@lisafox9026 4 жыл бұрын
google mail тоже так делает, легко поменять пароль на нем, и многие так делают и что делать?
@hanneldays4010
@hanneldays4010 3 жыл бұрын
Здравствуйте спасибо за видео. Первое видео которое смотрела с данной темой. С месяц назад писала сайт интернет магазин была курсовая по Веб разработке выполняла записывала в БД как имя и пароль и даже не подумала. Но по видео я не поняла минус Соли где одна соль на весь сайт
@xoxot_shamana
@xoxot_shamana 2 жыл бұрын
Минус такого подхода - одинаковые хеши у одинаковых паролей.
@MrDeylik
@MrDeylik 5 жыл бұрын
Расскажите про двухфакторную аутентификацию пожалуйста.
@greezlock7291
@greezlock7291 9 жыл бұрын
Здравствуйте, Владимир! Подскажите, пожалуйста, есть ли какой смысл от хеша повторно генерировать второй хеш и так до N повторений? Ведь взломщику не будет известно, на сколько уровней был прохеширован изначально пароль :)
@VladimirMozhenkov
@VladimirMozhenkov 9 жыл бұрын
Соблазненный разумом Смысл есть. И сейчас это делается автоматически: kzbin.info/www/bejne/gqGsYqltgL6WZrM
@viptutorials
@viptutorials 3 жыл бұрын
Привет из 2021
@sashasashovic91
@sashasashovic91 8 жыл бұрын
почему вы не сказали не чего про SHA512?
@sdfsdfgs
@sdfsdfgs 9 жыл бұрын
Пособия для хакеров))
@dmytroskydanenko5106
@dmytroskydanenko5106 4 жыл бұрын
Ха) 2020 :)
@ImagineState
@ImagineState 10 жыл бұрын
Если получить доступ к базе акк-хеш-соль, разве не получится восстановить исходный пароль. SHA256_Decrypt(SHA256_Encrypt(PWD XOR SALT)) == PWD XOR SALT (PWD XOR SALT) XOR SALT == PWD ???
@VladimirMozhenkov
@VladimirMozhenkov 9 жыл бұрын
Максим Шишиморов Хеш нельзя обратить обратно по определению. Если было-бы можно, то это стало-бы самым лучшим методом компрессии, так как хеш всегда генерирует определённую длинну, для *любой* длинны данных. То есть вы могли-бы взять файл 5 петабайт, прохешировать с помощью SHA256 например и получить 256 байт, а затем "разшифровать" их обратно.
@ImagineState
@ImagineState 9 жыл бұрын
Vladimir Mozhenkov благодарю, действительно что то неподумал о не обратимости.
@grv1621
@grv1621 10 жыл бұрын
Если я правильно понял то даже когда я генерирую сложный пароль к примеру keepass-ом для своей почты а другие пользователи используют к примеру 1234 то они подвергают опасности всех включая меня ?
@VladimirMozhenkov
@VladimirMozhenkov 10 жыл бұрын
В некоторых ситуациях это так, но тут я об этом не говорил. Представим себе ситуацию где соль на весь сайт одна (плохой подход, который я описал), в этом случае если кто-то получил доступ к БД, то каждый последующий одинаковый пароль будет ставить под больший и больший удар всех кто этот пароль использует. Ведь становится более и более очевидно, что это очень простой пароль.
@grv1621
@grv1621 10 жыл бұрын
Vladimir Mozhenkov спасибо !
@binartv13
@binartv13 8 жыл бұрын
Класс Подписка
@xoxot_shamana
@xoxot_shamana 2 жыл бұрын
Почему не sha256( sha256($login).$password) ?
@АлексейДолматов-м3я
@АлексейДолматов-м3я 3 жыл бұрын
2021 )
@EpisodeAST
@EpisodeAST 10 жыл бұрын
А где хранить соль? Не в той же таблице по соседству с паролем
@VladimirMozhenkov
@VladimirMozhenkov 10 жыл бұрын
Евгений Мокрушин Да. Соль хранится в базе, но не по соседству с паролем, так как пароль *вообще не хранится* а рядом с *хешем* пароля+соли.
@eternal_wanderer_ru
@eternal_wanderer_ru 9 жыл бұрын
Сейчас для php 5.5 и новее, есть функция password_hash(). Она сама генерирует соль, для одного пароля всегда разный хеш
@VladimirMozhenkov
@VladimirMozhenkov 9 жыл бұрын
Александр Сидоров Да. Именно про это я и записал другое видео: kzbin.info/www/bejne/gqGsYqltgL6WZrM
@eternal_wanderer_ru
@eternal_wanderer_ru 9 жыл бұрын
а, не заметил его. Спасибо, полезно для многих будет!
@кириллфилиппов-п5ь
@кириллфилиппов-п5ь 8 жыл бұрын
2017 год
@SuperKurt999
@SuperKurt999 8 жыл бұрын
спасибо
@VladimirMozhenkov
@VladimirMozhenkov 8 жыл бұрын
+саша курило Обязательно посмотрите продолжение: kzbin.info/www/bejne/gqGsYqltgL6WZrM
@lisafox9026
@lisafox9026 4 жыл бұрын
очень многие сайты требуют адрес эл почты, я не совсем понимаю о чем тут речь
@aquawitty
@aquawitty 3 жыл бұрын
ку из 21
@DYADYA_LENYA
@DYADYA_LENYA Жыл бұрын
Привет из 22))
@LetspalyLife
@LetspalyLife 9 жыл бұрын
Ктулху)
@КимЧенОрк
@КимЧенОрк 2 жыл бұрын
Первый из 2022
@МихайлоАбрамов-й8щ
@МихайлоАбрамов-й8щ 3 ай бұрын
2024
@0867532
@0867532 9 жыл бұрын
ну а если мне насрать на сайт, на котором я зарегался? Ломанут, и хрен с ним.(и почта специальная есть)
@VladimirMozhenkov
@VladimirMozhenkov 9 жыл бұрын
G0867532 Это видео для разработчиков сайтов. Я думаю, что разработчик не хочет, чтобы у него регистрировались только люди, которым всё равно если у них всё взломают.
@CoricComPlus
@CoricComPlus 8 жыл бұрын
Просмотрел видео до 8:17 - при всем уважении к Владимиру - все это правильно, но носит чисто теоретический характер. Во-первых, насчет хэшей: если и произошла утечка бэкапа, то пароль (вернее, то значение, которое дает тот же хеш) - ломается по радужным таблицам (гугл в помощь), причем весьма успешно (даже GSM трафик не устоял) Во-вторых, вопрос безопасности должен решаться инфраструктурно, а не декларативно кодом, чтобы иметь физическое ограничение, а не логическое. Например, такое решение, когда база данных - за VPN, SQL сервер имеет только приватный IP, и во внешний мир не смотрит, далее, на базе стоит шифрование критических полей (пароли, номера кредитных карт) симметричным ключом, private key которого находится на сервере - даже если и стырить бэкап, то без оригинального master key на SQL сервере, экспорт которого невозможен - будут одни NULL. Так что данный инфраструктурный пример позволяет и 123 в явном виде хранить в базе - но только он зашифрован на уровне базы. Без VPN - никак сырой запрос не послать. А стырить бэкап - смысла нет никакого. Вариант с коррумпированным DBA мы не рассматриваем - они и так получают достаточно хорошо, чтобы не ввязываться во всякие сомнительные аферы (особенно, при настроенном аудите :)
@VladimirMozhenkov
@VladimirMozhenkov 8 жыл бұрын
+Anton Lozovsky Вы не правы. kzbin.info/www/bejne/gqGsYqltgL6WZrM
@CoricComPlus
@CoricComPlus 8 жыл бұрын
+Vladimir Mozhenkov Блаблабла от философствующего теоретика. Пук в лужу. В чем не прав? Потрудитесь объясниться конкретнее. Мой СУБД кластер, под MS SQL 2014 живет на 10.120.81.113. Потрудитесь взломать пароли, плиз :) На досуге, можете нагуглить о стандарте PCI DSS
Запись паролей в Базе Данных
17:52
Volodya Mozhenkov
Рет қаралды 9 М.
黑的奸计得逞 #古风
00:24
Black and white double fury
Рет қаралды 28 МЛН
Нормализация в базе данных
15:14
Volodya Mozhenkov
Рет қаралды 101 М.
Кардинальность в базе данных
10:25
Volodya Mozhenkov
Рет қаралды 19 М.
JWT авторизация. Основы JWT - механизма.
6:45
Хочу вАйти
Рет қаралды 14 М.
Что называется хешированием?
15:30
Volodya Mozhenkov
Рет қаралды 32 М.
Типы ключей в базе данных
12:30
Volodya Mozhenkov
Рет қаралды 74 М.
Когда стоит создавать индекс?
8:52
Volodya Mozhenkov
Рет қаралды 50 М.
Хеш Карта
11:54
Volodya Mozhenkov
Рет қаралды 29 М.
Деревья и их подкласс Бинарные деревья
10:08