هل تطلع شركة حسوب على كلمة مرور المستخدم أم لا يحق لها ذلك؟


التعليق السابق

طبعا هو أحادي الإتجاه.

ماذا يقصد بالتشفير أحادي الإتجاه؟

يعني لا يمكن عكس الشفرة للعودة الي الجملة الاصلية، وان كنت تتسائل كيف يتم معرفة اذا كانت كلمة السر صحيحة او لا عند عملية تسجيل الدخول ؟ الاجابة هي بتشفير كلمة السر المدخلة بنفس خوارزمية التشفير المستعمل عند حفظ كلمات السر وان كانت نتيجة التشفير متطابقة مع الشفرة الموجودة في قاعدة البيانات فهذا يعني ان كلمة السر صحيحة.

تلك احدى ضوابط و قواعد خوارزميات التشفير احادي الاتجاه، نفس المصدر دائما يعطي نفس الشفرة.

لاننسا اضافة القليل من ال Salt لزياده الحمايه .

بالفعل هذي تقنية اخرى لاضافة الحماية ولكني قد اجبته عن معنى احادية التشفير ^^

الSalt من اهم التقنيات في التشفير وعدم وجودها تعتبر ثغره وكارثه امنيه .. اتذكر مره اخترقت موقع واستطعت الولوج الى كل اعضائه اكثر من 3 الف عضو بدون اي تعب السبب كان ان استعاده كلمه المرور يقوم موقعهم بدمج بيانات ال email+ '-'+id وتشفيرهم md5 بدون اضافة اي Salt لذالك كنت اتمكن من الولوج الى اي عضو بمعرفه ال id وايميله ... وغيرها الكثير من المواقع بنفس الطريقه .

نعم هو مهم جدا فهو يحمي من ال rainbow tables. ولكن بالحديث عن تجربتك فهذه مشكلة المبرمج الذي قام بذلك فمن ابسط الامان ان يقوم بدمج الوقت مع الاميل او ال id ثم التشفير هههه ^^

وضع ذالك المبرمج عند كتابه الاكواد xD :

ههههه، يوجد الكثير من " المبرمجين " الذين يثيقون في المستخدم بطريقة مبالغ فيها جدا، يوجد موقع حكومي قمت باستعماله كان عندما تقوم باستعمال رابط " نسيت كلمة السر " يطلب منك المعرف الوطني + الاميل، وعندما تضع المعلومات بطريقة صحيحة يقول لك تفضل هذه كلمة السر الخاص بك بدون حتى ارسالها للاميل الخاص بك. تجارب كارثية اخوضها مع المواقع الحكومية ~~ الله مستعان

يعني هي مشفرة تشفيرا لا يمكن حله بكلمة سر ما...


حسوب I/O

مجتمع لطرح الشكاوي والإقتراحات المتعلقة بتطوير حسوب I/O والإعلانات المتعلقة به

72.5 ألف متابع