[ sadux @ 04.06.2006. 19:15 ] @
Nesto sam razmisljao o cuvanju pass-a..
Koji je najsigurniji nacin?da li pass cuvati u bazi ili napraviti poseban fajl za to,ili u nekoj promenljivoj ili konstanti ako je moguce..

Naravno,u pitanju je desktop aplikacija u koju se moze pristuipiti samo passwordom?

Interesuje me uopsteno misljenje,gde se obicno cuvaju lozinke i koje je najbolje resenje..
[ blaza @ 04.06.2006. 21:16 ] @
Najbolje je cuvati generisanu hash vrednost za dati password, a ne sam password.
http://en.wikipedia.org/wiki/Cryptographic_hash_function itd.
[ spartak @ 05.06.2006. 11:56 ] @
Najbolje resenje ti je hash-ovan pa salt-ovan password u bazi (ako ti app vec koristi bazu). Minimum MD5.
[ sadux @ 06.06.2006. 12:51 ] @
Ali ipak mora da se smesta u bazu,jel tako?
Tu postoji risik da neko pokupi tu bazu..Zato sam i pitao..Kad je pass u nekoj promenljivoj,tj u samoj aplikaciji onda je teze..
Pretpostavka da mi app ne koristi bazu podataka,sta onda?
[ Oliver Klaćik @ 06.06.2006. 17:51 ] @
Pa, možeš da sačuvaš hash u application settings...

Samo, da znaš, kada koristiš hash i korisnik izgubi/zaboravi password, ne možeš dobiti vrednost password-a iz hash-a, nego moraš to rešiti preko nekog pitanja/odgovora, kao na većini web sajtova...
[ spartak @ 06.06.2006. 19:24 ] @
Citat:
sadux: Ali ipak mora da se smesta u bazu,jel tako?

Ma mozes ti da smestas i u text file ako hoces.

Citat:
sadux: Tu postoji risik da neko pokupi tu bazu..

I sta ce da uradi kad pokupi bazu? Dobije gomilu kombinacija username/19087ACMR478MC864CGJ904CGG23HV sa kojima ne moze nista posto da bi koristio aplikaciju treba kao login parametar da posalje vrednost od koje je to nastalo (password), a ne to sto je dobio sa bazom. A sta aplikacija uradi da bi nastala ta vrednost bi i mogao da provali iz nekog dll, kad bi do njega dosao - ali tada bi ti ni passwordi u aplikaciji ne bi bili bezbedniji.

E ovo sto ti je Oliver rekao je tacno. Kod jednosmernog kriptovanja korisniku koji je zaboravio pass, ne moze da se vrati stari. Mozes samo da mu ga pregazis i da dobije novi.

Ali imas i dvosmernu funkcionalnost crypt/decript, google pa vidi.
[ kaan @ 07.06.2006. 01:03 ] @
Definitivno has-uj, a na zahtjev za password generisi novi koji ces mu poslati na email adresu registrovanu za taj account i ponuditi korisniku da isti promjeni prvi prvom logovanju.

KAAN
[ mmix @ 07.06.2006. 11:58 ] @
Citat:
sadux: Ali ipak mora da se smesta u bazu,jel tako?
Tu postoji risik da neko pokupi tu bazu..?


Ne znam sto se pri analizi ovakvih stvari (password storage policy) ovo uopste uzima u obzir. Za 99% aplikacija/sajtova/cega bilo, passwordi i sluze da se korisnicima ogranici pristup bazi i zastite osetljivi podaci. Ako neko pokupi celu bazu onda vec ima pun pristup svim podacima i ne mora ni da se trudi da razbija hash-ove .
Samo ako imas aplikaciju u kojoj poznavanje tudjih passworda moze da dovede do trajne stete i gubitka posla, kao sto je na primer e-Banking ili e-Commerce sajt onda se brine o zastiti baze, ali se i tada to resava na drugaciji nacin (limitran pristup serveru, firewalli, access audit, itd).