Нестандартный способ защиты паролей

На самом деле, в том же интернете можно найти множество различных способов защиты паролей, хранящихся в базе (например MySQL). В данном посте же будет рассмотрен тот способ, который мне показался достаточно стойким к взлому.

Немного теории о защите паролей

Очень часто, при написании сайта может возникнуть вопрос — «Как же защитить конфедециальность данных пользователя?». Единого ответа тут быть разумеется не может, но есть ряд способов, применяемых по ситуации. В данном посте мы рассмотрим лишь те, которые подходят для применения непосредственно в самом движке сайта, и мешающие удачливому хакеру, умыкнувшему у нас дамп базы получить пароль от «root» (или administrator, кому как больше нравится), получая тем самым все права и привелегии.

  • Способ №1. Мы можем просто-напросто прогнать пароль через хэш-функцию при регистрации, и затем записать результат в базу. У этого способа есть один недостаток — при использовании распространеного хэш-алгоритма (например md5 или sha 1) хакер может воспользоваться декриптором, который выдаст ему исходный пароль.
  • Способ №2. Никто не мешает нам использовать хэш-алгоритм дважды. То-есть, мы хэшируем по сути хэш. Это значительно усложняет жизнь взломщику, но все равно не дает 100% гарантии.
  • Способ №3. Шифрование с «солью». У этого способа существует множество вариаций, но смысл остается один — во время шифрования помимо исходного пароля используется также и уникальная для каждого пользователя последовательность символов.

Читать дальше →

Анонимные DDoS-атаки или как не стать невольным соучастником

В последнее время новостные ленты пестрят сообщениями о DDoS-атаках на различные вебресурсы, чего стоят только акции мщения за гонение на WikiLeaks, пишут даже что кого-то смогли отследить и арестовать. Вот так дела! — думаем мы, чешем затылок и кликаем со спокойной совестью на следующую новость, пребывая в полной уверенности, что нас это совершенно не касается. Ведь большинство из нас, хоть в душе возможно и восхищается дерзостью хакеров, на деле, в здравом уме и доброй памяти, никогда подобных действий совершать не станут. Ну а значит чего нам бояться, сами мы программы для хакеров не используем и надеемся, что антивирусы с фаерволами их к нам не пропустят. А значит спим спокойно.

Читать дальше →

Цифровые хлебные крошки

Это небольшая заметка об анонимности в сети.

Интернет. Можно быть кем угодно. Миллионы безликих имен. За каждой из этих масок — конкретный человек. А может быть, не один…

Каждый из нас, прибывая в сети, оставляет некоторую информацию о себе — сообщения на сайтах, форумах, свои контактные данные, номера ICQ, телефоны. И чем дольше человек пребывает в сети, тем больше вероятность, найти его в «оффлайне», используя его «цифровой след».
Читать дальше →

История одной компьютерной войны

Данная заметка — сокращенный пересказ почти 10-летнего эпоса о находчивости и предательстве, изобретательности и хитрости, происходящих от человеческой лени. Началось все с того, что на неком айтишном факультете некого университета запустили для контроля знаний учащихся по одному из семестровых курсов систему дистанционного обучения. Дальнейшая борьба представляла из собой пошаговую стратегию с фазами в семестр, причем со стороны студентов каждый раз были новые люди со свежими идеями.

Читать дальше →

Анонимные DDoS-атаки или как не стать невольным соучастником

В последнее время новостные ленты пестрят сообщениями о DDoS-атаках на различные вебресурсы, чего стоят только акции мщения за гонение на WikiLeaks, пишут даже что кого-то смогли отследить и арестовать. Вот так дела! — думаем мы, чешем затылок и кликаем со спокойной совестью на следующую новость, пребывая в полной уверенности, что нас это совершенно не касается. Ведь большинство из нас, хоть в душе возможно и восхищается дерзостью хакеров, на деле, в здравом уме и доброй памяти, никогда подобных действий совершать не станут. Ну а значит чего нам бояться, сами мы программы для хакеров не используем и надеемся, что антивирусы с фаерволами их к нам не пропустят. А значит спим спокойно.


Читать дальше →

Информационная безопасность нового века

Не так давно появившаяся статья про внедрение проверки подписи для приложений на уровне процессора вызвала бурю возмущений. Чем это вызвано? Прежде всего непониманием вызовов нового времени и общего развития информационной безопасности. Вторая причина — это «советская» ментальность и отсутствие привычки покупать программное обеспечение. Я вас разозлил? Считаете что это не так? Аргументы ниже.

Читать дальше →