<?xml version="1.0" encoding="utf-8" ?>

<rss version="2.0" 
   xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#"
   xmlns:admin="http://webns.net/mvcb/"
   xmlns:dc="http://purl.org/dc/elements/1.1/"
   xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
   xmlns:wfw="http://wellformedweb.org/CommentAPI/"
   xmlns:content="http://purl.org/rss/1.0/modules/content/"
   >
<channel>
    
    <title>Paweł Goleń, blog - Formularz komentarzy &quot;Jak solić hasła&quot;</title>
    <link>https://archive.mroczna-zaloga.org/</link>
    <description>Paweł Goleń, blog - Zrzędzenie starego zgreda</description>
    <dc:language>pl</dc:language>
    <generator>Serendipity  - http://www.s9y.org/</generator>
    <pubDate>Sat, 15 Mar 2025 22:15:05 GMT</pubDate>

    <image>
        <url>https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png</url>
        <title>RSS: Paweł Goleń, blog - Formularz komentarzy &quot;Jak solić hasła&quot; - Paweł Goleń, blog - Zrzędzenie starego zgreda</title>
        <link>https://archive.mroczna-zaloga.org/</link>
        <width>100</width>
        <height>21</height>
    </image>

<item>
    <title>Wojtek: Jak solić hasła</title>
    <link>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#c6471</link>
            <category></category>
    
    <comments>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#comments</comments>
    <wfw:comment>https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1114</wfw:comment>

    

    <author>nospam@example.com (Wojtek)</author>
    <content:encoded>
    Ok, teraz wszystko jasne. Na początku źle Cię chyba zrozumiałem, że chodzi o dodatkowy przedbieg funkcji hashującej z wykorzystaniem tego mastersalt a dopiero potem z salt dla danego rekordu tzn. użytkownika. I tak jak pisałeś za dużo by to nie dało ;)

Zgadzam się z Tobą, że zwiększenie bezpieczeństwa poprzez dodanie kolejnego takiego sekretu może komplikować niepotrzebnie system. Może już lepiej eliminować proste hasła poprzez wymogi podczas ich tworzenie przez użytkownika (np. minimalna długość). Oczywiście jak zwykle trzeba szukać kompromisu, bo przy zbyt dużych wymaganiach zaczną pojawiać się karteczki nie monitorach/pod klawiaturą ;)  
    </content:encoded>

    <pubDate>Tue, 10 Apr 2012 17:20:18 +0200</pubDate>
    <guid isPermaLink="false">https://archive.mroczna-zaloga.org/archives/1114-guid.html#c6471</guid>
    
</item>
<item>
    <title>Paweł Goleń: Jak solić hasła</title>
    <link>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#c6467</link>
            <category></category>
    
    <comments>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#comments</comments>
    <wfw:comment>https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1114</wfw:comment>

    

    <author>nospam@example.com (Paweł Goleń)</author>
    <content:encoded>
    Po pierwsze uważam, że kiedyś ewolucja słusznie eliminowała jednostki nieprzystosowane, więc mam pewną granicę tolerancji w zakresie myślenia za użytkownika. Jest on współodpowiedzialny za swoje bezpieczeństwo.

Po drugie korzystając z opisanego pomysłu wprowadzasz do systemu kolejny sekret, który należy w jakiś sposób chronić. Jeśli tworzysz aplikację sam dla siebie, jeszcze od biedy można przeboleć, że ten &quot;mastersalt&quot; będzie zaszyty w kodzie. Jeśli jednak ten kod miałby być wykorzystany w wielu wdrożeniach, to sensowność stosowania jednego klucza jest już, delikatnie mówiąc, dyskusyjna. Musiałbyś go przenieść gdzieś do plików konfiguracyjnych. Dalej - musiałbyś albo generować ten sekret automatycznie w trakcie instalacji systemu, albo musiałbyś zmusić administratora do tego, by go zmienił/ustawił. Obawiam się, że w 75% przypadków zostałaby wartość domyślna, albo wykorzystane byłoby coś w stylu dupa.8. Idąc dalej - musiałbyś opisać zasady backupu tych plików konfiguracyjnych, bo mogłoby się okazać, że &quot;po restorze systemu użytkownicy nie mogą się zalogować, a przecież skopiowałem całą bazę&quot;. A wszystko po to, by chronić użytkownika, który jest zbyt leniwy, by wymyślić przyzwoite hasło i prawdopodobnie używa tego hasła gdzie popadnie.

Patrząc w ten sposób rozwiązanie salt + &quot;ciężka funkcja skrótu&quot; jest wystarczająco dobre, a zaoszczędzony czas może warto przeznaczyć choćby na upewnienie się, że tej bazy pierwszy lepszy &quot;użytkownik&quot; sqlmapa jednak nie wyssie.  
    </content:encoded>

    <pubDate>Tue, 10 Apr 2012 16:59:38 +0200</pubDate>
    <guid isPermaLink="false">https://archive.mroczna-zaloga.org/archives/1114-guid.html#c6467</guid>
    
</item>
<item>
    <title>Paweł Goleń: Jak solić hasła</title>
    <link>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#c6466</link>
            <category></category>
    
    <comments>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#comments</comments>
    <wfw:comment>https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1114</wfw:comment>

    

    <author>nospam@example.com (Paweł Goleń)</author>
    <content:encoded>
    Pomyśl co dałby ten schemat, gdyby &quot;mastersalt&quot; był jawny (czyli potencjalnie łatwo dostępny dla atakującego). W zasadzie nic, dodawałby co najwyżej trochę czasu na przekształcenie salta &quot;pośredniego&quot; na salt &quot;właściwy&quot;. Identyczny rezultat można osiągnąć choćby przez zwiększenie rund funkcji hashującej, czy zmianę parametrów wywołania bcrypt.

W tym wypadku ten &quot;mastersalt&quot; miałby w umiarkowanym stopniu rekompensować wykorzystanie przez użytkowników trywialnych do odgadnięcia haseł, musiałby być więc sekretem zaszytym &quot;jakoś&quot; w systemie.

Tu pojawia się kolejny problem w jaki sposób skutecznie/bezpiecznie przechowywać takie sekrety. To tak jak z szyfrowaniem, zaszyfrowane dane może są bezpieczne (zachowana zostanie ich poufność), ale teraz zamiast tych danych, musisz chronić klucz co często okazuje się zadaniem równie trudnym, jak ochrona samych danych.  
    </content:encoded>

    <pubDate>Tue, 10 Apr 2012 16:46:51 +0200</pubDate>
    <guid isPermaLink="false">https://archive.mroczna-zaloga.org/archives/1114-guid.html#c6466</guid>
    
</item>
<item>
    <title>Wojtek: Jak solić hasła</title>
    <link>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#c6465</link>
            <category></category>
    
    <comments>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#comments</comments>
    <wfw:comment>https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1114</wfw:comment>

    

    <author>nospam@example.com (Wojtek)</author>
    <content:encoded>
    Czy ten mastersalt miałby też być przechowywany jawnie czy jakoś gdzieś &quot;zaszyty&quot; w systemie ?  
    </content:encoded>

    <pubDate>Tue, 10 Apr 2012 16:30:11 +0200</pubDate>
    <guid isPermaLink="false">https://archive.mroczna-zaloga.org/archives/1114-guid.html#c6465</guid>
    
</item>
<item>
    <title>nowy_me: Jak solić hasła</title>
    <link>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#c6439</link>
            <category></category>
    
    <comments>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#comments</comments>
    <wfw:comment>https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1114</wfw:comment>

    

    <author>nospam@example.com (nowy_me)</author>
    <content:encoded>
    &quot;Mimo wszystko zastanawiałbym się, czy gra jest warta świeczki...&quot;

A czemu nie? w sumie prawie nic to nas nie kosztuje, a mogło by zwiększyć bezpieczeństwo dla jakiegoś bardzo krótkiego, głupiego hasła.

W swoich aplikacjach zazwyczaj dodaje jeszcze jakiś &#039;mastersalt&#039; zaszyty w kodzie, zawsze oprócz bazy, trzeba będzie zdobyć dostęp do kodu.  
    </content:encoded>

    <pubDate>Tue, 10 Apr 2012 13:19:37 +0200</pubDate>
    <guid isPermaLink="false">https://archive.mroczna-zaloga.org/archives/1114-guid.html#c6439</guid>
    
</item>
<item>
    <title>GramarNazi: Jak solić hasła</title>
    <link>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#c6360</link>
            <category></category>
    
    <comments>https://archive.mroczna-zaloga.org/archives/1114-jak-solic-hasla.html#comments</comments>
    <wfw:comment>https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1114</wfw:comment>

    

    <author>nospam@example.com (GramarNazi)</author>
    <content:encoded>
    &quot; więc na podstawie hasha nie można odtworzyć hasło&quot;
(kogo,czego)&quot;hasła&quot;
Literówka ;-)  
    </content:encoded>

    <pubDate>Wed, 04 Apr 2012 15:09:44 +0200</pubDate>
    <guid isPermaLink="false">https://archive.mroczna-zaloga.org/archives/1114-guid.html#c6360</guid>
    
</item>

</channel>
</rss>