password

[borgo italia]

ciao
una curiosità e una richiesta di info.
quando si salva una password nel db, per impedire "letture" indesiderate conviene salvarla codificata con md5 o meglio sha1,
quindi nella mia tabella mi ritroverò nel campo password una accozaglia di caratteri difficilmente interpretabili.
ma mettiamo il caso non improbabile che un utente "perda" la sua password, in molti casi c'è il pulsante "pass dimenticata?" su cui l'utente cliccando e, talvolta rispondendo ad una domanda, recupera detta password.
certo non riceve "l'accozaglia" di caratterei codificata, ma la sua pass in chiaro.
ora dove conviene e come salvare detta pass in modo che l'utente possa recuperarla?

p.s.
se è più giusta le sez. database spostate anche se penso che ci voglia un po' di php

 

[Eliox]

In alcuni casi si utilizzano due campi, uno con la pass codificata e l'altro con la pass in chiaro; il primo campo (e solo quello) si utilizza per l'autenticazione passando nel login la pass in chiaro a sha1 o md5, il secondo per il "ricorda password".
Consiglierei però di consevare sul DB soltanto le pass codificate, in tal caso, se un utente non ricorda la pass sarà bene dargli la possibilità di resettarla, e cioè di sceglierne una nuova (aggiornando il campo codificato) invece di ricevere quella vecchia per email, in questo modo non si avranno dati "in chiaro" da dover proteggere.

P.S.: non sposto in "database" perché la discussione mi sembra interessante per l'architettura della applicazioni

 

[borgo italia]

ciao
non avendo estreme necessità di segretezza ho utilizzato il tuo primo metodo.

per il secondo invece mi sorge un dubbio.
mettiamo che l'utente sempronio si logghi con user pinco e pass 1234 (lo so pass assurda, ma solo per esempio)
l'utente pallo (che conosce l'user pinco) inserisce pinco e poi "mi sono dimenticato la pass", la pass nel db viene resettata e inserita la nuova (es. 5678).
a questo punto l'utente sempronio non riesce più ad entrare, mentre pallo (fingendosi sempronio) fa quello che vuole, tanto è colpa di sempronio

 

[nim]

si potrebbe richiedere un inserimento della mail usata in registrazione,
il server invierà una mail con un codice di conferma all'indirizzo usato in registrazione
e se a richiedere la password sarà stato l'utente imbroglione non potrà comunque accedere alla mail dello sfortunato e il problema sarebbe ovviato...
boh non so se potrebbe andare, ditemi voi

 

[Eliox]

Nim, io direi che la tua soluzione è l'unica praticabile, infatti viene utilizzata da servizi come Twitter e LikedIn; in effetti, e qui mi rivolgo a Borgo, pinco non può danneggiare pallo se non ha accesso al suo account di posta elettronica, conoscere la sua user non servirebbe anche se fosse il suo indirizzo email.

 

[borgo italia]

ciao

credo che sia il sitema che va per la maggiore, anche se penso che (funzione della sicurezza) l'invio di una email sia il più sicuro

 

[Eliox]

Però in quel modo hai una pass in chiaro nel db e inoltre questa viene inviata, sempre in chiaro, tramite email, nell'altro caso le tue pass sono al riparo da violazione, anche in caso di incursioni a carico del db.

 

[borgo italia]

ciao
ho fatto un errore intendevo
NON il più sicuro

 

[marco_rx]

Scusate se mi intrometto, ma in teoria le password non dovrebbero essere sempre criptate e mai memorizzate in chiaro?
Poi il solo criptaggio MD5 non è un metodo superato ormai?

 

[borgo italia]

ciao
si era proèrio di quello che si parlava, se (come dev'essere) la pass è criptata e l'utente la perde, come si fa eventualmente a recuperarla?
per i sistemi di criptatura, a che ne so, md5 è supareto da sha1, ma in tutti i sistemi quello che conta credo che sia il tempo di decriptatura.
è evidente che migliore è il sistema e più si impega (e il tempo è denaro).
credo comunque che il sistema perfetto non esista, ma tutto dipende dall'importanza di quello che deve essere protetto, è sempre una rincorsa tra criptatori e decriptatori.

p.s.
poi quando poi cominceranno i primi pc molecolari basati sul dna allora per i poveri pc a silicio ancora sul mercato saranno c..zi amari.

 

[alessandro1997]

La password non si memorizza mai in chiaro nel database. Salvare la password codificata e, in un campo a parte, la password in chiaro, non ha nessun senso: tanto vale disfarsi di quella codificata.

Per il recupero della password si usa il metodo della domanda segreta oppure la conferma per email, e la password viene resettata con una nuova. Io cancellerei subito il mio account su un sito che, quando dimentico la password, me la rispedisce.

Ulteriore modo per complicare la vita ad utenti malintenzionati è salvare, insieme alla password, un salt: una stringa posta dopo (o prima) della password vera e propria e codificata insieme ad essa, in modo che non si possano decodificare le password tramite forza bruta.

 

[Eliox]

Concordo con Alex e rilancio, il salt deve essere necessariamente random, con un salt statico si potrebbe ripresentare facilmente il pericolo di un brute force.
Il "ricorda password" può andare bene per un tutorial, per un esempio di applicazione strutturata, o al massimo per un "servizio" gestito localmente, ma in fase di produzione è ormai standard il password reset.
I tutorial servono per imparare, non per copiare e incollare codice da utilizzare in live sites.

 

[borgo italia]

ciao
mi chiedo se da parte di alcuni wm (e non solo) non ci sia un po' di "paranoia", capisco che si voglia tutelare certi dati, ma ritengo che certe complicazioni debbano essere prese in funzione dell'importanza di cosa si vuole tutelare. (pechè comprasi una ferrari quando mi basta una 500?)
se non voglio che qualcuno conosca il nome del mio gatto secondo me basta una pass del tipo "123456", mentre se devo proteggere il numero della carta di credito le cose cambiano.
d'accordo c'è chi si può divertire a kraccare la pass per conoscere il nome del mio gatto però più è difficle e più si diverte, se lo fa per divertimento.
se lo fa invece per uno scopo, truffaldino o meno, tutto si rifà al bilancio: quanto spendo per kraccare/quanto guadagno se kracco.
e se guadagno tanto (non solo vile denaro) prima o poi il sistema per bypassare una codifica qualcuno la trova.

certo questa è solo un mio pensiero e, come probabile, puo essere errato, comunque oggi come oggi se vogliono sanno anche quante volte uno fa il bidè (non gli albionici che non l'hanno) il tutto alla faccia della privacy.

 

[alessandro1997]

Su questo ti sbagli: un livello minimo di sicurezza ci deve essere sempre in ogni applicazione. Questo è il livello minimo, ed esistono molte altre misure che potrebbero essere prese per evitare intrusioni, ma dipende da quanto è complessa l'applicazione e dall'importanza dei dati che tratta.

 

[borgo italia]

ciao

Su questo ti sbagli: un livello minimo di sicurezza ci deve essere sempre in ogni applicazione. Questo è il livello minimo, ed esistono molte altre misure che potrebbero essere prese per evitare intrusioni, ma dipende da quanto è complessa l'applicazione e dall'importanza dei dati che tratta.

su questo non ci piove, ma è proprio su quel "livello minimo" e "..dipende da quanto è complessa l'appilcazione e dall'importanza dei dati che tratta" su cui baso l'eventuale "paranoia".
talvolta, leggendo i vari post, ho l'impressione che qualche wm debba proteggere la combinazione per aprire la cassaforte di fort knox

 

[marco_rx]

Ma molte persone utilizzano la stessa password per più servizi quindi anche se l'applicazione non contiene dati particolarmente sensibili sarebbe meglio garantire un buon livello di sicurezza.
Oltretutto il webmaster non ci fa una bella figura se qualcuno riesce a recuperare le password degli utenti.

 

[borgo italia]

ciao

....Oltretutto il webmaster non ci fa una bella figura se qualcuno riesce a recuperare le password degli utenti.

se il gioco vale la candela ci sarà sempre qualche wm che farà brutta figura.
per ovviare comunque al:

Ma molte persone utilizzano la stessa password per più servizi ....

basta che sia il "servizio" a fornire la pass, difficilmete sarà uguale a quella che l'utente usa per altre cose

 

[alessandro1997]

Sì, ma poi il servizio dovrebbe anche dare all'utente la possibilità di cambiarla, altrimenti non è molto user-friendly.

 

[borgo italia]

ciao

Sì, ma poi il servizio dovrebbe anche dare all'utente la possibilità di cambiarla, altrimenti non è molto user-friendly.

si, ma il wm non può farsi carico, oltre un certo limite, della cogli....ia degli utente, del resto c'è ancora chi quando gli arriva un'email delle poste...invia i dati, anche se chi ti invia tali email è molto "user-friendly"

 

[Eliox]

Non è solo una questione di usabilità, bisogna tenere conto che un attacco è sempre possibile, a quel punto poter consigliare a tutti gli utenti di modificare la propria pass diventa necessario.