Vydělávej až 160.000 Kč měsíčně! Akreditované rekvalifikační kurzy s garancí práce od 0 Kč. Více informací.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze: hashování hesel a kontrala při zapomenutí

Aktivity
Avatar
Zdeněk Pavlátka:6.6.2014 20:43

Rád bych věděl, kterou hashovací funkci považujete za nejbezpečnější a proč. Také bych potřeboval poradit, jak ověřit uživatele, který heslo zapoměl, bez použití připojení k internetu (e-maily apod. - jedná se o android aplikaci)

Odpovědět
6.6.2014 20:43
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
Silvinios
Tvůrce
Avatar
Odpovídá na Zdeněk Pavlátka
Silvinios:6.6.2014 22:04

Záleží na tom, k čemu chceš hashovací funkci použít. V případě hashování hesel je také důležité použít sůl. Mohl bys prosím trochu nastínit, jak aplikace funguje? Proti čemu se snažíš chránít? Jak s tím souvisí připojení k internetu?

 
Nahoru Odpovědět
6.6.2014 22:04
Avatar
Odpovídá na Silvinios
Zdeněk Pavlátka:7.6.2014 7:52

Se solí rozhodně počítám. Jde o uchování hesel v souboru / databázi pro přihlášení. V aplikaci jsou data typu čísel bankovních účtů, proto zaheslování, ale tu hashovací funkci budu potřebovat i později na svých webových stránkách. Teď potřebuji, aby aplikace plně fungovala bez připojení k internetu.

Nahoru Odpovědět
7.6.2014 7:52
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
Odpovídá na Zdeněk Pavlátka
Neaktivní uživatel:7.6.2014 10:53

Slo by to napriklad pomoci kontrolnich otazek na datum narozeni, vek (pokud takove info mas)

Nahoru Odpovědět
7.6.2014 10:53
Neaktivní uživatelský účet
Avatar
Zdeněk Pavlátka:10.6.2014 20:12

Jakou hashovací funkci bych tedy měl použít?

Nahoru Odpovědět
10.6.2014 20:12
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
Odpovídá na Zdeněk Pavlátka
Neaktivní uživatel:10.6.2014 20:19

V současné době se nejvíce používá hash SHA-1 a všechny další SHA-* algoritmy. Já osobně používám SHA512.

Nahoru Odpovědět
10.6.2014 20:19
Neaktivní uživatelský účet
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Zdeněk Pavlátka
mkub:12.6.2014 3:15

ukladaniedat pomocou suborov je dost neprakticke, musel by si to rucne osetrovat a aj dost nevykonne
radsej by som na ulozenie udajov zvolil nejaku databazu (napr. MS SQL, PostgreSQL, MySQL/MariaDB,...)

co sa tyka hashovacich funkcii, tak by som pouzil SHA-* + sol pre zabezpecenie bezpecnosti ulozenych udajov,
co sa tyka ochrany hesla proti zabudnutiu, tak to mozes osetrit pomocou otazok, ktore si zvoli pri registracii, alebo v nastaveniach aplikacie, ale tu by som to neriesil vo forme offline, ale v online, lebo tie odpovede by nemali byt obsiahnute v aplikacii kvoli bezpecnosti, ale na serveri by sa to malo overit...

cize sa nezaobites bez client-server architektury

 
Nahoru Odpovědět
12.6.2014 3:15
Avatar
Odpovídá na mkub
Zdeněk Pavlátka:12.6.2014 8:40

Na Androidu lze používat SQLite, které budu využívat. A znovu upozorňuji, že aplikace musí fungovat bez připojení k internetu. Jde o malou databázi lidí, kam si uživatel ukládá informace o nich (e-maily, telefoní čísla, bankovní čísla). Aplikace má být chráněná heslem.

Nahoru Odpovědět
12.6.2014 8:40
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Zdeněk Pavlátka
mkub:12.6.2014 9:08

a ziadny centralny server pre klientske zariadnia zalozene na Androide? myslis, ze ked cela funkcnost (overovanie heslom, overenie pri zabudnuti heslom) ak bude obstaravat iba klientska cast bude bezpecna? skus nad tym pouvazovat este raz nad tym, co riesis ohladne bezpecnosti...
a navyse ta aplikacia by musela medzi tymi zariadeniami zdielat obrovske mnozstvo dat...

sice netvrdim, ze by to neslo, ale tu sa straca vyznam databzoveho servera ako centralneho uloziska a tym padom aj upada na bezpecnosti toho zariadenia

 
Nahoru Odpovědět
12.6.2014 9:08
Avatar
Odpovídá na mkub
Zdeněk Pavlátka:12.6.2014 9:15

Aplikace nic nesdílí mezi zařízeními, vše má u sebe.

Nahoru Odpovědět
12.6.2014 9:15
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
Odpovídá na Zdeněk Pavlátka
Luboš Běhounek Satik:12.6.2014 9:17

Pokud budeš nějaká data ukládat lokálně a zamykat přístup k nim heslem, pak je musíš i nějak šifrovat (ideálně tím heslem), jinak se ti tam někdo nabourá i bez hesla. Výhodou pak je, že heslo nemusíš mít nikde uložené, ale nevýhodou, že to heslo není možné obnovit při zapomenutí.

Nahoru Odpovědět
12.6.2014 9:17
https://www.facebook.com/peasantsandcastles/
Avatar
Odpovídá na Luboš Běhounek Satik
Zdeněk Pavlátka:12.6.2014 9:24

Data budou šifrovaná určitě, ale ne přihlašovacím heslem. To bude umístěné někde zvlášť jako hash + sůl. A při zapomenutí se zobrazí nějaká kontrolní otázka.

EDIT: moderátor může diskuzi uzavřít, už vím vše co potřebuji

Editováno 12.6.2014 9:25
Nahoru Odpovědět
12.6.2014 9:24
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Zdeněk Pavlátka
mkub:12.6.2014 12:55

bezpecnejsie je ukladat tie informacie niekde na serveri vratane odpovede
a co sa tyka sifrovacieho, ci hashovacieho algorytmu, tak nie vsetky udaje sa oplatia sifrovat... a jedine z hesla sa generuje hash
co sa tyka kontrolnej otazky, tak tu by sa mala posielat zo servera na tenky klient v pripade potreby a odpoved by mala byt ulozena v databazi a k databazi zamedzit pristup nepovolanym osobam zabranou, neprestrelnymi dvermi,...

takymto sposobom klientska cast nemusel vykonavat celu tu funkcnu cast a aj keby bolo to zariadenie ukradnute a majitel informuje, bude sa dat centralne bloknut ten ucet a zariadenie vyradit z celeho systemu

 
Nahoru Odpovědět
12.6.2014 12:55
Avatar
Odpovídá na mkub
Zdeněk Pavlátka:12.6.2014 13:41

Ještě jednou opakuji, že aplikace nefunguje jako server-klient. Je na jednom zařízení oddělená od zbytku světa.

Nahoru Odpovědět
12.6.2014 13:41
Kolik jazyků umíš, tolikrát jsi programátor.
Avatar
mkub
Tvůrce
Avatar
Odpovídá na Zdeněk Pavlátka
mkub:12.6.2014 14:48

jaj tak.. az teraz som ta pochopil... chce urobit nieco ako su tie aplikacie, ktore ukladaju hesla k sluzbam? nieco ako schranku na udaje?

 
Nahoru Odpovědět
12.6.2014 14:48
Avatar
Odpovídá na mkub
Zdeněk Pavlátka:12.6.2014 15:52

Přesněji řečeno takový "adresář". Seznam lidí s kontakty na ně, který si můžeš vzít kamkoli.

Nahoru Odpovědět
12.6.2014 15:52
Kolik jazyků umíš, tolikrát jsi programátor.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 16 zpráv z 16.