Védtelen Gaim jelszó

Aham, csak szerintem gáz, hogy egy adott Gaim fiók jelszavát egy sima dbus hívással meg lehet kapni (plaintext, titkosítás nélkül)?

( Panther v | 2007. 01. 12., p – 19:04 )

onnantól kezdve, hogy pl. az msn titkosítatlanul kommunikál, annyira nem... Pedig régen kódolt volt.

hát, miután a szöveg cleartextben megy át, onnantól nem érdekel különösebben, hogy a jelszó hogy utazik. Senkinek semmi köze, mit beszélek mással, ha meg valaki le tudja hallgatni, az valószínűleg amúgyis meg tudja oldani, hogy a teljes kommunikáció az ő gépén át menjen. Innentől már csak egy lépés az, hogy szoftvert ír, és az én nevemben kommunikál, úgy, hogy megszűri a hozzám eljutó üzeneteket. Nyilván nem én leszek az ideális célpont erre, de elvi lehetősége megvan.

Röviden: ha a teljes kommunikáció titkosítatlan, akkor nem sokat oszt vagy szoroz, hogy a jelszó hogyan megy át a hálózaton, mert a jelszó ismerete nélkül is vissza lehet élni az adatokkal.

( bastya_elvtars | 2007. 01. 12., p – 21:59 )

Jelzem, az accounts fileban is plaintext. :-)
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

ée az miért jó? Ha megváltoztatod a jelszavad pl. az email szolgáltatód oldalán, akkor már a régi jelszó hasítókódja lesz a fájlban, és azzal összehasonlítva az újat nem fog egyezni, ezért nem enged be. Nem jó 5let. Bár a legröhejesebb számomra a mozilla (firefox, thunderbird, suite) jelszótárolása: base64 kódolással. Tipikus példa a hamis biztonságra.

a cleartext sem jó...

ha helyileg tárolod, hogy ne kelljen megadni, akkor az nem lehet md5-tel kódolt, ugyanis az 128 biten ábrázolt értéket képez viszonylag sok iteráció (ciklus) után, azonban az összes lehetséges bemenetek száma végtelen (elvileg bármilyen hosszú inputja lehet). Tehát ha a jelszavad md5-ben tárolod, akkor csak azt tudod ellenőrizni, hogy egy olyan jelszót adtak-e meg, aminek azonos az md5 hash-e. Az eredeti jelszó nem állítható vissza. Ebből következően nem tudod így tárolni az automatikus bejelentkezés céljára.

A base64 egy invertálható kódolás (lehet dekódolni), az inputot 6 bites darabokra vágja (azaz 64 különböző érték lehet). Ezután olvasható karakterekké alakítja (az angol abc 26 kis/nagy betűje, 10 számjegy, a / jel és talán az egyenlőségjel). A kimaradó biteket = jellel helyettesíti (a kapott kód végén egy vagy két egyenlőségjel szokott lenni).

"Ebből következően nem tudod így tárolni az automatikus bejelentkezés céljára." -- Most, hogy mondod, tényleg. Bár, ha lenne olyan opció bejelentkezésnél (POP, SMTP mittomén), hogy az md5 hash-t küldi el, akkor jó lenne. De akkor meg megint ott vagyunk, mint az elején, mert akkor meg magát a hash-t kéne úgy tárolni, hogy ne lehessen visszafejteni... Ördögi kör :( Van erre egyáltalán elméleti megoldás?

A base64-es részt tudtam, csak akkor az nem volt nyilvánvaló számomra, hogy ezt nem tudja _mindenki_, és azt hiszik, hogy a base64-gyel most aztán frankón biztonságosak a jelszavak.