Diskuze: hashování hesel a kontrala při zapomenutí
V předchozím kvízu, Online test znalostí Java, jsme si ověřili nabyté zkušenosti z kurzu.
Tvůrce
Zobrazeno 16 zpráv z 16.
V předchozím kvízu, Online test znalostí Java, jsme si ověřili nabyté zkušenosti z kurzu.
Záleží na tom, k čemu chceš hashovací funkci použít. V případě hashování hesel je také důležité použít sůl. Mohl bys prosím trochu nastínit, jak aplikace funguje? Proti čemu se snažíš chránít? Jak s tím souvisí připojení k internetu?
Se solí rozhodně počítám. Jde o uchování hesel v souboru / databázi pro přihlášení. V aplikaci jsou data typu čísel bankovních účtů, proto zaheslování, ale tu hashovací funkci budu potřebovat i později na svých webových stránkách. Teď potřebuji, aby aplikace plně fungovala bez připojení k internetu.
Slo by to napriklad pomoci kontrolnich otazek na datum narozeni, vek (pokud takove info mas)
V současné době se nejvíce používá hash SHA-1 a všechny další SHA-* algoritmy. Já osobně používám SHA512.
ukladaniedat pomocou suborov je dost neprakticke, musel by si to rucne
osetrovat a aj dost nevykonne
radsej by som na ulozenie udajov zvolil nejaku databazu (napr. MS SQL,
PostgreSQL, MySQL/MariaDB,...)
co sa tyka hashovacich funkcii, tak by som pouzil SHA-* + sol pre
zabezpecenie bezpecnosti ulozenych udajov,
co sa tyka ochrany hesla proti zabudnutiu, tak to mozes osetrit pomocou otazok,
ktore si zvoli pri registracii, alebo v nastaveniach aplikacie, ale tu by som to
neriesil vo forme offline, ale v online, lebo tie odpovede by nemali byt
obsiahnute v aplikacii kvoli bezpecnosti, ale na serveri by sa to malo
overit...
cize sa nezaobites bez client-server architektury
Na Androidu lze používat SQLite, které budu využívat. A znovu upozorňuji, že aplikace musí fungovat bez připojení k internetu. Jde o malou databázi lidí, kam si uživatel ukládá informace o nich (e-maily, telefoní čísla, bankovní čísla). Aplikace má být chráněná heslem.
a ziadny centralny server pre klientske zariadnia zalozene na Androide?
myslis, ze ked cela funkcnost (overovanie heslom, overenie pri zabudnuti heslom)
ak bude obstaravat iba klientska cast bude bezpecna? skus nad tym pouvazovat
este raz nad tym, co riesis ohladne bezpecnosti...
a navyse ta aplikacia by musela medzi tymi zariadeniami zdielat obrovske
mnozstvo dat...
sice netvrdim, ze by to neslo, ale tu sa straca vyznam databzoveho servera ako centralneho uloziska a tym padom aj upada na bezpecnosti toho zariadenia
Aplikace nic nesdílí mezi zařízeními, vše má u sebe.
Pokud budeš nějaká data ukládat lokálně a zamykat přístup k nim heslem, pak je musíš i nějak šifrovat (ideálně tím heslem), jinak se ti tam někdo nabourá i bez hesla. Výhodou pak je, že heslo nemusíš mít nikde uložené, ale nevýhodou, že to heslo není možné obnovit při zapomenutí.
Data budou šifrovaná určitě, ale ne přihlašovacím heslem. To bude umístěné někde zvlášť jako hash + sůl. A při zapomenutí se zobrazí nějaká kontrolní otázka.
EDIT: moderátor může diskuzi uzavřít, už vím vše co potřebuji
bezpecnejsie je ukladat tie informacie niekde na serveri vratane odpovede
a co sa tyka sifrovacieho, ci hashovacieho algorytmu, tak nie vsetky udaje sa
oplatia sifrovat... a jedine z hesla sa generuje hash
co sa tyka kontrolnej otazky, tak tu by sa mala posielat zo servera na tenky
klient v pripade potreby a odpoved by mala byt ulozena v databazi a k databazi
zamedzit pristup nepovolanym osobam zabranou, neprestrelnymi dvermi,...
takymto sposobom klientska cast nemusel vykonavat celu tu funkcnu cast a aj keby bolo to zariadenie ukradnute a majitel informuje, bude sa dat centralne bloknut ten ucet a zariadenie vyradit z celeho systemu
Ještě jednou opakuji, že aplikace nefunguje jako server-klient. Je na jednom zařízení oddělená od zbytku světa.
jaj tak.. az teraz som ta pochopil... chce urobit nieco ako su tie aplikacie, ktore ukladaju hesla k sluzbam? nieco ako schranku na udaje?
Přesněji řečeno takový "adresář". Seznam lidí s kontakty na ně, který si můžeš vzít kamkoli.
Zobrazeno 16 zpráv z 16.