Автору нужно сменить логин с ТЕМНО на ЖИРНО. Естественно у компании есть полный доступ к кабинету. И возможность сменить пароль в любой момент. И даже насчитать ЛЮБОЙ долг. И не только у этой компании, но и у любого банка.
В чем неожиданность-то?
У любой компании есть возможность сменить пароль клиента, но ни у какой нормальной компании нет возможности узнать пароль клиента, так как у них в базе хранится хэш пароля, а не сам пароль.
Кто Вам это сказал? Какие основания для таких заявлений? Какой критерий для определения "нормальности" компаний? Свой глазок-смотрок? В каком-то смысле Вы правы, многие компании могут не хранить пароли, коль скоро могут за счёт админского доступа сделать все, что нужно, не входя в личные аккаунты. Но многие - хранят.
Но многие - хранят.
Это то понятно, если вместо разработчиков нанимать студентов за пачку дошика, то они и не такое сотворят.
Всё так, кроме одного но: на любой шифратор есть дешифратор. На любой компилятор есть декомпилятор. Это не отменяет, естественно, того, что у сервера или админчиков не должно быть ключей шифрования. Просто к тому, что нет такого шифра, с помощью которого навсегда прям безвозвратно можно что-то скрыть)
нет такого шифра, с помощью которого навсегда прям безвозвратно можно что-то скрыть
есть, но он настолько неудобен, что в большинстве случае бессмыслен
Даже у шифра с одноразовой кодовой книгой есть уязвимость - утечка кодовой книги. И по этой утечке у него есть и вторая уязвимость - возможность расшифровать ранее перехваченные сообщения.
Если бы вы хоть 5 минут занимались криптографией, знали бы, что подавляющее большинство атак сейчас - не в лоб на шифр (все актуальные достаточно стойкие), а на различные способы выявления ключевой информации по побочным каналам. Абсолютная стойкость шифра вам не поможет, если вы проебёте ключевую информацию (для классического варианта это кодовая книга с длиной равной длине шифрованного сообщения).
Если вы хоть 5 минут занимались логикой, понимали бы, что всё, что вы написали, не опровергает существование абсолютно стойких шифров.
Шифр может быть абсолютно стойким, но при дырявом протоколе от него толку мало. Стойкость шифра это конечно основа, но без всего остального это просто пускание пыли в глаза.
Человек который не знает как организовано хранение паролей в нормальных системах, сейчас пафосно заявляет про "Если бы вы хоть 5 минут занимались криптографией". А сам то ты хоть 5 минут ей занимался?
Сорь, я твой ник спутал, в соседней ветке чел глупости писал, и мне показалось, что это был ты.
На любой? Прям таки на любой? Есть односторонние алгоритмы. В одну сторону можно, а вот в другую уже не получится.
Ну если ты не знаком с компьютерными технологиями, то да, для тебя это будет белибердой.
Включи мозг и подумай. Всё, что зашифровано, чтобы имело смысл, должно быть расшифровано.
Нет. Вообще нет. Это совершенно не обязательно. Напоминаю задачу. У нас нет задачи расшифровать пароль, у нас стоит задача проверить правильность введённого пользователем пароля. А для этого вовсе не обязательно расшифровывать то, что хранится у нас в базе. Достаточно зашифровать то, что ввёл пользователь и сравнить.
Простой пример функция свёртки. Создаём пользователя с паролем password. Вычисляем для этого пароля SHA-256 и записываем в базу:
5E884898DA28047151D0E56F8DC6292773603D0D6AABBDD62A11EF721D1542D8
Далее когда пользователь вводит пароль, то повторяем те же вычисления для введенного пароля. Если получили:
5E884898DA28047151D0E56F8DC6292773603D0D6AABBDD62A11EF721D1542D8
то пропускаем, если же например он вместо password введёт ppassword, то результат SHA-256 будет уже
CD469715760774FC8E005A931232A3DC7E67F19B089C33734266528090B20D3B
и с записанным в базе это не совпадает.
При этом если база будет скомпрометирована, из значения хранящегося в базе получить обратно пароль уже ОЧЕНЬ сложно.
При этом я привёл только банальный пример для описания базовой концепции. Он имеет очевидную уязвимость, поэтому такое в жизни применяют только совсем уж диллетанты. В жизни используются более сложные способы.
Для шифрования пароля используется один и тот же алгоритм, чтобы полученные зашифрованные данные в результате совпадали с такими же выведенными ранее. Соответственно, блоковое шифрование всегда одно и тоже, но разное у каждой программы, преимущественно. Утверждение о том, что расшифровать имея только данные памяти невозможно - истинно лишь до тех пор, пока не получен сам ключ шифрования. Если сказать по-простому - то если мы меняем "в" на "557DGXC", а "вс" на "73396846HDHHFBSJD" (символы не имеют значения), то мы ВСЕГДА меняем в и вс на именно эти значения и эти суммы. И имея исходный ключ шифрования никакого труда не составляет провести обратные операции. Проблема исключительно в затраченном на это ресурсе - времени. Крипта развивается пропорционально разработке вычислительных мощностей, и то, что сейчас не получится дешифровать из-за длительности вычислений - получится сделать или критично долго, или с новыми мощностям, когда это будет уже, по большому счету, не актуально. Любой шифр дешифруем, абсолютно. Но не здесь и сейчас. Не так давно и брутфорса на 10 латинских символов не существовало из-за его неактуальности по причине долгих вычислений, и эти 10 символов были самым надёжным способом защиты. Но появились новые мощности вычислений и сейчас такая защита выглядит смешной. Чем дальше прогресс в скорости вычислений, тем сложнее будут новые способы шифра, но любой шифр рано или поздно утратит свою безопасность и будет дешифрован. Нет абсолютной безопасности, т.к. нет случайных действий, любая программа - это логическая последовательность. Всё, что сейчас называется искусственным интеллектом - это предопределенные действия, также, как и "самообучение" предопределено исходными логическими операциями.
Утверждение о том, что расшифровать имея только данные памяти невозможно - истинно лишь до тех пор, пока не получен сам ключ шифрования.
Окей. Окей. А теперь попробуй доказать свои слова на практике. Я загадал пароль. SHA-256 от этого пароля:
659DFE6A2AA617E8042E5E70D217C4A1FD700168B700A438FC96FE0539A36986
и в качестве подсказки я тебе скажу, что первая половина пароля это
6RM_--[5e%kJlgQH3GV8
Вперёд и с песней. Скажешь тогда как подберёшь.
Ты внимательно читал мой комментарий? Если нет, специально для тебя повторюсь:
то, что сейчас не получится дешифровать из-за длительности вычислений - получится сделать или критично долго, или с новыми мощностям, когда это будет уже, по большому счету, не актуально.
Так что окей, без проблем, через N лет напишу, либо когда на текущих мощностях ключ будет подобран, либо когда выпустят мощности, способные за короткое время это сделать.
Как я и написал, проблема только во времени, но ключ не меняется от этого, поэтому любой шифр можно дешифровать, т.к. всё основано на логике ДА/НЕТ (ИСТИНА/ЛОЖЬ, 0/1, +/-, сигнал и его отсутствие). Нужен только доступ к самому алгоритму шифрования. А при наличии доступа к чистому коду конкретного шифратора еще проще. Только мозги живых существ и природные явления на нашей планете нельзя вычислить, т.к. нет понятия об исходной базе. И то, я думаю, это пока что. Всё, что изначально сделано человеком, можно разобрать и обернуть вспять, разница в сложности, но невозможности это сделать нет. Засим откланяюсь, напоследок посоветовав понять суть логики вычислений в программной индустрии.
Ничего он правильно не описал. И Вам не нужно кивать на других, чтобы оправдать собственную безграмотность. Я прямо говорю - у сотрудников большинства организаций такого рода (даже финансовых) есть как доступ ко всем паролям, так и возможность внести изменения в данные личного кабинета. Я лично это наблюдал, причем неоднократно. Причем в разных организациях. Естественно, там сохраняются следы вмешательства.
Ты путаешь тёплое с мягким и плохо понимаешь как это всё устроено.
У сотрудников организации (полный доступ обычно только у админа баз-данных) есть полный доступ к своему софту. И да, они могут внести любые изменения в даннные твоего ЛК.
Но пароли в открытом виде в нормальных организациях не хранят. Потому, что это дырище в безопасности. И так делать нельзя.
Пароли хранятся в зашифрованном виде и никто не может их посмотреть. Совсем никто. Даже айтишник-дбашник. (что не мешает им поменять пароль на 123, залогинится, а потом вернуть как было и почистить логи).
Собственно претензия у ТС не к тому, что сотрудники имеют доступ. А к тому, что пароли хранятся в открытом виде.
Подозреваю, что без этого организации не смогут ни обслуживать кабинеты, ни выполнять все требования законодательства.
1) Простой вопрос - чем занимается организация? 2) Я уже несколько раз сказал, что организации входят в ваши кабинеты без всяких паролей. Хотя и имеют доступы ко всем паролем. Сейчас Вы сказали это же самое.
"Если что-то подкорректировать в учётке нужно, то это делается через админку, зачем мне входить в профиль юзера?"
Вы уловили суть? Для админов эти кабинеты вообще не запаролены.
Но и список всех паролей у них имеется.
А технику нужно вбивать пароль пальцами, буквами и символами в РОУТЕР. Как он это сделает через личный кабинет, по удалёнке, не видя пароля в явном виде?
Вы бред какой-то пишете абстрактный, не пытаясь вникнуть в специфику работы.
Если бы вам, в вашем мегаколцентре, необходимо было для каких-то задач видеть пароль в явном виде, вам бы тоже выдали на это права. Но вам не надо и у вас их нет.
А если он пришёл прокидывать подключение в квартиру, где нет компа? Или все на работе/учёбе, а дома только слепая бабка/маленький ребёнок/любой "я в этих железяках ничего не понимаю, звоните Лёше, это он вас вызвал"
Ну включите башку!
Я прямо говорю - у сотрудников большинства организаций такого рода (даже финансовых) есть как доступ ко всем паролям
Если есть доступ к паролям, то значит пароли где то хранятся. А это уже проёб в безопасности. Нормальные люди пароли не хранят.
А где тут проеб в безопасности? У всех организаций есть БД клиентов, где хранятся учетные записи. У части сотрудников компаний есть доступ к УЗ, например у тех.пода. Техник дом.ру скорее всего использует внутреннюю систему для получения пароля. Мне техник дом.ру тоже показывал пароль для ЛК, когда родителям инет подключал
Вы ошибаетесь, как бывший сотрудник нескольких операторов связи могу вам сказать, что пароли хранят все операторы в БД клиентов. Для настройки оборудования УЗ требуется всегда. А данные УЗ обычно совпадают с данными к ЛК.
В случае с дом.ру при смене пароля абонентом новый пароль попадет в БД, а оттуда засихрится в приложение к технику. Поэтому он видит новый пароль сразу.
Другое дело, что техник этот пароль вряд ли сможет использовать по назначению.
Кстати, гос.услуги тоже имеют базу данных своих пользователей.
Если бы БД не хранили пароли, то это был бы ад при восстановлении данных или потере доступа к мобильному устройству, например.
База данных пользователей - да. Все хранят базу данных пользователей. А вот пароли в этой базе хранят только долбоёбы.
По моему мнению ничего страшного в том, что пароли хранятся в БД нет, тем более, что обычно к этой БД нет доступа извне. А вот если есть доступ, то тут тогда вы правы - долбоебы.
Суть в том, что из-за специфики предоставляемых сервисов не хранить пароли, в случае с операторами связи, не получится.
Концепция "нет доступа извне" часто подводит. Как мы прекрасно видим, базы успешно утекают. Утечек стало настолько много, что даже появились сервисы, которые строят связи между утечками. Поэтому если ты не хочешь увидеть завтра объявление "продаётся база логинов и паролей пользователей ХХХ", то базу нужно хранить таким образом, чтобы в случае утечки она была бесполезна. Поэтому не храним пароли. Нельзя украть то, чего нет.
И что он описал? Он сказал, что не знает, как сейчас. Описал - видение защиты с позиций пользователя и взломщика? По факту, как именно защищена система от самих ее владельцев (то есть не снаружи, для внешнего пользователя, а изнутри!) - он не описал. Вы бы хоть читали и разбирались, прежде чем ссылаться.
Владельцы этого портала - вообще не нуждаются в пароле, чтобы зайти в личный кабинет. Он по дефолту им доступен.




