Autor |
Mensaje |
Sebastian Santisi
Administrador Técnico
Edad: 42
Registrado: 23 Ago 2005
Mensajes: 17451
|
|
Gente;
Un moderador de este sitio recibió un PM bastante desubicado con acusaciones bastante infundadas así que aclaro publicamente por las dudas de que alguien no tenga idea cómo funciona el login de los usuarios.
Ni phpBB como DokuWiki guardan contraseñas de ningún tipo. Lo que sea que ustedes utilicen como contraseña para loguearse, no está guardado en ningún lugar de nuestros servidores.
Cualquier sistema que garantice un mínimo de seguridad, no guarda contraseñas sino sus hashes.
¿Qué es un hash?; hash es una función no biyectiva. En particular los algoritmos de hash que se utilizan para criptografía son algoritmos los cuales tiene probados una distribución muy uniforme y que sea muy dificil revertir y obtener una semilla que lo genere.
¿Cómo se hace el login?; cada vez que ustedes ingresan un password, al mismo se le aplica la función de hash (MD5 tanto para el Wiki como para el Foro) y el resultado de aplicar eso, se compara con lo que está en el registro de la DB. Si el hash es idéntico, se asume que el password era correcto; si el hash difiere, se asume que el password era erróneo.
¿Hay error en esto?; ¡claro!, la función no es biyectiva. Tal vez un password incorrecto genere un hash idéntico al guardado. ¿Esto hace inseguro al sitio?; no, para nada; MD5 genera una clave de 128-bits; por lo que hay una posibilidad de 1 en de que una clave incorrecta genere el hash del usuario (y la función de distribución es buena; esa es la hipótesis).
¿Se puede revertir un hash MD5?; sí, hace unos dos años lograron romper MD5... ¿qué se obtiene de romper MD5?; nada útil, simplemente una lista infinita de todas las claves que podrían generar ese hash. ¿Todos entendemos qué implica la no biyectividad, no?
Así que, quien tenga algún delirio de persecusión paranoico con que la gente del staff tiene acceso a los passwords, dos aclaraciones:
- Los passwords no están en ningún lado.
- No nos sirven absolutamente para nada; somos administradores y tenemos libre acceso a cambiarle el password a un usuario sin tener noción de cuál usa.
Aflojen con la paranoia; sus datos están seguros... y, por otro lado, consejo personal, no sean tan pelotudos como para usar el mismo password maestro para todo; que en este sitio no se loguee no implica que en otros sitios tampoco.
|
|
|
|
_________________
|
|
|
|
|
kinchochan
Nivel 8
Edad: 38
Registrado: 14 Nov 2006
Mensajes: 503
Ubicación: Casi nunca.
Carrera: Electrónica
|
|
|
|
|
Javito
Nivel 9
Edad: 41
Registrado: 25 Ago 2005
Mensajes: 1013
Ubicación: capital
Carrera: Industrial
|
|
.
ké lástima. Yo kería denunciar a Santisi por algo.
|
|
|
|
_________________ .
.____________________Sí. soy el de mi foto. Sabelo.
|
|
|
|
|
Benibo
Nivel 9
Edad: 39
Registrado: 22 Nov 2005
Mensajes: 1922
Ubicación: Villa Crespo
Carrera: Civil
|
|
|
|
|
-Pablo-
Nivel 7
Edad: 35
Registrado: 31 May 2007
Mensajes: 347
Ubicación: Stos. Lugares, Bs.As.
Carrera: Electrónica
|
|
Antes que nada aclaro que esta idea paranoica me parece una boludez. Sin embargo, hay un par de cosas en tu mensaje que no me cierran del todo:
Sebastian Santisi escribió:
|
¿Se puede revertir un hash MD5?; sí, hace unos dos años lograron romper MD5... ¿qué se obtiene de romper MD5?; nada útil, simplemente una lista infinita de todas las claves que podrían generar ese hash. ¿Todos entendemos qué implica la no biyectividad, no?
|
¿Cómo "nada útil"? Para el caso, cualquier cosa que de el mismo hash, va a ser lo mismo que tener su cotraseña... si uno quiere loguearse a su cuenta, no le importa si sólo tiene *una* de las infinitas cosas que le servirían para hacerlo...
Wikipedia en MD5 escribió:
|
On 1 March 2005, Arjen Lenstra, Xiaoyun Wang, and Benne de Weger demonstrated[8] construction of two X.509 certificates with different public keys and the same MD5 hash, a demonstrably practical collision. The construction included private keys for both public keys. A few days later, Vlastimil Klima described[9] an improved algorithm, able to construct MD5 collisions in a few hours on a single notebook computer. On 18 March 2006, Klima published an algorithm[10] that can find a collision within one minute on a single notebook computer, using a method he calls tunneling.
|
Sebastian Santisi escribió:
|
Así que, quien tenga algún delirio de persecusión paranoico con que la gente del staff tiene acceso a los passwords, dos aclaraciones:
1. Los passwords no están en ningún lado.
2. No nos sirven absolutamente para nada; somos administradores y tenemos libre acceso a cambiarle el password a un usuario sin tener noción de cuál usa.
|
Pero la idea del paranoico era seguramente que ustedes accedían a su cuenta sin que él lo supiera.
Obviamente, si un admin cambia su password, esto va a resultar bastante evidente para él, que no va a poder loguearse con sus datos anteriores.
O sea, aun para un admin, podría ser de cierto valor tener la contraseña de un user, para poder loguearse sin ser descubierto.
|
|
|
|
|
|
|
|
|
gsoriano
Nivel 8
Registrado: 08 Jun 2006
Mensajes: 647
Carrera: Informática y Sistemas
|
|
|
|
|
Pancho Villa
Nivel 9
Edad: 40
Registrado: 09 Jul 2007
Mensajes: 1967
Ubicación: Cerca de LH
Carrera: Industrial
|
|
gsoriano escribió:
|
Sebastian Santisi escribió:
|
Ni phpBB como DokuWiki guardan contraseñas de ningún tipo. Lo que sea que ustedes utilicen como contraseña para loguearse, no está guardado en ningún lugar de nuestros servidores.
Cualquier sistema que garantice un mínimo de seguridad, no guarda contraseñas sino sus hashes.
|
Y cómo hace el sistema para enviar por mail la contraseña cuando alguien se la pide?.
|
No te asigna una contraseña nueva y luego vos las cambiás?
|
|
|
|
_________________ Who was Pancho Villa?
Doroteo Arango Arámbula, better known as Francisco or "Pancho" Villa, was a Mexican Revolutionary general. He became famous as a great military leader and today numerous streets and buildings in Mexico are named after him. Americans remember Villa for his attack in a small town in New Mexico, which provoked a fierce backlash of America. He died in 1923, he was a great womanizer, married even 24 times and it is believed that he left hidden treasure in different places.
|
|
|
|
|
Sebastian Santisi
Administrador Técnico
Edad: 42
Registrado: 23 Ago 2005
Mensajes: 17451
|
|
-Pablo- escribió:
|
¿Cómo "nada útil"? Para el caso, cualquier cosa que de el mismo hash, va a ser lo mismo que tener su cotraseña... si uno quiere loguearse a su cuenta, no le importa si sólo tiene *una* de las infinitas cosas que le servirían para hacerlo...
|
Sí, pero lo útil es que si ese es su password maestro para muchas cosas, poder obtener la contraseña real en crudo.
Si yo quisiera loguearme como vos, lo haría; no hay nada que me impida hacerlo, no necesito el hash ni siquiera. Y si quisiera leer tus datos personales, tampoco necesitaría ni siquiera loguearme.
Para lo único que podría servir un password es para entrar a otro servicio que tengas en otro lugar.
Con un hash eso no se puede... a menos que tengas tan mala leche que los dos utilicen exactamente el mismo algoritmo de cifrado sin aplicar ningún tipo de semilla. Infinitos passwords que matcheen en este foro no sirven para nada más allá del mismo foro.
-Pablo- escribió:
|
Pero la idea del paranoico era seguramente que ustedes accedían a su cuenta sin que él lo supiera.
Obviamente, si un admin cambia su password, esto va a resultar bastante evidente para él, que no va a poder loguearse con sus datos anteriores.
O sea, aun para un admin, podría ser de cierto valor tener la contraseña de un user, para poder loguearse sin ser descubierto.
|
Absolutamente para nada.
Esto es un sistema montado sobre bases de datos; la información de todo lo del foro está en dicho motor.
Como dije, no tiene por qué resultar evidente absolutamente nada, e incluso cambiándole la contraseña, tranquilamente se puede volver a poner la que tenía antes (porque, si bien no tenemos las contraseñas, sí tenemos los hashes).
Qué hagamos nosotros con sus datos privados; ahí ya es un tema de confianza de cada uno de ustedes... y esto no se circunscribe a este foro sino a absolutamente cualquier cosa que hacen frente a una computadora (aunque no esté enchufada a internet en ese momento).
La aclaración puntual es que las contraseñas no tenemos forma de saberlas. Otros datos, sí, pero bueno, está en ustedes creernos o no que no los revisamos y que sólo dos personas en la Argentina tienen acceso a eso en crudo y una persona más si ampliamos al mundo (es decir el staff no tiene ningún tipo de acceso a nuestro servidor en producción, sólo los tenemos quienes lo administramos).
Gsoriano: Ajap; cuando perdés tu contraseña te genera una nueva.
|
|
|
|
_________________
|
|
|
|
|
gsoriano
Nivel 8
Registrado: 08 Jun 2006
Mensajes: 647
Carrera: Informática y Sistemas
|
|
|
|
|
-Pablo-
Nivel 7
Edad: 35
Registrado: 31 May 2007
Mensajes: 347
Ubicación: Stos. Lugares, Bs.As.
Carrera: Electrónica
|
|
SS: Gracias por tu rta... recién ahora la leo
Me aclaró unas cuantas cosas que no sabía =)
|
|
|
|
|
|
|
|
|
tobias.h
Nivel 3
Registrado: 30 Ago 2007
Mensajes: 44
Carrera: Industrial
|
|
la verdad que a mí también, aunque llegué a este thread de pura casualidad
|
|
|
|
|
|
|
|
|
Basterman
Nivel 9
Edad: 34
Registrado: 28 Nov 2008
Mensajes: 2329
Carrera: Mecánica
|
|
Che, tengo una pregunta y me parece q este es el topic menos malo para hacerla, no tenia ganas de crear uno nuevo por una huevada.
La cuestion es la siguiente, por accidente voy a login security y me sale esto:
Here you can have a look at your recorded IP addresses and the Login-time since you last 10 Login. You can see if your account was used by someone else. If there are unknown Login-times or IP adresses in the Login History - it is possible that someone has grabbed your password. In this case you should change the password for your account and check your e-mail account too.
y abajo muchas IP q supuestamente son mias, pero las primeras 4 difieren en los ultimos 2 numero de 2 cifras, contando de derecha a izaquierda, con las otras 6.
Ejemplo por si no se entenidio
de 1 a 4 dice :---.--.XX.UU
5 a 10: ---.--.YY.HH
Que onda, es para preocuparse o no?
|
|
|
|
|
|
|
|
|
soymilrayita
Nivel 9
Edad: 40
Registrado: 21 Ene 2006
Mensajes: 1747
Ubicación: Lomas de Zamora
Carrera: Electrónica
|
|
Basterman escribió:
|
y abajo muchas IP q supuestamente son mias, pero las primeras 4 difieren en los ultimos 2 numero de 2 cifras, contando de derecha a izaquierda, con las otras 6.
Ejemplo por si no se entenidio
de 1 a 4 dice :---.--.XX.UU
5 a 10: ---.--.YY.HH
Que onda, es para preocuparse o no?
|
Tu ISP seguramente te está asignando IP dinámicamente. Podés fijarte mediante http://whois.domaintools.com si esas IPs pertenecen a tu ISP.
|
|
|
|
_________________
|
|
|
|
|
Sebacho
Nivel 8
Edad: 34
Registrado: 19 Jun 2009
Mensajes: 518
Carrera: Mecánica
|
|
Jajajaj de última que mierda gana alguien entrando al foro de la facultad con el usuario de otro
|
|
|
|
|
|
|
|
|
Mafia
Nivel 9
Edad: 34
Registrado: 16 Ago 2008
Mensajes: 4451
Ubicación: en el Mafia-Movil
Carrera: Civil
|
|
poder armar bardo al pedo
|
|
|
|
_________________ Saludos, Ing. Mafia
|
|
|
|
|
|
Ir a página 1, 2 Siguiente
|
Ver tema siguiente
Ver tema anterior
Podés publicar nuevos temas en este foro No podés responder a temas en este foro No podés editar tus mensajes en este foro No podés borrar tus mensajes en este foro No podés votar en encuestas en este foro No Podéspostear archivos en este foro No Podés bajar archivos de este foro
|
Todas las horas son ART, ARST (GMT - 3, GMT - 2 Horas)
Protected by CBACK CrackerTracker365 Attacks blocked.
|