Toggle sidebar
  • Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Domanda Hashing Password

0

0101OSX

Nuovo utente
Autore del topic
25 Febbraio 2019
7
16
Miglior risposta
0
ciao a tutti volevo parlare/esporre un quesito riguardante la web security degli account. Ovvero analizzare il processo di login a un sito; credo che molti di noi sappiamo che per garantire la privacy quando si fa l’accesso a un sito la password viene hashata, ovvero il sito in questione conserva la mia password sotto forma di hash (non in chiaro) e quando io faccio l’accesso viene fatto l’hash della mia password e se corrispondi mi viene dato l’accesso al sito. Detto questo è da un po’ che mi chiedevo “se un cracker riesce a bucare il sito e a modificare il processo di login rimuovendo la parte dell’hashing in teoria potrebbe avere l’accesso e vanificherebbe tutto questo lavoro di sicurezza informatica?, ora io credo che il processo sia studiato in modo che se manca la parte di hashing della password di conseguenza non si riesca comunque ad avere l’accesso. Se qualcuno ne sa più di me mi farebbe piacere saperne di più, sono anni che mi frulla in testa questa curiosità, mentre annuendo risposte ringrazio tutti per un eventuale aiuto
 
0101OSX ha detto:
ciao a tutti volevo parlare/esporre un quesito riguardante la web security degli account. Ovvero analizzare il processo di login a un sito; credo che molti di noi sappiamo che per garantire la privacy quando si fa l’accesso a un sito la password viene hashata, ovvero il sito in questione conserva la mia password sotto forma di hash (non in chiaro) e quando io faccio l’accesso viene fatto l’hash della mia password e se corrispondi mi viene dato l’accesso al sito. Detto questo è da un po’ che mi chiedevo “se un cracker riesce a bucare il sito e a modificare il processo di login rimuovendo la parte dell’hashing in teoria potrebbe avere l’accesso e vanificherebbe tutto questo lavoro di sicurezza informatica?, ora io credo che il processo sia studiato in modo che se manca la parte di hashing della password di conseguenza non si riesca comunque ad avere l’accesso. Se qualcuno ne sa più di me mi farebbe piacere saperne di più, sono anni che mi frulla in testa questa curiosità, mentre annuendo risposte ringrazio tutti per un eventuale aiuto
Clicca per espandere...

Se qualcuno modifica il processo di login, tutti gli utenti registrati in precedenza non possono accedere al sito.
Quando tu cripty una password in SHA1 ( esempio ), confronti le due passowrd in SHA1, invece, se dovessi modificare il processo ( quindi togliendo la criptazione ) lui confronta PASSWORD NON CRIPTATA con la PASSWORD CRIPTATA in fase di registrazione.

Ma anche se fosse, te ne accorgi subito se è stato fatto qualcosa al login.
Spero sia stato chiaro.
 
ti ringrazio della risposta è si questo mi è chiaro, però al cracker cosa gli è ne importerebbe se gli altri non possono più fare l’accesso, l’importante è che lui ottenga i dati che voglia in quel momento.

Il punto è che quindi è fattibile questo tipo di attacco ho ipotizzato una cosa corretta ?
 
0101OSX ha detto:
ti ringrazio della risposta è si questo mi è chiaro, però al cracker cosa gli è ne importerebbe se gli altri non possono più fare l’accesso, l’importante è che lui ottenga i dati che voglia in quel momento.

Il punto è che quindi è fattibile questo tipo di attacco ho ipotizzato una cosa corretta ?
Clicca per espandere...

Non capisco cosa se ne faccia il cracker delle password criptate...

L'attacco è fattibile, ma non ha alcun senso modificare il processo del login.
 
Aqui10 ha detto:
0101OSX ha detto:
ti ringrazio della risposta è si questo mi è chiaro, però al cracker cosa gli è ne importerebbe se gli altri non possono più fare l’accesso, l’importante è che lui ottenga i dati che voglia in quel momento.

Il punto è che quindi è fattibile questo tipo di attacco ho ipotizzato una cosa corretta ?
Clicca per espandere...

Non capisco cosa se ne faccia il cracker delle password criptate...

L'attacco è fattibile, ma non ha alcun senso modificare il processo del login.
Clicca per espandere...

provo a spiegarti cosa intendo.

-Io cracker buco il sito è prendo le password criptate (inutili)
- modifico il processo di login togliendo l’hashing delle password
-a questo punto per fare il login metto la password criptata, il sito confronta la password con quella nel database (che è criptata), quindi a questo punto corrispondono e ho l’accesso all’account in questione
 
0101OSX ha detto:
Aqui10 ha detto:
0101OSX ha detto:
ti ringrazio della risposta è si questo mi è chiaro, però al cracker cosa gli è ne importerebbe se gli altri non possono più fare l’accesso, l’importante è che lui ottenga i dati che voglia in quel momento.

Il punto è che quindi è fattibile questo tipo di attacco ho ipotizzato una cosa corretta ?
Clicca per espandere...

Non capisco cosa se ne faccia il cracker delle password criptate...

L'attacco è fattibile, ma non ha alcun senso modificare il processo del login.
Clicca per espandere...

provo a spiegarti cosa intendo.

-Io cracker buco il sito è prendo le password criptate (inutili)
- modifico il processo di login togliendo l’hashing delle password
-a questo punto per fare il login metto la password criptata, il sito confronta la password con quella nel database (che è criptata), quindi a questo punto corrispondono e ho l’accesso all’account in questione
Clicca per espandere...

Allora, ti vedo abbastanza confuso.
Attacchi del genere sono possibili, ma generalmente molto rari. Un sito importante solitamente prende delle misure di sicurezza abbastanza forti, sia per garantire la privacy degli utenti che per garantire la funzionalità stessa del servizio offerto.
Detto questo, un attacco di questo tipo sarebbe molto grave, molto probabilmente manderebbe in fallimento il sito web stesso, in quanto se un utente riuscisse ad ottenere l'accesso ai server e a modificarne le risorse molto probabilmente riuscirebbe in maniera abbastanza semplice anche ad ottenere tutti i dati che vuole, senza doversi preoccupare di fare modifiche particolari.
Il fatto che la password degli utenti sia cryptata non assicura assolutamente nulla, in quanto spesso le password più deboli vengono registrate all'interno di dizionari, però è una misura in più e fondamentale.
Resta comunque il fatto che tutti i dati personali salvati dal sito verrebbero presi comunque.
Ripeto però, sarebbe un caso veramente rarissimo, soprattutto se parliamo di siti web importanti, sviluppati da professionisti.
 
Lex007 ha detto:
0101OSX ha detto:
Aqui10 ha detto:
0101OSX ha detto:
ti ringrazio della risposta è si questo mi è chiaro, però al cracker cosa gli è ne importerebbe se gli altri non possono più fare l’accesso, l’importante è che lui ottenga i dati che voglia in quel momento.

Il punto è che quindi è fattibile questo tipo di attacco ho ipotizzato una cosa corretta ?
Clicca per espandere...

Non capisco cosa se ne faccia il cracker delle password criptate...

L'attacco è fattibile, ma non ha alcun senso modificare il processo del login.
Clicca per espandere...

provo a spiegarti cosa intendo.

-Io cracker buco il sito è prendo le password criptate (inutili)
- modifico il processo di login togliendo l’hashing delle password
-a questo punto per fare il login metto la password criptata, il sito confronta la password con quella nel database (che è criptata), quindi a questo punto corrispondono e ho l’accesso all’account in questione
Clicca per espandere...

Allora, ti vedo abbastanza confuso.
Attacchi del genere sono possibili, ma generalmente molto rari. Un sito importante solitamente prende delle misure di sicurezza abbastanza forti, sia per garantire la privacy degli utenti che per garantire la funzionalità stessa del servizio offerto.
Detto questo, un attacco di questo tipo sarebbe molto grave, molto probabilmente manderebbe in fallimento il sito web stesso, in quanto se un utente riuscisse ad ottenere l'accesso ai server e a modificarne le risorse molto probabilmente riuscirebbe in maniera abbastanza semplice anche ad ottenere tutti i dati che vuole, senza doversi preoccupare di fare modifiche particolari.
Il fatto che la password degli utenti sia cryptata non assicura assolutamente nulla, in quanto spesso le password più deboli vengono registrate all'interno di dizionari, però è una misura in più e fondamentale.
Resta comunque il fatto che tutti i dati personali salvati dal sito verrebbero presi comunque.
Ripeto però, sarebbe un caso veramente rarissimo, soprattutto se parliamo di siti web importanti, sviluppati da professionisti.
Clicca per espandere...

ti ringrazio della risposta, riassumo per darti un feedback e vedere se ho capito bene. La cosa importante per me è capire se ho partorito un'idea completamente sbagliata oppure se ho capito bene come funzionano i processi di login, detto questo capisco quello che intendi, tu giustamente dici, se una persona riesce ad entrare a un livello così profondo del sito web in questione non gli servirebbe neanche fare quel magheggio, perché i dati a quel punto se li scaricherebbe direttamente dal server; Quindi sta al sito web difendersi in modo da non poter far effettuare queste modifiche così esagerate. Comunque allora la mia idea iniziale non è sbagliata, mettendo caso che il cracker in questione riuscisse ad avere accesso a server in modo da poter modificare il processo di login quello che ho pensato io funzionerebbe.

Voglio capire bene questa cosa perchè mi sembrava troppo "semplice" l'operazione e quindi pensavo ci fosse qualche tecnica che non sapevo, che so io magari modificando il processo di login non si riusciva più ad ottenere l'accesso agli account perchè veniva a mancare una parte della procedura o cose del genere.
 
0101OSX ha detto:
Aqui10 ha detto:
0101OSX ha detto:
ti ringrazio della risposta è si questo mi è chiaro, però al cracker cosa gli è ne importerebbe se gli altri non possono più fare l’accesso, l’importante è che lui ottenga i dati che voglia in quel momento.

Il punto è che quindi è fattibile questo tipo di attacco ho ipotizzato una cosa corretta ?
Clicca per espandere...

Non capisco cosa se ne faccia il cracker delle password criptate...

L'attacco è fattibile, ma non ha alcun senso modificare il processo del login.
Clicca per espandere...

provo a spiegarti cosa intendo.

-Io cracker buco il sito è prendo le password criptate (inutili)
- modifico il processo di login togliendo l’hashing delle password
-a questo punto per fare il login metto la password criptata, il sito confronta la password con quella nel database (che è criptata), quindi a questo punto corrispondono e ho l’accesso all’account in questione
Clicca per espandere...


-a questo punto per fare il login metto la password criptata, il sito confronta la password con quella nel database (che è criptata), quindi a questo punto corrispondono e ho l’accesso all’account in questione

La persona dovrebbe modificare il metodo di criptazione della password, anzi toglierlo proprio, a quel punto potrebbe entrare e inserire come password la stringa cryptata nel database.

N.B: non sono sicuro che tutto ciò funziona ( cioè che viene autenticato ), secondo la logica dovrebbe.
Perché il procedimento basilare è questo:
- PASSWORD INSERITA NELL'INPUT -> CRYPTA LA PASSWORD -> CONFRONTA LA PASSWORD CRYPTATA DELL'INPUT CON LA PASSWORD CRYPTATA PRESENTE NEL DATABASE, SE DOVESSE SODDISFARE QUESTA CONDIZIONE ALLORA DA' L'OK PER AUTENTICARLO.

Comunque ci sono tante tecniche per sviluppare un metodo di login.
Per esempio ,In alcuni progetti J2EE, utilizzo i TOKEN, password cryptata e ruoli utenti...
 
Esattamente, hai centrato in pieno quello che intendevo, in teoria dovrebbe funzionare. Quindi questo sistema è tanto “sicuro” quanto vulnerabile, se basta solo cambiare il processo di login

beh con altri metodi tipo token o altro la cosa si fa più sofisticata, però se un utente non è mai andato su quel sito e non ho nulla sul computer (token,collie ecc) che possano dare un ulteriore conferma all’autenticazione ci vuole sempre il solito metodo.
 
Forse non mi sono espresso bene. L'hashing delle password serve unicamente per assicurare la privacy dell'utente. Se un utente utilizza la stessa password su diversi dispositivi/siti web, chiunque avrebbe accesso a tale informazione avrebbe l'accesso a tutte le piattaforme usate dall'utente.
Il login puoi proprio rimuoverlo, fare un sistema dove inserisci l'username e ti convalida l'accesso, l'uso di qualsiasi misura di sicurezza è inutile se l'utente ha pieno accesso ai server.
 
  • Like
Reactions: 0101OSX
Vero anche questo non ci avevo pensato a vederla come l’hai spiegata tu. Beh A questo punto l’hashing delle password serve fino certo. Ovvero solo in caso l’attacker riesca A rubare una lista di password crittate. anche perché la cosa più semplice è fare leva sull’utente stesso, oppure usare altri metodi per rubargli la password in chiaro (phishing, app fake, fake login ecc)
 
Devi accedere o registrarti per rispondere qui.
 
 
Top
Indietro