|
|||||||
|
|
|
 |
|
|
Strumenti |
23-12-2012, 01:37
|
#21 |
|
Senior Member
Iscritto dal: May 2005
Città: Messina
Messaggi: 15648
|
Ragazzi ho visto la classe Bcrypt che dovrebbe essere migliore dell'SHA512, confermate?
Ho una domanda: sto memorizzando la password concatenando alla fine della stessa una mia parola personale e mettendo come parametro nel generate salt, il numero 12. Ovviamente più il numero aumenta più il tempo per generarla cresce. Bene, siccome raramente nel programma che sto facendo dovrò generare password, il numero di salt che specifico in fase di inserimento peggiorano anche il tempo di decifrazione della stessa in fase di login? Grazie.
__________________
CASE: Antec 900 - ALI: Enermax Pro82+ 525W - MOBO: Asus Z97I-Plus - CPU: i7 4770k @ 4.4 Ghz 1.22v - DISSI: Noctua U-14S - RAM: 2x8GB Corsair Vengeance LP @ 1866 Mhz - VGA: GTX 1070 ARMOR 8G OC - Monitor: Acer XF270HU - SSD: Samsung 850 EVO 500 GB MacBook Pro Retina 15" 2018 - i7 6 core, Radeon Pro 560X, 512 GB SSD
|
|
|
|
23-12-2012, 10:48
|
#22 |
|
Senior Member
Iscritto dal: Jan 2002
Messaggi: 2689
|
imho non accanirti + di tanto sul lato hashing delle password... sha256 o 512 + un salt e' piu' che sufficiente, anche perche' tieni conto che se la webapp e' realizzata bene nessuno verra' mai in possesso del database...
piuttosto concentrati sulle tecniche per proteggerti da sql injection (query parametrizzate) e xss scripting
__________________
Saying that Java is nice because it works on all OS's is like saying that anal sex is nice because it works on all genders |
|
|
|
|
23-12-2012, 12:11
|
#23 | |
|
Senior Member
Iscritto dal: May 2005
Città: Messina
Messaggi: 15648
|
Quote:
__________________
CASE: Antec 900 - ALI: Enermax Pro82+ 525W - MOBO: Asus Z97I-Plus - CPU: i7 4770k @ 4.4 Ghz 1.22v - DISSI: Noctua U-14S - RAM: 2x8GB Corsair Vengeance LP @ 1866 Mhz - VGA: GTX 1070 ARMOR 8G OC - Monitor: Acer XF270HU - SSD: Samsung 850 EVO 500 GB MacBook Pro Retina 15" 2018 - i7 6 core, Radeon Pro 560X, 512 GB SSD
|
|
|
|
|
|
19-03-2013, 04:20
|
#24 |
|
Senior Member
Iscritto dal: May 2005
Città: Messina
Messaggi: 15648
|
Scusate se uppo la discussione ma trattandosi sempre di crittografia e di c# non credo sia necessario aprirne una nuova
 Ho la necessita di trasferire dei file che cripto con AES e mi chiedevo se all'atto pratico ci sia differenza nell'usare una password del tipo: "1234123464138" oppure una "AZ_234.-[]{" Ovviamente sono semplicemente esempi, ma mi interesserebbe capire se a livello di sicurezza cambia qualcosa
__________________
CASE: Antec 900 - ALI: Enermax Pro82+ 525W - MOBO: Asus Z97I-Plus - CPU: i7 4770k @ 4.4 Ghz 1.22v - DISSI: Noctua U-14S - RAM: 2x8GB Corsair Vengeance LP @ 1866 Mhz - VGA: GTX 1070 ARMOR 8G OC - Monitor: Acer XF270HU - SSD: Samsung 850 EVO 500 GB MacBook Pro Retina 15" 2018 - i7 6 core, Radeon Pro 560X, 512 GB SSD
|
|
|
|
|
19-03-2013, 10:44
|
#25 | |
|
Senior Member
Iscritto dal: Oct 2007
Città: Padova
Messaggi: 4131
|
Quote:
Questo software ha un Password Generator in cui l'utente può definire la lunghezza della password e i set di caratteri da utilizzare per generarla; può poi chiedere al generatore una sorta di "preview" per vedere che tipo di password saltano fuori. Ogni password riporta una metrica della sua "qualità" in termini di numero di bit (più è alto più sicura è la password). Ho fatto una prova con due generatori; entrambi per password lunghe 16 caratteri, il primo col solo set delle cifre (0,1,2...) il secondo più articolato, con: tutti gli alfanumerici (0,1,2...a,b,c,...A,B,C...) il carattere meno (-), l'underline (_) le parentesi "[,]{,},(,)" e il punto (.) Il risultato? Che le password partorite dal primo generatore viaggiavano sui 31-37 bit mentre quelle del secondo generatore sugli 83-95 bit. Quindi più è ricco l'alfabeto, più le password generate sono, in media, più "robuste". Qualche link (credo) utile a 360° sulll'argomento: - http://psychology.wichita.edu/surl/u.../Passwords.asp - http://stackoverflow.com/questions/5...-best-practice - http://www.schneier.com/blog/archive...ng_secure.html @EDIT: Forse era il caso di aprire un nuovo thread, dopotutto questo aspetto è agnostico rispetto al particolare linguaggio di programmazione.
__________________
As long as you are basically literate in programming, you should be able to express any logical relationship you understand. If you don’t understand a logical relationship, you can use the attempt to program it as a means to learn about it. (Chris Crawford) Ultima modifica di banryu79 : 19-03-2013 alle 10:49. |
|
|
|
|
|
19-03-2013, 14:18
|
#26 |
|
Senior Member
Iscritto dal: May 2005
Città: Messina
Messaggi: 15648
|
Ti ringrazio per la risposta molto esaustiva
C'è un limite per la lunghezza della stringa passata come password usando la crittografia con EAS con il C# e la classe Criptography?
__________________
CASE: Antec 900 - ALI: Enermax Pro82+ 525W - MOBO: Asus Z97I-Plus - CPU: i7 4770k @ 4.4 Ghz 1.22v - DISSI: Noctua U-14S - RAM: 2x8GB Corsair Vengeance LP @ 1866 Mhz - VGA: GTX 1070 ARMOR 8G OC - Monitor: Acer XF270HU - SSD: Samsung 850 EVO 500 GB MacBook Pro Retina 15" 2018 - i7 6 core, Radeon Pro 560X, 512 GB SSD
|
|
|
|
|
20-03-2013, 08:18
|
#27 | ||
|
Senior Member
Iscritto dal: Oct 2007
Città: Padova
Messaggi: 4131
|
Quote:
 Quote:
Però se ci fosse per questioni di implementazione, probabilmente la cosa sarebbe documentata: in attesa di una risposta io andrei a spulciare la documentazione.
__________________
As long as you are basically literate in programming, you should be able to express any logical relationship you understand. If you don’t understand a logical relationship, you can use the attempt to program it as a means to learn about it. (Chris Crawford) |
||
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 15:53.
