bcrypt; روش امن و مرسوم برای ذخیره کردن هش پسورد به همراه سالت و شیوه هش کردن در دیتابیس
Вставка
- Опубліковано 14 січ 2024
- در ویدئوهای مربوط به هک اسنپ، یه بحثی بود که چرا سالت، به عنوان فیلدی از دیتابیس ذخیره شده. من اول گفتم این برام جذاب نیست چون میشه از هر فیلد یونیکی (مثلا یوزر آی دی) براش استفاده کرد؛ حتی اگر این در ترکیب با یه سالت دیگه (پپر) از بیرون دیتابیس باشه. اما بعضی از دوستان گفتن که این اشکال خاصی هم نداره و شاید باعث تمیزتر بودن دیتا باشه یا چیزهای دیگه.
این شد که گفتم در مورد بی کریپت هم یه ویدئو بدم که در ادامه صحبتهای قبلی در مورد ذخیره پسورد و هشش و اینها، بدونیم دقیقا بست پرکتیسها و روشهای اثبات شده و خوب برای نگهداری پسورد چه تیپ چیزهایی هستن (:
به حامیان کانال بپیوندین (:
/ @jadimirmirani - Наука та технологія
هزار بار هم از یک موضوع حرف بزنی،باز هم نکته تازه ای برای گفتن داری😊
اول: از همه تولد مبارک جادی عزیز🎉،
دوم: عالی توضیح دادید مثل همیشه
سوم :تازگیها فعالیتت بیشتر شده خوشحالم و ممنون❤
از افغانستان سلام برایت استاد عزیز ویدیو های شما را تهیه کردم واقعا به عشق و حال درس میدین تا حال چنین دوره آنلاینی را تجربه نکرده بودم❤️❤️
خوشحالم مثبت بوده (:
جادی جان. میشه درباره اینکه با کامپیوتر های کوانتومی چطوری این شیوه رمز نگاری به خطر میوفته هم صحبت کنی؟
بوس به کله ات جادی عزیز 😘😘😘
میلادت هم شادباد 🥂🥂
هنوز تا آخر ندیدم ولی تکملهای که به بحث قبل زدی عالی بود! کلا با این موضوع «ادامه دادن بحث» توی ویدیوهای مختلف بسیار موافقم.
ایول فعالیتت دوباره زیاد شده ❤🎉
استاد جادی گل بسیار ممنون بسیار شیوا و قشنگ توضیح میدید
چقدر لذت میبرم ، اموزنده و خیییلی کاربردی🙏🏻🙏🏻
چقدر جالب که از یه دیتا بیس لیک شده ای که خیلی ساده ما از کنارش رد شدیم تو کلی تحلیلش کردی و چیز یاد گرفتی. موفقیت ینی این =))
ممنون جادی
بسیار لذت بخش و رووان بو
ساعت ۶ و نیم صبح رو با این ویدئو عالی شروع کردم. خیلی آموزنده بود.
thanks again Mr Jadi
Great video as always
زادروزت فرخنده و به تندرستی و شادی باشه جادی خیلی عزیز 🎉🌹♥️👑💯 دنیا به انسانهایی مانند شما شدیدا نیاز داره. مثل شما بیش باد 🙏🙏🙏🙏🙏
واییییی عالییییی بود کلی چیز باحال یاد گرفتم بازم ❤
happy birthday jadi joooon ❤
Good work jadi❤❤❤
سلام ممنون از ویدیو خوبتون
به عبارت OrpheanBeholderScryDoubt در رمزنگاری nothing-up-my-sleeve میگن طراحان الگوریتم های رمزنگاری و هش فانکشن ها اگه از یک initial vector یا عبارت ثابت استفاه کنن باید علت انتخاب کردن این عبارت ها رو توضیح بدن تا احتمال اینکه این عبارت به منظور ایجاد یک آسیب پذیری و backdoor استفاده شده باشه پایین بیاد.
Love your content
تولدت اینجا هم مبارک جادییییییی 🤩🍀🍻
متشکرم
دمت گرم خیلی خوب و مفید بود
مثل همیشه عالی..
چه قدر باحال بود ایننن ❤❤❤
قوی مثل همیشه 💜🍻
دمت گرم🎉
تولدت مبارک جادی جان ❤🎉😊
VERY very GOOD video
بینهایت عالی هستی🍻
you rock
😍😍😍دوباره جادیی
Jadi❤
useful, thanks
ممنانم
🔥
awesome ❤
Very good
good
❤
ممنون جادی عزیز ❤🎉 راستی از کدوم توزیع لینوکس استفاده میکنی؟
Thanks!
Welcome!
ضمن اینکه تولدتو تبریک میگم جادی عزیز و امیدوارم بتونم زمانی ، تمام چیزهایی که به من اموختی(اخلاق و علم) رو جوری بهت برگردونم ، میخواستم ببینم ممکنه درموردArgon2 و AES-256 هم کمی صحبت کنی ، و این توی این ژانراز ویدیو هات ، سمت این الگوریتم ها هم بریم.
به شخصه علاقه زیادی به Argon2 دارم و برام سواله چرا باوجود الگوریتم های سیف تر ، هنوزم توی اکثر مواقع در ایران از bcrypt استفاده میشه .
❤❤❤❤❤❤❤like
جادی یه برنامه پایتون برامون بنویس که رینبو تیبل بسازه ، می خوام با مال خودم مقایسه کنم
🎉
❤❤❤❤❤
💙💙
عالی. من یه ایده باحال هم دارم که اپن سورس میخوام روش کار کنم هنوز خیلی خامه ولی دوست داشتم ایمیل بزنم برای اولین بار بهت (هیچ موقع نمیخوام وقتتو بگیرم) و هم تولدتو تبریک بگم و ایده رو مطرح کنم هم روش کار کنیم اگه باحال بود هم اپن سورس و فری سافتور ویدیو یوتویوبی چیزی ازش آموزشی بگیری اگه وقت داشتی. ایده هکریه همینطوری هش و اینا. و همینطور پیاده سازی با راست شاید خیلی جذاب بشه ولی خودم فقط سی و پایتون بلدم.
یکی از تفاوت های اصلی bcrypt
که اشاره نکردید اینه که هر بار که هش رو تولید میکنید با یه پسوورد خروجی متفاوتی میده به همین جهت نمیشه دوبار یه متن رو هش کرد و هش هارو مقایسه کرد باهم. باید از خود الگوریتم برای مقایسه استفاده کنیم.
جادی جان خیلی ممنون ، من دقیقا همین رو توی Nodejs داشتم کار میکردم ، با توضیحاتت بیشتر گرفتم این دقیقا چطور کار میکنه
از نسخهی ۴.۰.۰ با استفاده از Rust پیادهسازی شده است.
24:21 that's what she said :)
🤘🏻🤘🏻🤘🏻🤘🏻
یک سوال دارم اکر هکر قبل از هک کردن یک پروفایل برای خودش درست کرده باشه(پروفایل برای همونجایی که قراره هک کنه)...در این صورت دسترسیش به هش پسورد که خیلی راحتته و حتی ممکنه بتونه با چندتا اکانت مختلفی که میسازه سالت رو هم یه جورایی بهش برسه؟؟؟ ( یه ادم غیر متخصص میپرسه این سوالو) این ویدیویی که درست کردین با این روش توضیح خیلی جذابتر شده...
سالت یک استرینگ نسبتا بلند و بی معنی هست چجوری میخواد بهش برسه هش که قابلیت دیکریپت نداره و همچنین و سرعت هم هر چقدر زیاد باشه باز نمیتونه سالت رو از توی هوش پیدا کنه
ایده خیلی باحالی است (: بهش می گیم فکر کردن شبیه یه هکر (: از نظر الگوریتمی نمی تونه به سالت برسه و معمولا سالت رندم بزرگی است ولی در نهایت ایده خوبیه یکسری دیتا خودش بذاره و ببینه چه شکلی شدن بعد از رمز شدن و شاید دید بهتری بده
دقیقا درسته. معمولا سالت اینقدر طولانی است که نمی شه با حدس و سعی خطا بهش رسید. ولی در نهایت ایده خوبیه
فکر کنم Django پسورد روت رو 170 هزار بار هش می کنه
❤❤❤❤ دیتابیس های هوشمند در مورد ویدیو بسازید
مثلا چی؟
😊😊😊😊😊😊😊😊😊😊
سلام جادی .مدل دقیق لپتاپت چیه ؟
یک سوال وقتی در پایگاه داده عبارت ۸ سالت و مقدار سختی همه با هم ذخیره میشود و از آنجایی که برنامه بیکریپت یک عبارت را به یک حش جدید تبدیل میکند آیا نمیشود از این اطلاعات ذخیره شده در پایگاه داده استفاده کرد و با کمک خود بیکریپت جدول رمبو را ساخت چون هم سایت را داریم هم مقدار سختی را و هم ۸ را
هر بار که پسورد رو میزاریم تو دیتابیس یک سالت جدید میسازیم، درسته که سالت کنارشه ولی اون هش کنارش هم با همین سالت ساخته شده و سالت و هش هر کاربر فرق داره یعنی رینبو تیبل هم بسازه بعد از کلی وقت و هزینه فقط میتونه پسورد یک کاربر رو بگیره
salam
chetori sagaro ezafe konim be Terminal khodemoon?
سگ ها رو؟ اگر منظورت اون گاو اول است دستورش هست
cowsay hi
سلام جادی دمت گرم
کسی میدونی قضیه این نوت کوینای تلگرام چیه؟
وای این هودی را هنوز داری؟
من هم لباسهام خیلی عمر میکنن.
درود، بنظر شما حرکت معقولیه برای امنیت بیشتر سورس رو دستکاری کنیم و این عبارت رو عوض کنیم؟ دیگه طرف عمرا بره پکیجامونم بخونه این وسط
انتخاب این عبارت صرفاً به منظور یک عبارت ثابت و شروع فرآیند blowfish block cipher هست و امنیت bcrypt به بخاطر این عبارت نیست.
عوض کردن این عبارت هم اگه هوشمندانه انجام نشه ممکنه خودش یک آسیب پذیری در این الگوریتم ایجاد کنه.
در مبحث رمزنگاری نباید الگوریتم دستکاری شه و چیزی از الگوریتم پنهان باشه تنها چیزی که باید پنهان باشه کلید هست.
3:28 احتمالا اون هش های ۴۰ کاراکتری برای دوران زود فوده
فکر کنم منم می گم تو ویدئو این حدس رو (:
سلام جادی, من چک کردم و دیدم که بیشترین مقداری که میشه برای راوندز گذاشت 31 هست پس یه جایی بلاخره استفاده از بی کریپت به محدودیت ختم میشه.
حالا رفتم گشتم و دیدم امروز راوندز که معمولا ازش استفاده میشه همون دیفالت خودش یعنی 12 هست.
که یعنی اگه از همین امروز فرض کنیم کامپیوترها هر 18 ماه قدرتشون 2 برابر میشه, 28.5 سال آینده یعنی تقریبا تو 2052 دیگه نمیشه اون عدد راوندز رو یکی ببریم بالاتر که یعنی دیگه نمیتونیم از بی کریپت استفاده کنیم؟!؟
احتمالا تا اون موقع یک آپدیت میدن و این قضیه رو با یک روش دیگه حل میکنن
معمولا ایده اینه که تمرکز هش ها می ره به سمت چیزهایی که محدودیت هایی بیشتر از سی پی یو داره. مثلا ممکنه بریم به سمت هش هایی که نیاز به رم بیشتر دارن که فعلا تهیه کردنش گرونتر از سی پی یو است
خدایی الان وقتش نیست که یکم Fun project with Rust داشته باشیم؟ 😅
منم بهش فکر کردم. و حتی یکی هم شروع کردم و دو قسمت ضبط کردم ولی دیدم احتمالش کمه ادامه اش بدم (: بازم اگر شد حتما . بامزه است بخصوص که زبون پر دردسری است و هی اشتباه می کنم می خندیم (:
@@JadiMirmirani ممنون! حتمی کلی یاد میگیریم و خوش میگذره! 😀
ممنون ولی من یک چیزی را متوجه نشدم اگه سالت در همون دیتا بیس ذخیره میشه و نمایش داده میشه، پس بود و نبودش چه فرقی می کنه؟؟ خب اگه کسی به قسمت دیتا بیسها دسترسی پیدا کنه باز هم باید فقط قسمت پسورد را تغییر دهد تا به جواب برسد.
فکر کنم می گم دیگه. اگر الگوریتم رو داشته باشی و بخوای جدول رنگین کمان درست کنی برای حمله شکستن رمز، فقط یه رمز رو می تونی بشکنی / سعی کنی بشکنی چون سالت ها فرق می کنن
الان فهمیدم چی شد. اگه هکر لیست رنگین کمانی از قبل داشته باشه بدردش نمی خوره ولی اگه بخواد برای هک کردن وقت بذاره و لیست جدید درست کنه شدنیه. فکر کنم با عوض کردن پسورد سالت هم عوض بشه که کار را خیلی سخت می کنه. ولی اگر یک شرکت بزرک یا یک کشور بخواد شخصی را هک کند بخاطر سخت افزار قوی خیلی راحتتر بتونی این کار را بکنه@@JadiMirmirani
جادی چرا دوره ای نمیری برا امنیت.موافقا لایک کنن
bcrypt*
مرسی اصلاح کردم عنوان رو
اگر هکمون نمیکنی فالوت کنم ت
((:
❤
❤