Lige et nysgerrig spørgsmål til Jakob.

Hvordan gemmes kodeord og hvordan er de sikret i tilfælde af et sikkerhedsbrud? Jeg går ud fra de er hashed, men hvordan?

Du behøver ikke bruge informationer fra eks. Facebook på siden. Du kan nøjes med bare at kæde login sammen med techstart brugeren som Stig nævner, og så udelukkende have med FB at gøre idet der logges ind. Resten af brugerne kan ikke se forskel på om jeg logger ind hos techstart, hos OpenID, hos Facebook, eller whatever.

Du kan så, så vidt jeg ved, vælge om du vil gøre det muligt for folk at bruge informationerne på eks. Facebook i deres techstart profil, så deres avatar bliver deres facebook profilbillede og i den dur.

Bug: Når jeg retter mit indlæg sendes jeg til tråd#21 istedet for tråd&side=2#21. Jeg kan ikke huske opbygningen, men går ud fra at du forstår pointen. :P

Jeg er enig med Jakob - intergration med f.eks. FB er noget lort. De ved rigeligt om mig i forvejen og jeg underlader konsekvent at bruge sites hvor jeg skal logge ind med FB/Gmail.

Only the paranoid will survive!

#22

Synes du også at det er noget skidt hvis det er en ud af flere muligheder? Altså, hvis du også har muligheden for en lokal konto?

I øvrigt (og undskyld Jakob) er det her jo det perfekte argument hvorfor man skal have forskellige kodeord til forskellige sider.
Et eller andet sted bruger du en side hvor sikkerheden er endnu lavere end det Jakob har gjort - og hvis, nej når, en hacker så finder dit kodeord, - så må det altså ikke give adgang til din netbank, din gmail, din arbejdsplads etc.

Only the paranoid will survive!

#23 Nej, - hvad andre gør rager ikke mig. Det er fint at man kan logge ind med sin Visa-kort. Men jeg kommer _ALDRIG_ til at gøre det. (Ja, jeg ved godt at jeg overdriver, håber ikke du tager det som en fornærmelse, det var ikke det der var meningen).

Only the paranoid will survive!

Jakob: Grunden til at du bruger MD5(SHA1(MD5(... er at undgå at folk bruger regnbuetaller, right?
Den rigtige løsning til det er at bruge salt - som også er foreslået andre steder.

Gør du det så giver det stort set ikke ekstra at bruge din metode. Dog vil jeg selv bruge mindst 2 typer, - da der til stadighed findes fejl i hashkoder. Så MD5(SHA1(SALT + password)) vil være et rigtig godt bud. Jeg har ikke fulgt helt godt nok med, - men det lyder til at der er problemer med både MD5 og SHA1, - så måske der findes nyere algoritmer.

Derudover vil jeg lave et felt i databasen til kodeords-algoritme. Sådan at du kan skifte din krypterede kodeord så snart folk logger ind uden at forstyrre resten (ikke noget med at man skal skifte kodeord eller logge ind i en given periode). For før eller siden vil du eller andre finde ud af at den måde du har krypteret dine kodeord alligevel ikke var så god (typisk vil der komme en nyhed om at en eller anden fiks hacker har fundet en måde at dekryptere SHA1 på et split-sekund).

Only the paranoid will survive!

Nå ja og som andre allerede har foreslået bør du bruge https - i hvert fald på login siden.
Der findes måder at kryptere kodeordet på med f.eks. javascript inden det sendes, - men det er ikke optimalt.

Only the paranoid will survive!

"Denne fremgangsmåde er valgt, så selve kodeordets repræsentation i databasen, aldrig kan sammenlignes med selvsamme kodeord fra et andet websites database."

Brug salt, - individuelt for hver bruger.

"Hackes og stjæles hele databasen herfra, får folk ganske vist ukrypterede e-mailadresser og brugernavne, men kodeordene kan de ikke bruge til noget. Det er umuligt at brute force en dekryptering uden at kende både typerne, sekvensen og encryption strengen (der iøvrigt er en hel sætning som igen - kun jeg kender)."

Tjaeh ret beset kender dit website vel også sætningen. Og hvis nogen har hacket det er det sandsynligt at de også gør.
I øvrigt kunne du XOR'e folks email adresser med et "hemmeligt" kodeord eller med et individuelt SALT eller begge dele. Ret beset gør det ikke ret meget, - for hvis nogen får adgang til din database har de i hvertfald SALT og de har sikkert også adgang til resten af sitet - og dermed også dit "hemmelige" kodeord. Men det gør det i det mindste en smule vanskeligere for dem.

"Af selvsamme grund kan jeg aldrig gensende jeres kodeord til jer. Jeg kan blot tilbyde at nulstille dem til noget andet."

Hvilket er træls, men en nødvendighed. Sådan er det vidst heldigivs alle steder i dag.

P.S. Jeg mangler en quote-funktionalitet

Only the paranoid will survive!

Jeps - nyt loginsystem er under opkodning.

Derudover er https ved at blive testet - i første omgang på mit www.pxo.dk - hvor det ser ud til at virke stabilt uden at have større indflydelse på performance (omvendt har sitet omkring 50 daglige besøgende, modsat TechStart der er ved at ramme 900 daglige besøgende). :)

Når https kommer her på TechStart, vil jeg indføre det site-wide.

Med venlig hilsen
Jakob Dam | Administrator

P.S. Jeg mangler en quote-funktionalitet

Det gør jeg ikke. :) 

Med venlig hilsen
Jakob Dam | Administrator

Hvordan quoter du så?

P.S. Jeg har lavet et par rettelser til #28 du bør læse :-)

Only the paranoid will survive!

Jeps, jeg tror også det er den vej jeg kommer til at gå.

Ang. citat; i tekstboksen hvor du skriver, er der et stort quote-tegn.

Med venlig hilsen
Jakob Dam | Administrator

Hej Jakob.

Når du bruger password_hash er der i den streng du får tilbage (op til 255 karakterer) indbygget random sikkert salt og den er hashet.  Du har mulighed for at sætte en "cost" parameter (PASSWORD_DEFAULT er lige nu bcrypt) og du har mulighed for automatisk at opgradere dine brugeres passwords når f.eks. PASSWORD_DEFAULT algoritmen skifter.

eks:

$input_password = "rasmuslerdorf";

$user_in_database_password_hash = "$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a"

 

// Verificer password

if (password_verify($input_password, $user_in_database_password_hash))

{

    // Brugeren har angivet korrekt password

    if (password_needs_rehash($user_in_database_password_hash, PASSWORD_DEFAULT, ['cost' => 15]))

    {

        // Passworded skal rehashes - i eksemplet fra 'cost' => 10 til 'cost' => 15

        $password_hash = password_hash($input_password, PASSWORD_DEFAULT, ['cost' => 15]);

        // Gem password_hash i databasen

    }

}

 

// Når du skal gemme et password

$password_hash = password_hash($input_password, PASSWORD_DEFAULT, ['cost' => 10]);

Ref.

http://php.net/manual/en/function.password-get-info.php

http://php.net/manual/en/function.password-hash.php

http://php.net/manual/en/function.password-verify.php

http://php.net/manual/en/function.password-needs-rehash.php

http://php.net/manual/en/function.crypt.php

Blot til info - så er https (SSL) indført nu her. :)

Omkodet login vil blive kigget på i weekend'en. Tror ikke jeg får tid i dag desværre - men muligvis i morgen. Bemærk; når det sker skal alle brugere formentligt lave nyt kodeord (kan godt være lig med det gamle).

Med venlig hilsen
Jakob Dam | Administrator

Jakob #34

Det er netop derfor jeg vil have at du skal have et generationsnummer ind. Så opgraderes brugeren helt automatisk når han logger ind - efter en ændring.

Meget i stil med det #33 har fundet links til.

Only the paranoid will survive!

Hov den missede jeg lige - det var smart! Thx a brunch! :D

Med venlig hilsen
Jakob Dam | Administrator

@Jakob du spørger jo bare hvis du render ind i et eller andet.. også evt. kodereview. Jeg er helt sikker på at vi er nogle stykker der alligevel ikke har ret meget andet at tage os til.

Thx - will do :) - Det kan meget vel blive relevant. Så poster jeg code snippets herinde.

Med venlig hilsen
Jakob Dam | Administrator

Jeg er nu ganske glad for at mit spørgsmål endte med bedre sikkerhed. :-) I sidste ende er kodeordssikring ikke så vigtigt for mig grundet KeePass, men det er generelt bedre for både brugerne og ejeren af siden.

DDoS er ikke muligt, eftersom jeg lukker brugeren ud efter 5 forkerte forsøg i streg.

Det må afprøves :)