[ nikoladsp @ 25.12.2007. 13:19 ] @
|
| pozdrav,
imam potrebu da kreiram neke klase za password policy.
osnovni zahtevi su:
1. da je password korisnika hashovan i cuva se u bazi podataka (recimo obican md5 hash bez salt-a)
2. korisnik ne sme da koristi password koji je vec koristio
3. korisnik ne sme da koristi password slican prethodnom
ono sto mi je trenutno problem je stavka 3 - jer ako sacuvam samo hash passworda, gubim originalni pass i ostajem bez mogucnosti da proverim koliko su stari i novi pass slicni/razliciti.
moje pitanje je kako ovo prevazici? moram da koristim iskljucivo C++ i ne smem da "nalegnem" na OS u smislu da koristim neki sistemski API jer resenje mora da bude cross-platform.
takodje me interesuje dali potencijalno resenje moze da bude genericko, u smislu da ne bude vezano za jedan algoritam, vec da se koriste npr neke korelacije ili sl...
unapred zahvalan |
[ EArthquake @ 26.12.2007. 16:32 ] @
prakticno nemoguce
jedna od potrebnih osobina za siguran kripto sistem jeste da za malu promenu plaintext-a dobijes veliku promenu cyphertext-a
[ nikoladsp @ 27.12.2007. 07:46 ] @
ocekivan odgovor
onda ostaje pitanje kako implementirati fukcionalnost da korisnik ne moze da unese password slican prethodnom ako nisam sacuvao prethodni kao clear-text?
verovatno bi morao da implementiram vlastiti algoritam za kript/enkript passworda,ali mi se to ne dopada...zna li neko nesto o ovoj tematici?
10x
[ EArthquake @ 27.12.2007. 11:27 ] @
paaaa mozes recimo da ga snimis ne kao plain text vec kao enkriptovani tekst ali ne nekom one way hash funkcijom , nego nekim postojecim kripto sistemom
i da ga onda po potrebi dekriptujes kad hoces da vrsis uporedjivanje
nikako nebih savetovao pravljenje sopstvenog sistema za to , iskoristi neki vec postojeci
recimo , pogledaj kako programi koji ti daju mogucnost da zapamte sifru za nesto rade to
oni ne mogu tu zapamcenu sifro da snime kao hash , jer moraju posle da je upotrebe kao plain text
stvarno ne znam kako to tacno funkcionise , nisam nikada gledao
ali je verovatno neki vec dobro poznati sistem za enkripciju stim sto ima staticni kljuc
malcice sam razmisljao na temu ,
pojedini sofveri koji to rade , cuvaju sifre u plain text obliku ali postavljaju neku vrstu access control liste tako da samo pojedinci
mogu da pristupe siframa , opet nisam siguran koliko je to dobro ...
[Ovu poruku je menjao EArthquake dana 27.12.2007. u 12:59 GMT+1]
[Ovu poruku je menjao EArthquake dana 27.12.2007. u 13:06 GMT+1]
[ nikoladsp @ 28.12.2007. 07:19 ] @
hvala na odgovoru.
verovatno cu ubaciti public-private key funkcionalnost, pa ce korisnik svojim privatnim kljucem kriptovati lozinke i cuvati ih kod sebe na disku, tako da ce samo on moci da ih dekriptuje (naravno osim ako mu neko ne provali u racunar i pokupi kljuceve
). ako naidjem na neko bolje resenje, postovacu ovde ako nekog zanima.
poz
nikola
Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.