/ Forside / Teknologi / Udvikling / ASP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
ASP
#NavnPoint
smorch 9259
Harlekin 1866
molokyle 1040
Steffanst.. 758
gandalf 657
smilly 564
gibson 560
cumano 530
MouseKeep.. 480
10  Random 410
Kryptering af passwords??
Fra : Jørn Andersen


Dato : 06-09-01 00:09

Hej,

Hvordan plejer I at kryptere passwords - uden anvendelse af specielt
installerede komponenter?

Jeg skal bruge det til noget styring af hjemmevagt. Sikkerheden på
dette er ikke høj-kritisk, men da man kan antage, at en del brugere
anvender samme pw til denne applikation som til "alt muligt andet",
vil jeg gerne hindre, at nogen (fx jeg selv) uden videre kan aflæse pw
fra databasen.

Så vidt jeg har fanget, er princippet, at man aflæser folks pw fra en
form, kører den igennem en krypto-funktion og gemmer den krypterede
værdi i databasen.

Så kravet til krypto-funktionen er vel bare, at:
- den giver samme resultat hver gang
- at forskelligt input giver forskelligt output (eller i det mindste,
at der kun er få input, som giver samme output)
- at man ikke umiddelbart kan udlede output af input

Eller er der noget, jeg har overset?


Mvh. Jørn


--
Jørn Andersen
Brønshøj

 
 
Allan Ebdrup (06-09-2001)
Kommentar
Fra : Allan Ebdrup


Dato : 06-09-01 09:40


"Jørn Andersen" <jorn.a@email.dk> skrev i en meddelelse
news:9ibdpt04ekvhb2ek44607viodpjfvnerq4@4ax.com...
> Hej,
>
> Hvordan plejer I at kryptere passwords - uden anvendelse af specielt
> installerede komponenter?
[Klip]
> Så kravet til krypto-funktionen er vel bare, at:
> - den giver samme resultat hver gang
> - at forskelligt input giver forskelligt output (eller i det mindste,
> at der kun er få input, som giver samme output)
> - at man ikke umiddelbart kan udlede output af input

Du mener vel at man ikke umiddelbart kan udlede input af output, ellers
bliver det meget svært at lave en krypterings algoritme.
Den slags "envejs-kryptering" kalder man Hash-funktioner, se fx her:
<http://pajhome.org.uk/crypt/md5/> eller søg på fx "MD5 Hash download" på
google:
<http://www.google.com/search?q=MD5+Hash+download>

MVH
Allan Ebdrup



Jørn Andersen (07-09-2001)
Kommentar
Fra : Jørn Andersen


Dato : 07-09-01 01:31

On Thu, 6 Sep 2001 10:40:15 +0200, "Allan Ebdrup" <ebdrup@ti-fire.dk>
wrote:

>
>"Jørn Andersen" <jorn.a@email.dk> skrev i en meddelelse
<SNIP>
>> - at man ikke umiddelbart kan udlede output af input
>
>Du mener vel at man ikke umiddelbart kan udlede input af output, ellers
>bliver det meget svært at lave en krypterings algoritme.

Selbstverständlich

>Den slags "envejs-kryptering" kalder man Hash-funktioner, se fx her:
><http://pajhome.org.uk/crypt/md5/> eller søg på fx "MD5 Hash download" på
>google:
><http://www.google.com/search?q=MD5+Hash+download>

Mange tak for links mv. til dig og Jesper. Jeg vil kigge nærmere på
det - det ser efter et hurtigt kig ikke helt uoverskueligt ud ...

Mvh. Jørn


--
Jørn Andersen
Brønshøj

Jørn Andersen (09-09-2001)
Kommentar
Fra : Jørn Andersen


Dato : 09-09-01 13:56

On Fri, 07 Sep 2001 02:30:32 +0200, Jørn Andersen <jorn.a@email.dk>
wrote:

<SNIP MD5 m.v.>

>Mange tak for links mv. til dig og Jesper. Jeg vil kigge nærmere på
>det - det ser efter et hurtigt kig ikke helt uoverskueligt ud ...

Det virker bare - endnu en gang tak!

Mvh. Jørn


--
Jørn Andersen
Brønshøj

Jesper Stocholm (06-09-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 06-09-01 10:40

Jørn Andersen wrote in news:9ibdpt04ekvhb2ek44607viodpjfvnerq4@4ax.com:

> Hej,
>
> Hvordan plejer I at kryptere passwords - uden anvendelse af specielt
> installerede komponenter?
>

det mener jeg ikke umiddelbart kan lade sig gøre - der findes så vidt jeg
ved ikke en metode i ASP/VB der kan kryptere en streng. Du kan overveje at
arbejde med Windows CryptoAPI - men det er imo lidt overkill hvis du blot
vil sløre passwords.

> Jeg skal bruge det til noget styring af hjemmevagt. Sikkerheden på
> dette er ikke høj-kritisk, men da man kan antage, at en del brugere
> anvender samme pw til denne applikation som til "alt muligt andet",
> vil jeg gerne hindre, at nogen (fx jeg selv) uden videre kan aflæse pw
> fra databasen.
>
> Så vidt jeg har fanget, er princippet, at man aflæser folks pw fra en
> form, kører den igennem en krypto-funktion og gemmer den krypterede
> værdi i databasen.
>
> Så kravet til krypto-funktionen er vel bare, at:
> - den giver samme resultat hver gang
> - at forskelligt input giver forskelligt output (eller i det mindste,
> at der kun er få input, som giver samme output)
> - at man ikke umiddelbart kan udlede output af input
>

Det du skal have fat i er en hash-funktion. En hash-funktion tager en streng
og laver et "digest" eller hash-værdi af strengen. Det er så denne værdi, du
gemmer i din tabel. Du kan typisk vælge imellem MD5 eller SHA-algoritmer -
hvor den sidste er mere sikker end den første. Jeg kan dog ikke forestille
mig, at MD5 ikke kan tilfredstille dine sikkerhedsbehov.

Du kan hente MD5 her:
http://www.frez.co.uk/freecode.htm#md5

og SHA-256 her:
http://www.frez.co.uk/freecode.htm#sha256

Begge implementationer af disse algoritmer har været postet i sci.crypt og
har ikke givet anledning til protester :)

> Eller er der noget, jeg har overset?
>

nope ...

Hvis du vil tage et hurtigt kig på koden, så kan du gøre det her:
http://stocholm.dk/asp/viewsource.asp?file=md5.asp, hvor også begge
algoritmer ligger.


--
.... der søger lejlighed fremleje/leje i Københavnsområdet. Max. kr. 3500 om
måneden alt inklusive.

- Jesper Stocholm - http://stocholm.dk

Thomas L. Nielsen (06-09-2001)
Kommentar
Fra : Thomas L. Nielsen


Dato : 06-09-01 14:01

Brug MD5. Den virker perfekt (jeg mener at dog at hvis teksten bliverover 16
tegn lang kunne du ramme samme MD5 hash med 2 forskellige strenge) Men,
særen Password length på6-16, det har jeg gjort


Mvh.


Thomas



Jesper Stocholm (06-09-2001)
Kommentar
Fra : Jesper Stocholm


Dato : 06-09-01 14:16

"Thomas L. Nielsen" <NOSPM-loftager@nielsen.mail.dk> wrote in
<3b9772b8$0$290$edfadb0f@dspool01.news.tele.dk>:

>Brug MD5. Den virker perfekt (jeg mener at dog at hvis teksten
>bliverover 16 tegn lang kunne du ramme samme MD5 hash med 2 forskellige
>strenge) Men, særen Password length på6-16, det har jeg gjort
>

MD5 har et udfaldsrum på 128bits ... dvs den streng den udspytter er på ca.
25-30 tegn. Længden af input i algoritmen ha intet at gøre med, om der er
kollisioner eller ej ... sandsynligheden for at få en kollision imellem 2
MD5-værdier ved input på 100 tegn er nøjagtig lige så stor som ved input på
10 tegn.

--
Jesper Stocholm
http://stocholm.dk

Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408872
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste