Koitin oscommercen viralliselle foorumille postata vakavasta aiheesta viestin, mutta näköjään modeja osui omaan nilkkaan ja viestiä ei tullut koskaan näkyviin.
Eli oscommerce on käytössä ja siinä salasanat tallennettaan kantaan md5 kryptattuna. Ainoa ero perusmalliin vain on että salasanaan lisätään alkuun vaivaset kaksi merkkiä.
Tuo toimenpide hidastaa md5-raimbow hakkerointia ainoastaan muutaman minuutin, eikä tuo varsinaisesti lisää tietoturvaa yhtään - vaikkakin näyttää monimutkaiselta.
Mitenkä live kaupan saisi turvallisemmaksi ja salasanat paremmin suojatuksi?
mallit oscommercen md5 funktioista löytyy esim. täältä:
http://stackoverflow.com/questions/1109277/
Nykypäivänä tuo onnistuisi ihan kauppasovellustakin vaihtamalla.
Rakennat vain kauppasi jonkun nykyaikaisemman järjestelmän päälle, luot uuteen kauppaan satunnaiset salasanat vanhoille käyttäjille ja kehotat heitä uusimaan salasanansa esim. "unohditko salasanan?" -toiminnon kautta. Ennen kaupan julkaisua uutisoit asiakkaille (esim. kaupan etusivulla) tarkistamaan tietonsa ja päivittämään toimivan sähköpostin kauppajärjestelmän päivityksen vuoksi.
edit:
Huom!
En ole siis koskenut osCommerceen vuoden 2006 jälkeen, joten en tiedä kauppasoftan viimeisintä versiota, tai sen "nykyaikaisuutta"....
editedit:
Nopealla muokkauksella ainakin Salt.php -tiedostoon (sekä tietokannan asiakkaiden salasanakenttää pidentämällä) sai suolasta paljon pidemmän, sekä laitettua suolaan kirjaimia ja erikoismerkkejä.
Tuota mietin itsekin ja siihen saisi jop versioinnin niin että hash päivitetään automaattisesti sisäänkirjautumisen yhteydessä. Vertailu versioiden välillä tapahtuisi tuota salt-pituutta vertailemalla.
Mutta!
Jos salttia pidentää, niin se ei siltikään estä purkua, ainoastaan hidastaa sitä (ja muutaman vuoden päästä taas saa koneilla yhtäkkiä purettua :D )
juhauta kirjoitti:
Jos salttia pidentää, niin se ei siltikään estä purkua, ainoastaan hidastaa sitä
Kerropa sitten jokin tapa, joka todella estää purkamisen (tai tarkemmin kokeilemalla selvittämisen, siitähän MD5:n kohdalla on aina kyse). ^^
juhauta kirjoitti:
lisätään alkuun vaivaset kaksi merkkiä – – hidastaa md5-raimbow hakkerointia ainoastaan muutaman minuutin,
Mistä moinen laskelma? Jos käytössä on täysin kattava taulu, useimmat salasanat kaksimerkkisine lisäyksineen löytyvät edelleen suoraan. Toisaalta kahden merkin lisääminen voi vaikuttaa ratkaisevasti siihen, löytyykö tiivistettä netissä olevista ilmaisista MD5-tauluista, jotka usein tuntevat satunnaisia sanoja vain 8 merkin verran. Brute-force-haussa kahden (tai sadankaan) tunnetun merkin lisääminen salasanaan ei taas hidasta itse hakua yhtään, sen sijaan kahden tuntemattoman tavun lisääminen pidentää haun teoriassa parhaimmillaan 65000-kertaiseksi (odotusarvo puolet tästä; käytännön tulos riippuu myös hakkerin strategiasta). Toki muutaman lyhimmän salasanan murruttua hakkeri jo näkee vakiona lisätyt osat ja voi muuttaa hakunsa tehokkaammaksi. Käyttäjäkohtainen suola eliminoi tämän ongelman ja pidentää aikaa lisäksi käyttäjien määrän mukaan, koska yksi brute-force-haku koskee vain yhtä käyttäjää.
Vakiosuolalla (pituudesta riippumatta) ei siis voi suojautua niitä vastaan, jotka pääsevät järjestelmän kaikkiin tietoihin käsiksi ja todella haluavat murtaa salasanan. Tarpeeksi pitkällä vakiosuolalla voi suojautua niitä vastaan, jotka sattuvat löytämään SQL-injektioaukon ja huvikseen vähän katsovat, löytyykö jotain salasanaa valmiista tietokannasta. Tarpeeksi pitkällä käyttäjäkohtaisella suolalla voi suojautua kaikkia vastaan, mutta murtamista ei voi millään täysin estää. (Edit: Suojautua = pidentää murtamiseen kuluvaa aikaa. Lyhyt salasana murtuu aina helposti kokeilemalla, ja tähän ei auta kuin hitaamman tiivistealgoritmin käyttö.)
Metabolix kirjoitti:
Tarpeeksi pitkällä käyttäjäkohtaisella suolalla voi suojautua kaikkia vastaan
Mielestäni tämä on hieman harhaanjohtavasti sanottu. 7 merkkinen a-z salasana murtuu silti 0,2 sekunnissa, vaikka olisi järjestelmä- ja käyttäjäkohtaiset suolat, olettaen että hakkeri saa ne suolatkin kaivettua.
Grez: tuo uusin (3) OsCommerce näytti tosiaankin heittävän satunnaisesta rimpsun md5-summasta kaksi ensimmäistä merkkiä "suolaksi", eli kaksi merkkiä koostuu numeroista tai a-f -merkeistä.
Silti, tuntuu että suolan luonnissakin on oscommercen kohdalla lepsuiltu oikein urakalla, itse haluaisin joukkoon kaikki aakkoset isoine ja pienine kirjaimineen, sekä erikoismerkkejä ja jollaisen merkkijonon luontiin taitaa löytyä valmis skripti jopa php.netistä.
Silti, itse saattaisin jopa painottaa vaihtamaan pikkuhiljaa nykyaikaisempaan kauppajärjestelmään.
Hyviä ja asiantuntevia kommentteja, kiitos niistä !
Tuolla hidastumisella juuri tarkoitin että kun hakkeri saa dumpin, niin menee pari minuuttia parsettaa ne suolat sieltä pois ja kirjoittaa skripti joka poistaa myös raimbow:lla löydetystä salasanasta ne 2 ekaa merkkiä pois ja muuten ei eroakkaan siitä että salasanat olisi vaan md5(salasana)
-> eli turhaa kikkailua.
mitä silmään osui, niin olisikohan ollut nuo 0-8 merkkiä pitkät raimbow tablet kooltaan n 1 - 2 TB. Eli jos tuota oscommerce suolaa pidentäisi vaikka 12-20 merkkiseksi, niin eiköhän tietokanta sitten kasva jo niin isoksi ettei sitä kukaan jaksa luoda..
(toki taas 3 vuoden päästä sekin mahtuu muistitikulle)
Ehkä kolme vuotta vanhalla webikaupan salasanalla saakin jo murtautua, jos kerran käyttää samaa salasanaa muissakin palveluissa.
Voin suositella Contao + Isotope e-commerce yhdistelmää, todella joustava ja nykyaikainen ratkaisu. Löytyy Googlella.
Aihe on jo aika vanha, joten et voi enää vastata siihen.