Jak działa maskowanie haseł w bankach
![Jak działa maskowanie haseł w bankach](https://wykop.pl/cdn/c3397993/link_22KoHYw8sQBsXN6HsfKg6kKXVioE5kg8,w300h194.jpg)
Najbardziej prawdopodobne wyjaśnienie z jakim się do tej pory spotkałem. Ciekawostka matematyczno-programistyczna na początek długiego weekendu :)
![entrop](https://wykop.pl/cdn/c3397992/entrop_becYeYUoFh,q52.jpg)
- #
- #
- #
- #
- #
- #
- #
- 46
Najbardziej prawdopodobne wyjaśnienie z jakim się do tej pory spotkałem. Ciekawostka matematyczno-programistyczna na początek długiego weekendu :)
Komentarze (46)
najlepsze
@Belzebub: -_- nieprawda.
Istotny jest fragment o Hardware Security Module, i to w taki właśnie sposób robione są maskowane hasła w bankach. Rozwiązanie przedstawione w wykopie można użyć, gdy nie stać nas na HSM (co zapewne jest prawdą dla prawie 100% Wykopowiczów).
Przede wszystkim, podane rozwiązanie dość mocno zmniejsza entropię, choć jest zdecydowanie lepsze od innych, naiwnych podejść (np. plaintext).
*
add(login, password)
– dodanie nowego hasła,
*
check(login, password) -> bool
– sprawdzenie hasła.
Dla maskowania udostępniana może być funkcja
checkPartial(login, mask, partialPassword) -> bool
.
Żadna dodatkowa logika nie jest potrzebna. HSM działa jako wyrocznia, i to w zupełności wystarczy.
z opcji jak to zrobić źle eliminuje na pewno przychodzące na pierwszą myśl rozwiązania:
- trzymanie
Update (MIRROR @ archive.org):
http://web.archive.org/web/20120724053131/http://www.smartarchitects.co.uk/news/9/15/Partial-Passwords---How.html
Komentarz usunięty przez moderatora
$this->salt = sha1(openssl_random_pseudo_bytes(40));
$this->password = sha1($password . $this->salt);
http://www.wykop.pl/link/1615835/jak-dziala-maskowanie-hasel-w-bankach/#comment-16749971
Jeśli w manualu chociaż napomknęliby, że ta metoda może nie być bezpieczna, to już powinna Ci się zapalić żółta lampka. Ale tam jest